MalwareLab_VM Setup

Este repositorio contiene mi script de descarga/configuración para las máquinas virtuales de Windows que utilizo para el análisis de malware y la ingeniería inversa de software. Si está buscando una VM Linux, debe consultar Remnux o Tsurugi.

• Características
• Capturas de pantalla
• Requisitos
• Instalación
• Preguntas frecuentes
• Personalización
• Consejos y trucos
• Herramientas y licencias
• Que contribuye

• El propósito del script es descargar herramientas, no instalarlas. Esto deja la elección de qué y dónde instalarlo al usuario.
• ¡No hay problemas de Boxstarter/Chocolatey!
• Análisis de código estático separado y análisis de análisis dinámico. Ymmv, ¡pero este es el enfoque que prefiero!
• Opción para omitir herramientas que no tienen licencia para uso profesional
• Aplicar modificaciones del sistema como: deshabilitar ASLR, arreglar las vistas de archivo/carpeta Explorer
• Descargar scripts ocultantes de Hypervisor que coinciden con su configuración
• Símbolos de depuración de precarga para uso fuera de línea (más sobre esto en la sección de instalación a continuación)

¡Las listas de herramientas se actualizarán mensualmente!

• Una máquina host capaz de ejecutar ambas máquinas virtuales al mismo tiempo sería óptimo
• 4-8GB+ de RAM y 64 GB+ almacenamiento por VM
• Un hipervisor de su elección
• Windows ISOS (Win 7 SP1, Win 8.1 o Win 10) y las teclas de licencia de juego

1. Configure una nueva VM de Windows con el hipervisor en el que confía o descargue una VM modern.ie (tenga en cuenta que este script está destinado a ejecutarse en X64 VMS). Estoy usando Windows 7 Ultimate X64 para mis máquinas virtuales, pero también tengo una VM de depuración secundaria que ejecuta Windows 10 Pro para mantenerse al día ;-)

Algunos consejos para instalaciones frescas de Windows 7:

• Es posible que deba instalar KB3138612 para poder ejecutar Windows Update
• Instale .NET 4.8 y luego WMF 5.1 antes de ejecutar el script PowerShell
• Si quieres hacerte un favor: instale un navegador adecuado de inmediato. Navegar con el antiguo IE es un dolor y este script de instalación abrirá algunas páginas de Microsoft donde tendrá que hacer clic en 'Descargar': D

2. Recomendaría crear una instantánea o exportar un archivo .ova/.ovf de la VM limpia.

3. Abra un aviso de PowerShell como administrador y ejecute Set-ExecutionPolicy Unrestricted para permitir que los scripts de PowerShell se ejecuten en el sistema sin interferencia.

4. Descargar/Clone Este repositorio y ejecutar vm_setup.ps1 con PowerShell (es necesario un mensaje elevado para configurar claves de registro)

Argumentos : .vm_setup.ps1 -argument

• -nonCommercial $False - omitir herramientas que no permiten el uso comercial en sus términos de licencia
• -symbols $True : este es un paso posterior a la instalación, asegúrese de instalar primero las "Build Tools for Visual Studio". Si solo necesita los símbolos más comunes, déjelo funcionar durante unos minutos (<5-10 minutos) y cancele con Ctrl+C. Pasar por todos los símbolos para los archivos presentes en System32 tomará mucho tiempo y llenará su unidad.

5. Una vez que el script salió correctamente, puede cerrar la ventana PowerShell e instalar el software descargado. Por defecto, los archivos se guardarán en un subdirectorio llamado downloads en el mismo directorio que el script vm_setup.ps1 que ejecutó.

6. Abra un nuevo símbolo del sistema (¡ejecute como administrador!) E intente actualizar PIP First py.exe -m pip install --upgrade pip . Una vez hecho esto, puede instalar las herramientas de Python a través de py.exe -m pip install -r python-packages.txt

7. Una vez más, tome una instantánea/copia de seguridad del estado de la VM con todas las herramientas instaladas.

Como mencioné a continuación, no soy un gran ventilador del mecanismo de instalación de Boxstarter/Chocolatey. Además, prefiero descargar las herramientas directamente desde el desarrollador si es posible y elegir la ruta de instalación de EG yo mismo. Por último, me gusta separar mi VM de análisis de código estático de mi VM de análisis dinámico por un par de razones: menos desorden, tiempos de restauración de instantáneas más rápidos, trabajo paralelo, para evitar el robo de la llave de licencia, etc.

Sin embargo, otros scripts de configuración de VM podrían funcionar mejor para usted, ¡así que elija cualquiera que flote en su bote y (mis) confíe en sus herramientas!

Aquí hay algunas excelentes alternativas a mi guión:

• FireEye Flare-VM
• Herramientas de Sentinellabs RevCore

Nuevamente, puede faltar una o dos herramientas para su flujo de trabajo. Si este es el caso, simplemente puede agregarlos/eliminarlos a/desde los archivos .json después de clonar el repositorio a su máquina. ¡Siéntase libre de contribuir con herramientas útiles (ver más abajo)!

Las listas de herramientas son archivos JSON con la siguiente estructura: {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = nombre de la herramienta
• url = descargar url
• nonCommercial = uso profesional permitido? Sí -> verdadero, no -> falso
• manual = requiere descarga manual

Esta sección se ampliará en caso de que haya problemas al instalar o ejecutar una de las herramientas.

En la sección plegable a continuación, puede encontrar una lista de todas las herramientas disponibles para descargar a través del script.

ADVERTENCIA: ¡Consulte las licencias/términos y condiciones de las herramientas antes de descargar cualquiera de ellas! Es la responsabilidad del usuario leer, aceptar y cumplir con los términos establecidos por los respectivos desarrolladores.

Hay algunas herramientas comerciales que tienen versiones de prueba/demostración, pero elegí no incluirlas en este script de descarga. Instalaré Microsoft Office, Cerbero Suite, Binary Ninja, VB-Decompiler Pro, etc. manualmente.

Si tiene alguna sugerencia para herramientas increíbles que faltan en estas listas y que todos se beneficiarían o detectan un error en algún lugar: no dude en abrir un problema o enviar una solicitud de extracción. ¡Lo mismo ocurre con enlaces anticuados a los paquetes! Gracias :)

• Enlace directamente al sitio de descarga original proporcionado por el desarrollador siempre que sea posible.
• Recuerde insertar la herramienta y el enlace de licencia en el ReadMe
• Cantén la compartimentación estática/dinámica
• Asegúrese de que las herramientas de Python se ejecuten en Python3 y se mantengan (algo) activamente
• Ser excelentes el uno para el otro en temas/PRS