MalwareLab_VM Setup

Dieses Repository enthält mein Download/Setup -Skript für die Windows Virtual Machines, die ich für Malware -Analyse und Software Reverse Engineering verwende. Wenn Sie nach einem Linux -VM suchen, sollten Sie sich Remnux oder Tsurugi ansehen.

• Merkmale
• Screenshots
• Anforderungen
• Installation
• FAQ
• Anpassung
• Tipps und Tricks
• Tools und Lizenzierung
• Beitragen

• Der Zweck des Skripts besteht darin, Tools herunterzuladen und sie nicht zu installieren. Dadurch wird die Wahl, was und wo sie an den Benutzer installiert werden soll.
• Kein Boxstarter/Schokoladenstörungen!
• Separate statische Codeanalyse und dynamische Analyse -VMs. Ymmv, aber das ist der Ansatz, den ich bevorzuge!
• Option zum Überspringen von Tools, die nicht für den professionellen Gebrauch lizenziert sind
• Anwenden von Systemänderungen wie: Deaktivieren Sie ASLR, Fix Explorer -Datei-/Ordneransichten beheben
• Laden Sie Hypervisor-Hiding-Skripte herunter, die Ihrem Setup entsprechen
• Vorlast -Debugging -Symbole für die Offline -Verwendung (mehr dazu im Installationsabschnitt unten)

Die Toollisten werden monatlich aktualisiert!

• Eine Host -Maschine, die beide VMs gleichzeitig ausführen kann, wäre optimal
• 4-8 GB+ RAM und 64 GB+ Speicher pro VM
• Ein Hypervisor Ihrer Wahl
• Windows ISOs (Gewinn 7 SP1, Gewinn 8.1 oder 10) und Matching Lizenzschlüssel

1. Richten Sie eine frische Windows -VM mit dem Hypervisor ein, dem Sie vertrauen, oder laden Sie eine moderne VM herunter (beachten Sie, dass dieses Skript auf X64 -VMs ausgeführt werden soll). Ich benutze Windows 7 Ultimate X64 für meine VMs, aber ich habe auch eine sekundäre Debugging-VM, die Windows 10 Pro ausführt, um auf dem neuesten Stand zu bleiben ;-)

Ein paar Tipps für frische Windows 7 -Installationen:

• Möglicherweise müssen Sie KB3138612 installieren, um Windows -Update auszuführen
• Bitte installieren Sie .NET 4.8 und anschließend WMF 5.1, bevor Sie das PowerShell -Skript ausführen
• Wenn Sie sich selbst einen Gefallen tun möchten: Installieren Sie sofort einen richtigen Browser. Das Surfen mit dem alten IE ist ein Schmerz, und dieses Installationsskript öffnet einige Microsoft -Seiten, auf denen Sie auf "Download" klicken müssen: D.

2. Ich würde empfehlen, einen Snapshot zu erstellen oder eine .ova/.ovf -Datei der sauberen VM zu exportieren.

3. Öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator und führen Sie Set-ExecutionPolicy Unrestricted , damit PowerShell-Skripte ohne Interferenz auf dem System ausgeführt werden können.

4. Laden Sie dieses Repository herunter/klonen und führen Sie vm_setup.ps1 mit PowerShell aus (eine erhöhte Eingabeaufforderung ist für die Einstellung von Registrierungsschlüssel erforderlich).

Argumente: .vm_setup.ps1 -argument

• -nonCommercial $False - Überspringen Sie Tools, die keine kommerzielle Verwendung in ihren Lizenzbegriffen ermöglichen
• -symbols $True -Dies ist ein Schritt nach der Installation. Stellen Sie zunächst die "Build -Tools für Visual Studio" ein. Wenn Sie nur die häufigsten Symbole benötigen, lassen Sie es einige Minuten lang (<5-10 Minuten) laufen und stornieren Sie mit Strg+c. Wenn Sie alle in System32 vorhandenen Symbole für Dateien durchlaufen, dauert es lange und füllen Sie Ihr Laufwerk aus.

