4n4lDetector

4n4lDetector is an analysis tool for Microsoft Windows executable files, libraries, drivers and mdumps for x86 and x64. As of v1.8 an extended use for analyzing anomalies in Linux ELF executables was also included. Its main objective is to collect the necessary information to facilitate the identification of malicious code inside the analyzed files. This tool analyzes, among other things, the PE header and its structure, the content of the sections, the different types of strings, among many other things. It also incorporates a multitude of its own ideas to recognize anomalies in the construction of files and the detection of mechanisms used by current malware.

17/06/2022
Pass: 4n0nym0us
13/05/2022
Pass: 4n0nym0us


Resources x86/x64:


Analysis of ELF files:

Functionality to save reports:


Virustotal API Module:


Botnet, Email, NOP Cave, CheckSum...:

Strings Module:


Entry Point Analysis and disassembler:

Example Malware Bedep, (Export Table, Unusual Entry Point...):

Polymorphic Crypter:

Bedep Mother Fucker Jump! ;)

Generated with PESCrambler:

Metasploit Shellcode Injection:

Saludos 4n4les! ;)

22 comentarios:

  1. joselin dice: buena tool soy el primero !

    ResponderEliminar
    Respuestas
    1. Gracias Joselin, sí el resto de personas habló en la entrada de la página principal jeje

      Muchas Gracias! :)

      Eliminar
  2. Excelente la uso siempre.es lo mejor que has inventado. para añadirla a virus total

    ResponderEliminar
    Respuestas
    1. Muchas gracias, no sé si se trata de la mejor idea, pero sin duda es la más sencilla de ejecutar :)

      Eliminar
  3. Porque el loaddll es detectado por tantos antivirus como troyano?

    ResponderEliminar
  4. ¿Porque LoadDLL esta protegido con un cripter vb y con UPX?

    ResponderEliminar
  5. Hola!
    Lo están detectando con rutinas genéricas, porque utilicé diferentes modos de compresión sobre el binario. Son todo falsas alertas, no obstante para la futura versión compilaré otro binario. :)

    ResponderEliminar
  6. ya la encontre sensei jejej ahora lo descargo :) se ve muy bueno

    ResponderEliminar
  7. Que tal amigo una consulta como es que se usa tu herramienta ????

    ResponderEliminar
  8. Me gusta la Tool, te hago una consulta

    ¿Por que esta en ingles?

    ResponderEliminar
    Respuestas
    1. Hola Ichigo, todas mis aplicaciones están siempre en Español como idioma principal y de forma opcional el Inglés. Esta herramienta al contener tan pocos botones y ser de tan sencillo uso, he preferido ponerla en este idioma. En esta publicación tienes la descripción en Inglés, pero si quieres saber como he ido incluyendo nuevas ideas a la herramienta, tienes el siguiente enlace:

      http://www.enelpc.com/search/label/4n4lDetector

      Saludos!

      Eliminar
  9. Saludos, creo que se veria muy nitido el que le añadieras una cosilla, finita pero buenisima y que ayudaria en cierta manera, y es el de analizar archivos *.lnk directamente, lo que se hace es tomar la ruta del *.lnk pasarla por un `WShell.Script` que luego retornaria la ruta en donde se encuentra actualmente el ejecutable.

    Option Explicit

    Private Sub Command1_Click()
    MsgBox GetTargetPath("ShortCut Filename")
    End Sub

    Function GetTargetPath(ByVal FileName As String)

    Dim Obj As Object
    Set Obj = CreateObject("WScript.Shell")

    Dim Shortcut As Object
    Set Shortcut = Obj.CreateShortcut(FileName)
    GetTargetPath = Shortcut.TargetPath
    Shortcut.Save

    End Function

    ResponderEliminar
    Respuestas
    1. Muchas gracias por tu ayuda, con código y todo!! lo tomaré en cuenta para una próxima versión!

      Saludos! =D

      Eliminar
  10. hola buen día, me gusta este aplicativo es muy útil nose porque recién me salto una alarma del antivirus mostrando un virus "Hora;Módulo de exploración;Tipo de objeto;Objeto;Amenaza;Acción;Usuario;Información;Hash;Visto por primera vez aquí
    16/01/2018 5:25:34 p. m.;Protección del sistema de archivos en tiempo real;archivo;C:\users\colcrt\desktop\4n4ldetector v1.1\4n4ldetector.exe;una variante de Generik.LHRBLW troyano;

    ResponderEliminar
    Respuestas
    1. Hola buenas noches, perdona la tardanza.

      No es recomendable utilizar HackTools con en antivirus funcionando, como ves la detección es una regla genérica que ha saltado con alguna actualización en la base de firmas de tu antivirus. Te recomiendo descargar la última versión, es bastante más completa.

      Un saludo!

      Eliminar
  11. NO ME SALE PARA DESCARGAR . Y EL INDICE ME MANDA A OTRO LADO .. LUEGO SALE PAGINA ERROR. HELP

    ResponderEliminar
  12. Thank you for this tool. Works 100%

    ResponderEliminar
  13. Hi,
    About the "string" search problem, can you please support the search of non-English text?
    For example:Chinese
    thank you.

    ResponderEliminar
    Respuestas
    1. Hello,

      You can use the Rules File option and include the words to be identified in hexadecimal format to avoid problems. You can also search for multiple words as you'll find in the 4n4l.rules example.

      All the best!

      Eliminar
  14. Hello,

    This requirement may be difficult, can you add a function to detect the real OEP for compressed and encrypted shells (e.g. VMP) and bundled shells? thank you.

    ResponderEliminar
    Respuestas
    1. This request is included in version v1.9 for x86 executables.

      Greetings!

      Eliminar