Estoy emocionado de presentarles Pescan.io.
Encontrarás Promo Codes en las notificaciones de 4n4lDetector. 😈

Descúbrelo ahora

4n4lDetector

Advanced static analysis tool

4n4lDetector is a scan tool for Microsoft Windows executables, libraries, drivers and mdumps. Its main objective is to collect the necessary information to facilitate the identification of malicious code within the analyzed files. This tool analyzes, among other things, the PE header and its structure, the content of the sections, the different types of strings, among many other things. It also incorporates a multitude of its own ideas to recognize anomalies in the construction of files and the detection of mechanisms used by current malware.

Using the tool is simple, just configure the options in the drop-down panel on the right and drag the samples into 4n4lDetector.

Full support:

- 32 bits (8086, x86, ARMv7)
- 64 bits (AMD64, x86-64, x64, ARMv8)

TI and ET Extraction:

Alpha AXP, ARM, ARM Thumb-2 (32-bit Thumb), ARM64, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel i860, Intel Itanium (IA-64), M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS with FPU, MIPS little-endian, MIPS little-endian WCE v2, x64, x86, x86-64.

Buttons code:

- Buttons colored green are action buttons that open files and folders or are used to interact with the tool's utilities.
- The buttons colored in red perform reconfigurations, deletion of data or reset of functional files.
- Purple buttons announce the activation of online interactions.
- The pink buttons are shortcut buttons that the tool uses as tabs to navigate between different types of utilities.

PE chart code:

- The executable header is displayed in light blue.
- The executable sections are pink.
- Non-executable sections are black.
- Code added to executables externally to a compiler appears in red. (Cryptists, Folders, Carpenters...)

Chart code for other files:

Printable characters are blue.
Non-printable characters (Null Bytes) are black.

Shortcuts:

- [A] Main analysis tab
- [W] Analysis tab in modifiable HTML format for report (WebView)
- [S] Viewer of strings extracted from the parsed file
- [V] Module with the Virustotal report using its API

Console Options (Analysis to file):

Start the graphical interface parsing a file from the console:
4n4lDetector.exe Path\App.exe -GUI

Remove binary after scan:
4n4lDetector.exe Path\App.exe -GREMOVE

Parse a file from the console and the output is written to a TXT file:
4n4lDetector.exe Path\App.exe -TXT

Parse a file from the console and the output is written to HTML file:
4n4lDetector.exe Path\App.exe -HTML

Detections:

PE Information, Unusual Entry Point Position or Code (Algorithms, Anomalous Instructions...), Packers, Compilations, Binders/Joiners/Crypters, Architectures, Possible malicious functions, Registry Keys, Files Access, Juicy Words, Anti-VM/Sandbox/Debug, URLs Extractor, Payloads, AV Services, Duplicate Sections, IP/Domains List, Config RAT (Only In Memory Dumps), Call API By Name, Unusual Chars In Description File (Polymorphic Patterns), Rich Signature Analyzer, CheckSum Integrity Problem, PE Integrity Check, SQL Queries, Emails, Malicious resources, PE Carve, Exploits, File Rules for Entry Points and more... 😃

10/07/2024

If you enjoy my work and would like to support me, please consider making a donation through PayPal. Any amount is greatly appreciated!

Donate with PayPal


Spanish Videos:



Show Offsets:

PE Carving:



LNK Analysis:


Resources x86/x64:


Analysis of ELF files:

Functionality to save reports:


Virustotal API Module:


Botnet, Email, NOP Cave, CheckSum...:

Strings Module:


Entry Point Analysis and disassembler:

Example Malware Bedep, (Export Table, Unusual Entry Point...):

Polymorphic Crypter:

Bedep Malware Mother Fucker Jump! ;)

Generated with PESCrambler:

Metasploit Shellcode Injection:

Saludos 4n4les! ;)

22 comentarios:

  1. joselin dice: buena tool soy el primero !

    ResponderEliminar
    Respuestas
    1. Gracias Joselin, sí el resto de personas habló en la entrada de la página principal jeje

      Muchas Gracias! :)

      Eliminar
  2. Excelente la uso siempre.es lo mejor que has inventado. para añadirla a virus total

    ResponderEliminar
    Respuestas
    1. Muchas gracias, no sé si se trata de la mejor idea, pero sin duda es la más sencilla de ejecutar :)

      Eliminar
  3. Porque el loaddll es detectado por tantos antivirus como troyano?