5. Sobald das Skript erfolgreich beendet ist, können Sie das PowerShell -Fenster schließen und die heruntergeladene Software installieren. Standardmäßig werden die Dateien in einem Unterverzeichnis namens downloads im selben Verzeichnis wie das von Ihnen ausgeführte vm_setup.ps1 -Skript gespeichert.

6. Öffnen Sie eine neue Eingabeaufforderung (als Administrator ausführen!) Und versuchen Sie, PIP First py.exe -m pip install --upgrade pip zu aktualisieren. Sobald dies erledigt py.exe -m pip install -r python-packages.txt

7. Nehmen Sie erneut einen Schnappschuss/eine Sicherung des Status des VM mit allen Werkzeugen.

Wie ich unten erwähnt habe, bin ich kein großer Fan des Boxstarter/Schokoladen -Installationsmechanismus. Darüber hinaus bevorzuge ich die Tools, wenn möglich, direkt vom Entwickler herunterzuladen und wählen Sie den EG -Installationspfad selbst. Zuletzt mag ich meine statische Codeanalyse VM aus mehreren Gründen von meiner dynamischen Analyse VM: Weniger Unordnung, schnellere Snapshot -Wiederherstellungszeiten, parallele Arbeiten, zur Verhinderung des Schlüsseldiebstahls von Lizenz und so weiter ...

Trotzdem funktionieren andere VM -Setup -Skripte für Sie möglicherweise besser.

Hier sind einige großartige Alternativen zu meinem Drehbuch:

• Fireye Flare-VM
• Sentinellabs Revcore -Tools

Auch hier fehlen oder zwei Werkzeuge für Ihren Workflow. Sollte dies der Fall sein, können Sie sie einfach zu/aus den .json -Dateien hinzufügen/entfernen, nachdem Sie das Repository in Ihren Computer geklont haben. Fühlen Sie sich frei, nützliche Tools beizutragen (siehe unten)!

Die Toollisten sind JSON-Dateien mit der folgenden Struktur: {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = Name des Tools
• url = URL herunterladen
• nonCommercial = professioneller Verwendung erlaubt? Ja -> wahr, nein -> falsch
• manual = erfordert manuelle Download

Dieser Abschnitt wird erweitert, falls es Probleme beim Installieren oder Ausführen eines der Tools geben wird.

Im folgenden Abschnitt "Collabsible" finden Sie eine Liste aller Tools, die über das Skript heruntergeladen werden können.

Warnung: Bitte überprüfen Sie die Lizenzen/Geschäftsbedingungen der Tools, bevor Sie eines davon herunterladen! Es ist die Verantwortung des Benutzers, die von den jeweiligen Entwicklern festgelegten Begriffe zu lesen, zu akzeptieren und zu entsprechen.

Es gibt einige kommerzielle Tools mit Test-/Demo -Versionen, aber ich habe mich dafür entschieden, sie nicht in dieses Download -Skript aufzunehmen. Ich werde Microsoft Office, Cerbero Suite, binäre Ninja, VB-Decompiler Pro usw. manuell installieren.

Wenn Sie Vorschläge für großartige Tools haben, die in diesen Listen fehlen und von denen jeder profitieren würde oder Sie irgendwo einen Fehler erkennen: Öffnen Sie ein Problem oder senden Sie eine Pull -Anfrage. Gleiches gilt für veraltete Links zu Paketen! Danke :)

• Verknüpfen Sie direkt zu der ursprünglichen Download -Site, die vom Entwickler bereitgestellt wird, wenn möglich
• Denken Sie daran, das Tool und den Lizenzlink in die Readme einzulegen
• Bitte halten Sie sich an die statische/dynamische Kompartimentierung
• Bitte stellen Sie sicher, dass Python -Tools auf Python3 laufen und (etwas) aktiv gepflegt sind
• Seien Sie in Themen/PRs hervorragend zueinander