MalwareLab_VM Setup

이 저장소에는 맬웨어 분석 및 소프트웨어 리버스 엔지니어링에 사용하는 Windows 가상 머신에 대한 다운로드/설정 스크립트가 포함되어 있습니다. Linux VM을 찾고 있다면 Remnux 또는 Tsurugi를 확인해야합니다.

• 특징
• 스크린 샷
• 요구 사항
• 설치
• FAQ
• 사용자 정의
• 팁과 요령
• 도구 및 라이센스
• 기여

• 스크립트의 목적은 도구를 설치하지 않고 다운로드하는 것입니다. 이것은 사용자에게 무엇을 어디에서 설치 해야하는지 선택합니다.
• Boxstarter/Chocolate 문제가 없습니다!
• 별도의 정적 코드 분석 및 동적 분석 vms. ymmv 그러나 이것은 내가 선호하는 접근법입니다!
• 전문적인 용도로 라이센스가없는 도구를 건너 뛰는 옵션
• 다음과 같은 시스템 수정 적용 : ASLR 비활성화, 탐색기 파일/폴더보기 수정
• 설정과 일치하는 하이퍼 바이저 숨은 스크립트를 다운로드하십시오
• 오프라인 사용을위한 예압 디버깅 기호 (아래 설치 섹션에서 자세한 내용)

도구 목록은 매월 업데이트됩니다!

• 동시에 두 VM을 모두 실행할 수있는 호스트 머신은 최적입니다.
• VM 당 4-8GB+ 및 64GB+ 스토리지
• 당신이 선택한 하이퍼 바이저
• Windows ISOS (Win 7 SP1, 8.1 또는 승리 10) 및 매칭 라이센스 키

1. 현대식 .ie VM을 신뢰하거나 다운로드하는 하이퍼 바이저와 함께 신선한 Windows VM을 설정하십시오 (이 스크립트는 x64 vms에서 실행됩니다). VM에 Windows 7 Ultimate X64를 사용하고 있지만 Windows 10 Pro를 실행하는 2 차 디버깅 VM도 최신 상태를 유지하고 있습니다 .-)

새로운 Windows 7 설치에 대한 몇 가지 팁 :

• Windows 업데이트를 실행하려면 KB3138612를 설치해야 할 수도 있습니다.
• PowerShell 스크립트를 실행하기 전에 .NET 4.8을 설치 한 후 WMF 5.1을 설치하십시오.
• 자신에게 호의를 베풀고 싶다면 : 적절한 브라우저를 즉시 설치하십시오. 이전 IE를 사용하여 탐색하는 것은 고통 이며이 설치 스크립트는 '다운로드'를 클릭 해야하는 마이크로 소프트 페이지 몇 개를 열어줍니다.

2. Snapshot을 만들거나 Clean VM의 .ova/.ovf 파일을 내보내는 것이 좋습니다.

3. PowerShell 프롬프트를 관리자로 열고 Set-ExecutionPolicy Unrestricted 실행하여 PowerShell 스크립트가 간섭없이 시스템에서 실행될 수 있도록합니다.

4. 이 저장소를 다운로드/복제하고 PowerShell을 사용하여 vm_setup.ps1 실행합니다 (레지스트리 키를 설정하려면 고가 프롬프트가 필요합니다)

인수 : .vm_setup.ps1 -argument

• -nonCommercial $False 라이센스 용어에서 상업적으로 사용할 수없는 도구를 건너 뛰기
• -symbols $True 설치 후 단계입니다. 먼저 "Visual Studio 용 빌드 도구"를 먼저 설치하십시오. 가장 일반적인 기호가 필요한 경우 몇 분 동안 (<5-10 분)를 실행하고 Ctrl+C로 취소하십시오. System32에 존재하는 파일의 모든 기호를 살펴보면 오랜 시간이 걸리고 드라이브를 채 웁니다.

5. 스크립트가 성공적으로 종료되면 PowerShell 창을 닫고 다운로드 된 소프트웨어를 설치할 수 있습니다. 기본적으로 파일은 실행 한 vm_setup.ps1 스크립트와 동일한 디렉토리에서 downloads 라는 하위 디렉토리에 저장됩니다.

6. 새 명령 프롬프트를 열고 (관리자로 실행하십시오!) Pip First py.exe -m pip install --upgrade pip 업그레이드하십시오. 완료되면 py.exe -m pip install -r python-packages.txt 통해 Python 도구를 설치할 수 있습니다.

7. 모든 도구가 설치된 상태에서 VM 상태의 스냅 샷/백업을 다시 한 번 사용하십시오.

아래에서 언급했듯이 나는 Boxstarter/Chocolate 설치 메커니즘의 열렬한 팬이 아닙니다. 또한 가능한 경우 개발자로부터 직접 도구를 다운로드하고 EG 설치 경로를 직접 선택하는 것이 좋습니다. 마지막으로 정적 코드 분석 vm을 동적 분석 VM에서 몇 가지 이유로 분리하고 싶습니다. 혼란, 더 빠른 스냅 샷 복원 시간, 병렬 작업, 라이센스 키 도난을 방지하는 등 ...

그럼에도 불구하고 다른 VM 설정 스크립트는 더 잘 작동 할 수 있으므로 보트를 떠 다니는 것을 선택하고 도구를 신뢰하십시오!

다음은 내 스크립트에 대한 훌륭한 대안입니다.

• Fireeye flare-vm
• Sentinellabs Revcore 도구

다시 말하지만, 워크 플로우에는 하나 또는 두 개의 도구가 누락되거나 불필요 할 수 있습니다. 이 경우 저장소를 컴퓨터에 클로닝 한 후 .json 파일을/제거하거나 제거 할 수 있습니다. 유용한 도구를 자유롭게 제공하십시오 (아래 참조)!

도구 목록은 다음 구조의 JSON 파일입니다. {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = 도구의 이름
• url = 다운로드 URL
• nonCommercial = 전문적인 사용 허용? 예 -> true, no-> false
• manual = 수동 다운로드가 필요합니다

이 섹션은 도구 중 하나를 설치하거나 실행하는 동안 문제가 있으면 확장됩니다.

아래의 접을 수있는 섹션에서 스크립트를 통해 다운로드 할 수있는 모든 도구 목록을 찾을 수 있습니다.

경고 : 도구를 다운로드하기 전에 도구의 라이센스/이용 약관을 확인하십시오! 각 개발자가 설정 한 용어를 읽고 수락하며 준수하는 것은 사용자의 책임입니다.

시험/데모 버전이있는 몇 가지 상용 도구가 있지만이 다운로드 스크립트에 포함시키지 않기로 결정했습니다. Microsoft Office, Cerbero Suite, Binary Ninja, VB-Decompiler Pro 등을 수동으로 설치하겠습니다.

이 목록에 누락 된 멋진 도구에 대한 제안이 있고 모든 사람이 이익을 얻거나 어딘가에 오류를 발견 할 수있는 경우 : 문제를 열거 나 풀어 요청을 보내십시오. 패키지에 대한 오래된 링크도 마찬가지입니다! 감사합니다 :)

• 가능할 때마다 개발자가 제공 한 원래 다운로드 사이트에 직접 링크하십시오.
• 도구 및 라이센스 링크를 readme에 삽입해야합니다.
• 정적/동적 구획화를 고수하십시오
• Python 도구가 Python3에서 실행되고 (다소) 적극적으로 유지되는지 확인하십시오.
• 문제/PR에서 서로 우수합니다