MalwareLab_VM Setup

Этот репозиторий содержит мой скрипт загрузки/настройки для виртуальных машин Windows, которые я использую для анализа вредоносных программ и программного обеспечения. Если вы ищете виртуальную машину Linux, вы должны проверить Remnux или Tsurugi.

• Функции
• Скриншоты
• Требования
• Установка
• Часто задаваемые вопросы
• Настройка
• Советы и хитрости
• Инструменты и лицензирование
• Внося

• Цель сценария - загружать инструменты, а не установить их. Это оставляет выбор того, что и где установить его для пользователя.
• Нет проблем с коробкой/шоколад!
• Отдельный анализ статического кода и динамический анализ виртуальных машин. YMMV, но это тот подход, который я предпочитаю!
• Возможность пропустить инструменты, которые не имеют лицензии на профессиональное использование
• Применить системные модификации, такие как: Отключить ASLR, Fix Fix Explorer File/Views Polder
• Загрузите сценарии, спрятанные с гипервизором, которые соответствуют вашей настройке
• Символы отладки предварительной нагрузки для автономного использования (подробнее об этом в разделе установки ниже)

Списки инструментов будут обновляться ежемесячно!

• Хост -машина, способная запускать обе виртуальные машины одновременно, будет оптимальной
• 4-8 ГБ+ ОЗУ и 64 ГБ+ хранилище на виртуальную машину
• Гипервизор по вашему выбору
• Windows ISOS (Win 7 SP1, Win 8.1 или Win 10) и соответствующие ключи лицензии

1. Установите свежую виртуальную машину Windows с гипервизором, которым вы доверяете или загружаете VM Modern.ie (обратите внимание, что этот сценарий предназначен для запуска на виртуальной машине x64). Я использую Windows 7 Ultimate X64 для своей виртуальной машины, но у меня также есть второстепенная отладка виртуальной машины под управлением Windows 10 Pro, чтобы оставаться в курсе актов ;-)

Несколько советов для установки Fresh Windows 7:

• Вам может потребоваться установить KB3138612, чтобы иметь возможность запустить обновление Windows
• Пожалуйста, установите .NET 4.8, а затем WMF 5.1 перед запуском сценария PowerShell
• Если вы хотите сделать себе одолжение: установите правильный браузер сразу. Просмотр со старым IE - это боль, и этот сценарий установки откроет несколько страниц Microsoft, где вам придется нажать «Скачать»: D

2. Я бы порекомендовал создать снимок или экспортировать файл .ova/.ovf чистой виртуальной машины.

3. Откройте подсказку PowerShell в качестве администратора и запустите Set-ExecutionPolicy Unrestricted , чтобы позволить запускать сценарии PowerShell в системе без помех.

4. Загрузите/клонировать это хранилище и запустить vm_setup.ps1 с помощью PowerShell (для установки ключей реестра необходима повышенная подсказка)

Аргументы : .vm_setup.ps1 -argument

• -nonCommercial $False - Пропустить инструменты, которые не позволяют коммерческое использование в условиях лицензирования
• -symbols $True -это шаг после установки, обязательно установите «Инструменты сборки для Visual Studio». Если вам просто нужны самые распространенные символы, дайте ему работать в течение нескольких минут (<5-10 мин) и отменить с помощью Ctrl+c. Прохождение всех символов для файлов, присутствующих в System32, займет много времени и заполняет ваш диск.

5. Как только скрипт успешно вышел, вы можете закрыть окно PowerShell и установить загруженное программное обеспечение. По умолчанию файлы будут сохранены в подкаталорию, называемой downloads в том же каталоге, что и скрипт vm_setup.ps1 , который вы выполнили.

6. Откройте новую командную строку (запустите в качестве администратора!) И попробуйте обновить PIP First py.exe -m pip install --upgrade pip . Как только это будет выполнено, вы можете установить инструменты Python через py.exe -m pip install -r python-packages.txt

7. Еще раз сделайте снимок/резервную копию состояния виртуальной машины со всеми установленными инструментами.

Как я уже упоминал ниже, я не большой поклонник механизма установки Boxstarter/Chocolate. Кроме того, я предпочитаю загружать инструменты непосредственно из разработчика, если это возможно, и сам выбирать путь установки EG. Наконец, мне нравится отделить свою виртуальную машину для анализа статического кода от моей виртуальной машины динамического анализа по нескольким причинам: меньше беспорядка, более быстрое время восстановления снимков, параллельная работа, для предотвращения кражи лицензионного ключа и так далее ...

Тем не менее, другие сценарии настройки виртуальной машины могут работать лучше для вас, поэтому выбирайте все, что поплавает, и (MIS) доверяйте вашим инструментам!

Вот несколько отличных альтернативы моему сценарию:

• Fireeye Flare-Vm
• Sentinellabs Revcore Tools

Опять же, для вашего рабочего процесса может быть один или два инструмента. Если это так, вы можете просто добавить/удалить их в/из файлов .json после клонирования репозитория к вашей машине. Не стесняйтесь вносить полезные инструменты (см. Ниже)!

Списки инструментов являются файлами json со следующей структурой: {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = Имя инструмента
• url = скачать URL
• nonCommercial = профессиональное использование разрешено? Да -> Верно, нет -> Ложь
• manual = Требуется загрузка ручной работы

Этот раздел будет расширен, если возникнут какие -либо проблемы при установке или запуске одного из инструментов.

В разделе складной ниже вы можете найти список всех инструментов, доступных для загрузки через сценарий.

ПРЕДУПРЕЖДЕНИЕ: Пожалуйста, проверьте лицензии/условия инструментов, прежде чем загружать любой из них! Пользователь ответственен читать, принимать, принимать и соблюдать термины, установленные соответствующими разработчиками.

Есть несколько коммерческих инструментов, которые имеют пробные/демонстрационные версии, но я решил не включать их в этот сценарий загрузки. Я установите Microsoft Office, Cerbero Suite, Binary Ninja, VB-Decompiler Pro и т. Д. Вручную.

Если у вас есть какие -либо предложения для удивительных инструментов, которые отсутствуют в этих списках, и от которых все получили бы прибыль или вы найдете ошибку где -то: не стесняйтесь открывать проблему или отправить запрос на привлечение. То же самое касается устаревших ссылок на пакеты! Спасибо :)

• Непосредственно ссылка на оригинальный сайт загрузки, предоставленный разработчиком, когда это возможно
• Не забудьте вставить ссылку на инструмент и лицензию в Readme
• Придерживайтесь статической/динамической компартментализации
• Пожалуйста, убедитесь, что инструменты Python работают на Python3 и (несколько) активно поддерживаются
• Быть превосходными друг для друга в вопросах/PRS