MalwareLab_VM Setup

Ce référentiel contient mon script de téléchargement / configuration pour les machines virtuelles Windows que j'utilise pour l'analyse des logiciels malveillants et l'ingénierie inverse du logiciel. Si vous recherchez une machine virtuelle Linux, vous devez consulter Remnux ou Tsurugi.

• Caractéristiques
• Captures d'écran
• Exigences
• Installation
• FAQ
• Personnalisation
• Conseils et astuces
• Outils et licences
• Contributif

• Le but du script est de télécharger des outils, pas de les installer. Cela laisse le choix de quoi et où l'installer à l'utilisateur.
• Pas de boxstarter / problème de chocolat!
• Analyse de code statique séparée et VMS d'analyse dynamique. YMMV mais c'est l'approche que je préfère!
• Option pour sauter des outils qui ne sont pas sous licence pour une utilisation professionnelle
• Appliquer les modifications du système comme: Désactiver ASLR, corriger les vues de fichiers / dossiers d'explorateur
• Téléchargez des scripts de cachette d'hyperviseur qui correspondent à votre configuration
• Symboles de débogage de précharge pour une utilisation hors ligne (plus à ce sujet dans la section d'installation ci-dessous)

Les listes d'outils seront mises à jour sur une base mensuelle!

• Une machine hôte capable d'exécuter les deux machines virtuelles en même temps serait optimale
• 4-8 Go ​​+ de RAM et 64 Go + stockage par machine virtuelle
• Un hyperviseur de votre choix
• Windows Isos (Win 7 SP1, Win 8.1 ou Win 10) et les clés de licence de correspondance

1. Configurez une nouvelle machine virtuelle Windows avec l'hyperviseur en qui vous avez confiance ou téléchargez une machine virtuelle moderne.ie (notez que ce script est destiné à s'exécuter sur X64 VM). J'utilise Windows 7 Ultimate X64 pour mes machines virtuelles, mais j'ai également une machine virtuelle de débogage secondaire exécutant Windows 10 Pro pour rester à jour ;-)

Quelques conseils pour les installations fraîches de Windows 7:

• Vous devrez peut-être installer KB3138612 pour pouvoir exécuter Windows Update
• Veuillez installer .net 4.8 et ensuite WMF 5.1 avant d'exécuter le script PowerShell
• Si vous voulez vous faire une faveur: installez un navigateur approprié immédiatement. La navigation avec l'ancien IE est une douleur et ce script d'installation ouvrira quelques pages Microsoft où vous devrez cliquer sur «Télécharger»: D

2. Je recommanderais de créer un instantané ou d'exporter un fichier .ova / .ovf de la machine virtuelle propre.

3. Ouvrez une invite PowerShell en tant qu'administrateur et exécutez Set-ExecutionPolicy Unrestricted pour permettre l'exécution de scripts PowerShell sur le système sans interférence.

4. Télécharger / clone Ce référentiel et exécuter vm_setup.ps1 avec PowerShell (une invite élevée est nécessaire pour définir les clés de registre)

Arguments : .vm_setup.ps1 -argument

• -nonCommercial $False - Sautez des outils qui n'autorisent pas l'utilisation commerciale dans leurs termes de licence
• -symbols $True - Il s'agit d'une étape post-installation, assurez-vous d'installer d'abord les "outils de construction pour Visual Studio". Si vous avez juste besoin des symboles les plus courants, laissez-le fonctionner pendant quelques minutes (<5-10min) et annulez avec Ctrl + C. Passer tous les symboles pour les fichiers présents dans System32 prendra beaucoup de temps et remplira votre lecteur.

5. Une fois que le script a réussi à fermer la fenêtre PowerShell et à installer le logiciel téléchargé. Par défaut, les fichiers seront enregistrés dans un sous-répertoire appelé downloads dans le même répertoire que le script vm_setup.ps1 que vous avez exécuté.

6. Ouvrez une nouvelle invite de commande (Exécuter en tant qu'administrateur!) Et essayez de mettre à niveau PIP First py.exe -m pip install --upgrade pip . Une fois cela fait, vous pouvez installer les outils Python via py.exe -m pip install -r python-packages.txt

7. Encore une fois, prenez un instantané / sauvegarde de l'état de la machine virtuelle avec tous les outils installés.

Comme je l'ai mentionné ci-dessous, je ne suis pas un grand fan du mécanisme d'installation de boxstarter / chocolaté. De plus, je préfère télécharger les outils directement à partir du développeur si possible et choisir le chemin d'installation par exemple moi-même. Enfin, j'aime séparer ma machine virtuelle d'analyse de code statique de ma machine virtuelle d'analyse dynamique pour deux raisons: moins d'encombrement, des temps de restauration d'instantané plus rapides, un travail parallèle, pour empêcher le vol de clé de licence, etc. ...

Néanmoins, d'autres scripts de configuration VM pourraient mieux fonctionner pour vous, alors choisissez tout ce qui flotte votre bateau et (Mis) faites confiance à vos outils!

Voici quelques excellentes alternatives à mon script:

• Fireeye Flare-Vm
• Sentinelabs Revcore outils

Encore une fois, il peut y avoir un ou deux outils manquants ou superflus pour votre flux de travail. Si cela est le cas, vous pouvez simplement les ajouter / les supprimer aux fichiers .json après le clonage du référentiel à votre machine. N'hésitez pas à contribuer des outils utiles (voir ci-dessous)!

Les listes d'outils sont des fichiers JSON avec la structure suivante: {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = nom de l'outil
• url = télécharger l'URL
• nonCommercial = utilisation professionnelle autorisée? Oui -> vrai, non -> faux
• manual = nécessite un téléchargement manuel

Cette section sera élargie s'il y a des problèmes lors de l'installation ou de l'exécution de l'un des outils.

Dans la section pliable ci-dessous, vous pouvez trouver une liste de tous les outils disponibles à télécharger via le script.

AVERTISSEMENT: veuillez vérifier les licences / termes et conditions des outils avant de télécharger l'un d'eux! Il est de la responsabilité de l'utilisateur de lire, d'accepter et de se conformer aux termes définis par les développeurs respectifs.

Il existe quelques outils commerciaux qui ont des versions d'essai / démo, mais j'ai choisi de ne pas les inclure dans ce script de téléchargement. Je vais installer Microsoft Office, Cerbero Suite, Binary Ninja, VB-Decompiler Pro, etc. manuellement.

Si vous avez des suggestions pour des outils impressionnants qui manquent sur ces listes et que tout le monde profiterait ou si vous repérez une erreur quelque part: n'hésitez pas à ouvrir un problème ou à envoyer une demande de traction. Il en va de même pour les liens obsolètes aux packages! Merci :)

• Lien directement vers le site de téléchargement original fourni par le développeur dans la mesure du possible
• N'oubliez pas d'insérer le lien de l'outil et de la licence dans le ReadMe
• Veuillez vous en tenir à la compartimentation statique / dynamique
• Veuillez vous assurer que les outils Python fonctionnent sur Python3 et sont (un peu) activement entretenus
• Être excellent les uns envers les autres dans les problèmes / PRS