MalwareLab_VM Setup

Repositori ini berisi skrip unduhan/pengaturan saya untuk mesin virtual Windows yang saya gunakan untuk analisis malware dan rekayasa balik perangkat lunak. Jika Anda mencari Linux VM, Anda harus memeriksa Remnux atau Tsurugi.

• Fitur
• Tangkapan layar
• Persyaratan
• Instalasi
• FAQ
• Kustomisasi
• Tips & Trik
• Alat dan lisensi
• Berkontribusi

• Tujuan skrip adalah untuk mengunduh alat, bukan menginstalnya. Ini meninggalkan pilihan apa dan di mana menginstalnya kepada pengguna.
• Tidak ada masalah Boxstarter/Chocolatey!
• Analisis kode statis terpisah dan analisis dinamis VMS. Ymmv tapi ini adalah pendekatan yang saya sukai!
• Opsi untuk melewatkan alat yang tidak dilisensikan untuk penggunaan profesional
• Terapkan Modifikasi Sistem Seperti: Nonaktifkan ASLR, Perbaiki Tampilan File/Folder Explorer
• Unduh skrip hypervisor-hiding yang sesuai dengan pengaturan Anda
• Simbol debugging preload untuk penggunaan offline (lebih lanjut tentang ini di bagian instalasi di bawah)

Daftar alat akan diperbarui setiap bulan!

• Mesin host yang mampu menjalankan kedua VM secara bersamaan akan optimal
• 4-8GB+ RAM dan 64GB+ Penyimpanan per VM
• Hypervisor pilihan Anda
• Windows ISOS (Win 7 SP1, Win 8.1 atau Win 10) dan Kunci Lisensi Pencocokan

1. Siapkan Windows VM baru dengan hypervisor yang Anda percayai atau unduh VM modern.ie (perhatikan bahwa skrip ini dimaksudkan untuk dijalankan pada x64 VM). Saya menggunakan Windows 7 Ultimate X64 untuk VM saya, tetapi saya juga memiliki VM debugging sekunder yang menjalankan Windows 10 Pro untuk tetap up-to-date ;-)

Beberapa tips untuk pemasangan windows 7 segar:

• Anda mungkin perlu menginstal KB3138612 untuk dapat menjalankan pembaruan Windows
• Harap instal .NET 4.8 dan setelah itu WMF 5.1 sebelum menjalankan skrip PowerShell
• Jika Anda ingin membantu diri sendiri: instal browser yang tepat segera. Menjelajahi dengan IE lama adalah rasa sakit dan skrip instal ini akan membuka beberapa halaman Microsoft di mana Anda harus mengklik 'Unduh': D

2. Saya akan merekomendasikan untuk membuat snapshot atau mengekspor file .ova/.ovf dari VM bersih.

3. Buka prompt PowerShell sebagai administrator dan jalankan Set-ExecutionPolicy Unrestricted untuk memungkinkan skrip PowerShell dijalankan pada sistem tanpa gangguan.

4. Unduh/Kloning Repositori ini dan jalankan vm_setup.ps1 dengan PowerShell (prompt yang ditinggikan diperlukan untuk menetapkan kunci registri)

Argumen : .vm_setup.ps1 -argument

• -nonCommercial $False - Lewati alat yang tidak memungkinkan penggunaan komersial dalam persyaratan lisensi mereka
• -symbols $True -Ini adalah langkah pasca -instalasi, pastikan untuk menginstal "Build Tools for Visual Studio" terlebih dahulu. Jika Anda hanya membutuhkan simbol yang paling umum, biarkan berjalan selama beberapa menit (<5-10 menit) dan membatalkan dengan Ctrl+C. Melewati semua simbol untuk file yang ada di System32 akan memakan waktu lama dan mengisi drive Anda.

5. Setelah skrip berhasil keluar, Anda dapat menutup jendela PowerShell dan menginstal perangkat lunak yang diunduh. Secara default file akan disimpan ke subdirektori yang disebut downloads di direktori yang sama dengan skrip vm_setup.ps1 yang Anda jalankan.

6. Buka prompt perintah baru (jalankan sebagai administrator!) Dan cobalah untuk memutakhirkan PIP py.exe -m pip install --upgrade pip . Setelah selesai, Anda dapat menginstal alat Python melalui py.exe -m pip install -r python-packages.txt

7. Sekali lagi ambil snapshot/cadangan keadaan VM dengan semua alat yang diinstal.

Seperti yang saya sebutkan di bawah ini, saya bukan penggemar berat Mekanisme Instalasi Boxstarter/Chocolatey. Selanjutnya saya lebih suka mengunduh alat langsung dari pengembang jika memungkinkan dan memilih jalur instalasi misalnya sendiri. Terakhir saya suka memisahkan analisis kode statis VM saya dari analisis dinamis VM saya karena beberapa alasan: lebih sedikit kekacauan, waktu pemulihan snapshot yang lebih cepat, kerja paralel, untuk mencegah pencurian kunci lisensi dan sebagainya ...

Namun demikian skrip pengaturan VM lainnya mungkin bekerja lebih baik untuk Anda, jadi pilihlah apa pun yang mengapung perahu Anda dan (salah) mempercayai alat Anda!

Berikut adalah beberapa alternatif yang bagus untuk skrip saya:

• FireEye Flare-VM
• Alat Revcore Sentinellabs

Sekali lagi, mungkin ada satu atau dua alat yang hilang atau berlebihan untuk alur kerja Anda. Jika ini terjadi, Anda cukup menambahkan/menghapusnya ke/dari file .json setelah mengkloning repositori ke mesin Anda. Jangan ragu untuk menyumbangkan alat yang berguna (lihat di bawah)!

Daftar alat adalah file JSON dengan struktur berikut: {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = Nama Alat
• url = unduh url
• nonCommercial = penggunaan profesional diperbolehkan? Ya -> Benar, Tidak -> Salah
• manual = membutuhkan pengunduhan manual

Bagian ini akan diperluas jika ada masalah saat memasang atau menjalankan salah satu alat.

Di bagian yang dapat dilipat di bawah ini Anda dapat menemukan daftar semua alat yang tersedia untuk diunduh melalui skrip.

PERINGATAN: Silakan periksa lisensi/syarat dan ketentuan alat sebelum Anda mengunduhnya! Ini adalah tanggung jawab pengguna untuk membaca, menerima, dan mematuhi persyaratan yang ditetapkan oleh pengembang masing -masing.

Ada beberapa alat komersial yang memiliki versi uji coba/demo, tetapi saya memilih untuk tidak memasukkannya ke dalam skrip unduhan ini. Saya akan menginstal Microsoft Office, Cerbero Suite, Binary Ninja, VB-Decompiler Pro dll. Secara manual.

Jika Anda memiliki saran untuk alat luar biasa yang hilang dalam daftar ini dan bahwa semua orang akan mendapat untung dari atau Anda menemukan kesalahan di suatu tempat: Jangan ragu untuk membuka masalah atau mengirim permintaan tarik. Hal yang sama berlaku untuk tautan yang sudah ketinggalan zaman ke paket! Terima kasih :)

• Tautan langsung ke situs unduhan asli yang disediakan oleh pengembang bila memungkinkan
• Ingatlah untuk memasukkan alat dan tautan lisensi ke dalam readme
• Harap tetap berpegang pada kompartementalisasi statis/dinamis
• Pastikan alat Python berjalan di Python3 dan (agak) dipertahankan secara aktif
• Menjadi sangat baik satu sama lain dalam masalah/PR