MalwareLab_VM Setup

このリポジトリには、マルウェア分析とソフトウェアリバースエンジニアリングに使用するWindows仮想マシン用のダウンロード/セットアップスクリプトが含まれています。 Linux VMを探している場合は、RemnuxまたはTsurugiをチェックする必要があります。

• 特徴
• スクリーンショット
• 要件
• インストール
• よくある質問
• カスタマイズ
• ヒントとトリック
• ツールとライセンス
• 貢献

• スクリプトの目的は、それらをインストールするのではなく、ツールをダウンロードすることです。これにより、ユーザーにインストールする場所と場所が選択されます。
• ボックススターター/チョコレートのトラブルはありません！
• 個別の静的コード分析と動的分析VM。 ymmvしかし、これは私が好むアプローチです！
• 専門家の使用のためにライセンスされていないツールをスキップするオプション
• 次のようなシステム変更を適用します：ASLRを無効にし、エクスプローラーファイル/フォルダービューを修正します
• セットアップに一致するハイパーバイザーハイディングスクリプトをダウンロードします
• オフラインで使用するためのプリロードデバッグシンボル（これについては、以下のインストールセクションの詳細）

ツールリストは毎月更新されます！

• 両方のVMを同時に実行できるホストマシンが最適です
• VMあたりの4-8GB+のRAMおよび64GB+ストレージ
• お好みのハイパーバイザー
• WindowsISOS（Win 7 SP1、Win 8.1またはWin 10）およびマッチングライセンスキー

1. 信頼できるハイパーバイザーを使用して新鮮なWindows VMをセットアップするか、Modern.ie VMをダウンロードします（このスクリプトはX64 VMで実行することを目的としています）。 VMにWindows 7 Ultimate X64を使用していますが、Windows10Proを実行しているセカンダリデバッグVMも最新の状態を維持しています;-)

新鮮なWindows7のインストールのためのいくつかのヒント：

• Windowsアップデートを実行できるようにするには、kb3138612をインストールする必要がある場合があります
• PowerShellスクリプトを実行する前に、.NET 4.8以降WMF 5.1をインストールしてください
• 自分に好意を与えたい場合：適切なブラウザをすぐにインストールしてください。古いIEで閲覧することは痛みであり、このインストールスクリプトは「ダウンロード」をクリックする必要があるいくつかのMicrosoftページを開きます：D

2. クリーンVMのスナップショットを作成するか、.ova/.ovfファイルをエクスポートすることをお勧めします。

3. 管理者としてPowerShellプロンプトを開き、干渉なしにPowerShellスクリプトをシステム上で実行できるようにするためにSet-ExecutionPolicy Unrestrictedを実行します。

4. このリポジトリをダウンロード/クローンし、 vm_setup.ps1をPowerShellで実行します（レジストリキーの設定には、高されたプロンプトが必要です）

引数： .vm_setup.ps1 -argument

• -nonCommercial $Falseライセンス条件で商用使用を許可しないツールをスキップする
• -symbols $Trueこれはインストール後のステップです。最初に「Visual Studioのビルドツール」をインストールしてください。最も一般的なシンボルが必要な場合は、数分間（5〜10分<5〜10分）実行し、Ctrl+Cでキャンセルします。 System32に存在するファイルのすべてのシンボルを使用するには、長い時間がかかり、ドライブがいっぱいになります。

5. スクリプトが正常に終了したら、PowerShellウィンドウを閉じてダウンロードしたソフトウェアをインストールできます。デフォルトでは、ファイルは、実行したvm_setup.ps1スクリプトと同じディレクトリのdownloads呼ばれるサブディレクトリに保存されます。

6. 新しいコマンドプロンプト（管理者として実行！）を開き、PIPを最初にアップグレードpy.exe -m pip install --upgrade pipてみてください。それが完了したらpy.exe -m pip install -r python-packages.txt経由でpythonツールをインストールできます

7. すべてのツールをインストールした状態で、VMの状態のスナップショット/バックアップをもう一度取得します。

以下で説明したように、私はBoxstarter/Chocolateyインストールメカニズムの大ファンではありません。さらに、可能であれば、開発者からツールを直接ダウンロードし、自分でEGインストールパスを選択することを好みます。最後に、いくつかの理由で、静的コード分析VMを動的分析VMから分離するのが好きです。クラッター、スナップショットの復元時間、並列作業、主要な盗難を防ぐなど...

それにもかかわらず、他のVMセットアップスクリプトはあなたのためにうまく機能するかもしれないので、あなたのボートをフロートさせるものを選択し、（MIS）あなたのツールを信頼してください！

ここに私のスクリプトのいくつかの素晴らしい選択肢があります：

• Fireeye Flare-Vm
• Sentinellabs Revcoreツール

繰り返しますが、ワークフローには1つまたは2つのツールが欠落または余分なものがあるかもしれません。これがそうである場合、リポジトリをマシンにクローン化した後、 .jsonファイルにそれらを追加/削除することができます。便利なツールを自由に提供してください（以下を参照）！

ツールリストは、次の構造を持つJSONファイルです。 {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name =ツールの名前
• url = urlをダウンロードします
• nonCommercial =プロフェッショナルな使用許可？はい - > true、no-> false
• manual =マニュアルダウンロードが必要です

このセクションは、ツールの1つをインストールまたは実行中に問題がある場合に拡張されます。

以下の折りたたみ可能なセクションでは、スクリプトからダウンロードできるすべてのツールのリストを見つけることができます。

警告：それらのいずれかをダウンロードする前に、ツールのライセンス/契約条件を確認してください！それぞれの開発者が設定した用語を読み、受け入れ、準拠することは、ユーザーの責任です。

トライアル/デモバージョンを備えた商用ツールがいくつかありますが、このダウンロードスクリプトにそれらを含めないことを選択しました。 Microsoft Office、Cerbero Suite、Binary Ninja、VB-Decompiler Proなどを手動でインストールします。

これらのリストに欠落している素晴らしいツールについて提案があり、誰もが利益を得るか、どこかでエラーを発見することを提案した場合：問題を開いたり、プルリクエストを送信したりしてください。パッケージへの古いリンクについても同じことが言えます！ありがとう ：）

• 可能な限り開発者が提供する元のダウンロードサイトに直接リンク
• ツールとライセンスリンクをreadmeに挿入することを忘れないでください
• 静的/動的コンパートメント化に固執してください
• PythonツールがPython3で実行され、（ある程度）積極的に維持されていることを確認してください
• 問題/PRSでお互いに優れています