MalwareLab_VM Setup

Este repositório contém meu script de download/configuração para as máquinas virtuais do Windows que eu uso para análise de malware e engenharia reversa de software. Se você estiver procurando por uma VM Linux, verifique Remnux ou Tsurugi.

• Características
• Capturas de tela
• Requisitos
• Instalação
• Perguntas frequentes
• Personalização
• Dicas e truques
• Ferramentas e licenciamento
• Contribuindo

• O objetivo do script é baixar ferramentas, não instalá -las. Isso deixa a escolha do que e onde instalá -lo ao usuário.
• No Boxstarter/Chocolatey Trouble!
• Análise de código estático separado e VMs de análise dinâmica. YMMV, mas essa é a abordagem que eu prefiro!
• Opção para pular ferramentas que não são licenciadas para uso profissional
• Aplicar modificações do sistema como: desativar aslr, corrigir o arquivo Explorer/pasta visualizações
• Baixe scripts de Hypervisor-Hiding que correspondem à sua configuração
• Pré -carga de depuração Símbolos para uso offline (mais sobre isso na seção de instalação abaixo)

As listas de ferramentas serão atualizadas mensalmente!

• Uma máquina host capaz de executar as duas VMs ao mesmo tempo seria ideal
• 4-8 GB+ de RAM e 64 GB+ armazenamento por VM
• Um hipervisor de sua escolha
• Windows ISOs (Win 7 SP1, Win 8.1 ou Win 10) e chaves de licença correspondentes

1. Configure uma VM Windows fresca com o hipervisor em que você confia ou baixe uma VM modern.ie (observe que esse script deve ser executado em x64 vms). Estou usando o Windows 7 Ultimate X64 para minhas VMs, mas também tenho uma VM de depuração secundária executando o Windows 10 Pro para se manter atualizado ;-)

Algumas dicas para instalações frescas do Windows 7:

• Pode ser necessário instalar o KB3138612 para poder executar o Windows Update
• Instale .NET 4.8 e depois WMF 5.1 antes de executar o script PowerShell
• Se você quiser fazer um favor a si mesmo: instale um navegador adequado imediatamente. Navegar com o antigo IE é uma dor e este script de instalação abrirá algumas páginas da Microsoft, onde você precisará clicar em 'download': D

2. Eu recomendo criar um instantâneo ou exportar um arquivo .ova/.ovf da VM limpo.

3. Abra um prompt do PowerShell como administrador e execute Set-ExecutionPolicy Unrestricted para permitir que os scripts do PowerShell sejam executados no sistema sem interferência.

4. Download/clone este repositório e execute vm_setup.ps1 com o PowerShell (um prompt elevado é necessário para definir as chaves do registro)

Argumentos:. .vm_setup.ps1 -argument

• -nonCommercial $False - Ferramentas de ignorar que não permitem uso comercial em seus termos de licenciamento
• -symbols $True -Esta é uma etapa de pós -instalação, instale as "Ferramentas de construção para o Visual Studio" primeiro. Se você precisar apenas dos símbolos mais comuns, deixe-o funcionar por alguns minutos (<5-10min) e cancelar com Ctrl+C. Passando por todos os símbolos para arquivos presentes no System32 levará muito tempo e preencherá sua unidade.

5. Depois que o script sai com sucesso, você poderá fechar a janela PowerShell e instalar o software baixado. Por padrão, os arquivos serão salvos em um subdiretório chamado downloads no mesmo diretório do script vm_setup.ps1 que você executou.

6. Abra um novo prompt de comando (execute como administrador!) E tente atualizar o PIP PY py.exe -m pip install --upgrade pip . Uma vez feito isso, você pode instalar as ferramentas Python via py.exe -m pip install -r python-packages.txt

7. Mais uma vez, tire um instantâneo/backup do estado da VM com todas as ferramentas instaladas.

Como mencionei abaixo, não sou um grande fã do mecanismo de instalação do Boxstarter/Chocolatey. Além disso, prefiro baixar as ferramentas diretamente do desenvolvedor, se possível, e escolher o caminho de instalação por exemplo. Por fim, gosto de separar minha análise de análise de código estático da minha análise dinâmica da VM por alguns motivos: menos desordem, mais rápido instantâneos tempos de restauração, trabalho paralelo, para evitar o roubo de chave de licença e assim por diante ...

No entanto, outros scripts de configuração da VM podem funcionar melhor para você; portanto, escolha o que flutua seu barco e (mis) confie em suas ferramentas!

Aqui estão algumas ótimas alternativas ao meu script:

• FireEye Flare-vm
• Sentinellabs Revcore Tools

Novamente, pode haver uma ou duas ferramentas ausentes ou supérfluas para o seu fluxo de trabalho. Se for esse o caso, você pode simplesmente adicioná -los/removê -los para/dos arquivos .json após clonar o repositório à sua máquina. Sinta -se à vontade para contribuir com ferramentas úteis (veja abaixo)!

As listas de ferramentas são arquivos JSON com a seguinte estrutura: {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = nome da ferramenta
• url = baixar url
• nonCommercial = uso profissional permitido? Sim -> verdadeiro, não -> false
• manual = requer download manual

Esta seção será expandida se houver algum problema ao instalar ou executar uma das ferramentas.

Na seção dobrável abaixo, você pode encontrar uma lista de todas as ferramentas disponíveis para download através do script.

Aviso: Verifique as licenças/termos e condições das ferramentas antes de baixar qualquer uma delas! É a responsabilidade do usuário ler, aceitar e cumprir os termos definidos pelos respectivos desenvolvedores.

Existem algumas ferramentas comerciais que têm versões de tentativa/demonstração, mas eu escolhi não incluí -las neste script de download. Vou instalar o Microsoft Office, Cerbero Suite, Binário Ninja, VB-Decompiler Pro etc. manualmente.

Se você tiver alguma sugestão de ferramentas impressionantes que estão faltando nessas listas e que todos lucrariam ou você identificaria um erro em algum lugar: sinta -se à vontade para abrir um problema ou enviar uma solicitação de tração. O mesmo vale para links desatualizados para pacotes! Obrigado :)

• Link diretamente para o site de download original fornecido pelo desenvolvedor sempre que possível
• Lembre -se de inserir a ferramenta e o link de licença no ReadMe
• Por favor, siga a compartimentação estática/dinâmica
• Certifique -se de que as ferramentas python sejam executadas no python3 e estão (um pouco) mantidas ativamente
• Seja excelente um para o outro em questões/prs