    ResponderEliminar
  4. ¿Porque LoadDLL esta protegido con un cripter vb y con UPX?

    ResponderEliminar
  5. Hola!
    Lo están detectando con rutinas genéricas, porque utilicé diferentes modos de compresión sobre el binario. Son todo falsas alertas, no obstante para la futura versión compilaré otro binario. :)

    ResponderEliminar
  6. ya la encontre sensei jejej ahora lo descargo :) se ve muy bueno

    ResponderEliminar
  7. Que tal amigo una consulta como es que se usa tu herramienta ????

    ResponderEliminar
  8. Me gusta la Tool, te hago una consulta

    ¿Por que esta en ingles?

    ResponderEliminar
    Respuestas
    1. Hola Ichigo, todas mis aplicaciones están siempre en Español como idioma principal y de forma opcional el Inglés. Esta herramienta al contener tan pocos botones y ser de tan sencillo uso, he preferido ponerla en este idioma. En esta publicación tienes la descripción en Inglés, pero si quieres saber como he ido incluyendo nuevas ideas a la herramienta, tienes el siguiente enlace:

      http://www.enelpc.com/search/label/4n4lDetector

      Saludos!

      Eliminar
  9. Saludos, creo que se veria muy nitido el que le añadieras una cosilla, finita pero buenisima y que ayudaria en cierta manera, y es el de analizar archivos *.lnk directamente, lo que se hace es tomar la ruta del *.lnk pasarla por un `WShell.Script` que luego retornaria la ruta en donde se encuentra actualmente el ejecutable.

    Option Explicit

    Private Sub Command1_Click()
    MsgBox GetTargetPath("ShortCut Filename")
    End Sub

    Function GetTargetPath(ByVal FileName As String)

    Dim Obj As Object
    Set Obj = CreateObject("WScript.Shell")

    Dim Shortcut As Object
    Set Shortcut = Obj.CreateShortcut(FileName)
    GetTargetPath = Shortcut.TargetPath
    Shortcut.Save

    End Function

    ResponderEliminar
    Respuestas
    1. Muchas gracias por tu ayuda, con código y todo!! lo tomaré en cuenta para una próxima versión!

      Saludos! =D

      Eliminar
  10. hola buen día, me gusta este aplicativo es muy útil nose porque recién me salto una alarma del antivirus mostrando un virus "Hora;Módulo de exploración;Tipo de objeto;Objeto;Amenaza;Acción;Usuario;Información;Hash;Visto por primera vez aquí
    16/01/2018 5:25:34 p. m.;Protección del sistema de archivos en tiempo real;archivo;C:\users\colcrt\desktop\4n4ldetector v1.1\4n4ldetector.exe;una variante de Generik.LHRBLW troyano;

    ResponderEliminar
    Respuestas
    1. Hola buenas noches, perdona la tardanza.

      No es recomendable utilizar HackTools con en antivirus funcionando, como ves la detección es una regla genérica que ha saltado con alguna actualización en la base de firmas de tu antivirus. Te recomiendo descargar la última versión, es bastante más completa.

      Un saludo!

      Eliminar
  11. NO ME SALE PARA DESCARGAR . Y EL INDICE ME MANDA A OTRO LADO .. LUEGO SALE PAGINA ERROR. HELP

    ResponderEliminar
  12. Thank you for this tool. Works 100%

    ResponderEliminar
  13. Hi,
    About the "string" search problem, can you please support the search of non-English text?
    For example:Chinese
    thank you.

    ResponderEliminar
    Respuestas
    1. Hello,

      You can use the Rules File option and include the words to be identified in hexadecimal format to avoid problems. You can also search for multiple words as you'll find in the 4n4l.rules example.

      All the best!

      Eliminar
  14. Hello,

    This requirement may be difficult, can you add a function to detect the real OEP for compressed and encrypted shells (e.g. VMP) and bundled shells? thank you.

    ResponderEliminar
    Respuestas
    1. This request is included in version v1.9 for x86 executables.

      Greetings!

      Eliminar