MalwareLab_VM Setup

ที่เก็บนี้มีสคริปต์ดาวน์โหลด/ตั้งค่าของฉันสำหรับเครื่องเสมือน Windows ที่ฉันใช้สำหรับการวิเคราะห์มัลแวร์และวิศวกรรมย้อนกลับซอฟต์แวร์ หากคุณกำลังมองหา Linux VM คุณควรตรวจสอบ Remnux หรือ Tsurugi

• คุณสมบัติ
• ภาพหน้าจอ
• ความต้องการ
• การติดตั้ง
• คำถามที่พบบ่อย
• การปรับแต่ง
• เคล็ดลับและกลเม็ด
• เครื่องมือและใบอนุญาต
• การบริจาค

• จุดประสงค์ของสคริปต์คือการดาวน์โหลดเครื่องมือไม่ติดตั้ง สิ่งนี้ทำให้ทางเลือกของสิ่งที่และสถานที่ติดตั้งกับผู้ใช้
• ไม่มีปัญหาบ็อกซ์สตาร์เทอร์/ช็อคโกแลต!
• การวิเคราะห์รหัสคงที่แยกต่างหากและการวิเคราะห์แบบไดนามิก VMS ymmv แต่นี่เป็นวิธีที่ฉันชอบ!
• ตัวเลือกในการข้ามเครื่องมือที่ไม่ได้รับอนุญาตสำหรับการใช้งานอย่างมืออาชีพ
• ใช้การปรับเปลี่ยนระบบเช่น: ปิดใช้งาน ASLR, แก้ไขมุมมองไฟล์/โฟลเดอร์ Explorer
• ดาวน์โหลดสคริปต์การป้องกัน Hypervisor ที่ตรงกับการตั้งค่าของคุณ
• สัญลักษณ์การดีบักล่วงหน้าสำหรับการใช้งานออฟไลน์ (เพิ่มเติมเกี่ยวกับสิ่งนี้ในส่วนการติดตั้งด้านล่าง)

รายการเครื่องมือจะได้รับการอัปเดตเป็นรายเดือน!

• เครื่องโฮสต์ที่สามารถเรียกใช้ VM ทั้งสองในเวลาเดียวกันจะเหมาะสมที่สุด
• 4-8GB+ ของ RAM และ 64GB+ ที่เก็บต่อ VM
• ไฮเปอร์ไวเซอร์ที่คุณเลือก
• Windows ISOS (Win 7 SP1, Win 8.1 หรือ Win 10) และการจับคู่คีย์ลิขสิทธิ์

1. ตั้งค่า Windows VM ใหม่ด้วย Hypervisor ที่คุณไว้วางใจหรือดาวน์โหลด Modern.ie VM (โปรดทราบว่าสคริปต์นี้มีไว้เพื่อทำงานบน X64 VM) ฉันใช้ Windows 7 Ultimate X64 สำหรับ VM ของฉัน แต่ฉันยังมีการดีบักรอง VM ที่ใช้ Windows 10 Pro เพื่อติดตามความทันสมัย ​​;-)

เคล็ดลับเล็กน้อยสำหรับการติดตั้ง Windows 7 สด:

• คุณอาจต้องติดตั้ง KB3138612 เพื่อให้สามารถเรียกใช้ Windows Update ได้
• โปรดติดตั้ง. NET 4.8 และหลังจากนั้น WMF 5.1 ก่อนเรียกใช้สคริปต์ PowerShell
• หากคุณต้องการทำสิ่งที่คุณโปรดปราน: ติดตั้งเบราว์เซอร์ที่เหมาะสมทันที การเรียกดูด้วย IE เก่าคือความเจ็บปวดและสคริปต์การติดตั้งนี้จะเปิดหน้า Microsoft สองสามหน้าซึ่งคุณจะต้องคลิก 'ดาวน์โหลด': D

2. ฉันขอแนะนำให้สร้างสแนปชอตหรือส่งออกไฟล์. ova/.ovf ของ VM ที่สะอาด

3. เปิดพรอมต์ PowerShell ในฐานะผู้ดูแลระบบและเรียกใช้ Set-ExecutionPolicy Unrestricted เพื่อให้สคริปต์ PowerShell ทำงานบนระบบโดยไม่มีการรบกวน

4. ดาวน์โหลด/โคลนที่เก็บนี้และเรียกใช้ vm_setup.ps1 ด้วย PowerShell (พรอมต์ยกระดับเป็นสิ่งจำเป็นสำหรับการตั้งค่าคีย์รีจิสทรี)

อาร์กิวเมนต์: .vm_setup.ps1 -argument

• -nonCommercial $False - Skip Tools ที่ไม่อนุญาตให้มีการใช้งานเชิงพาณิชย์ในเงื่อนไขการออกใบอนุญาตของพวกเขา
• -symbols $True -นี่คือขั้นตอนหลังการติดตั้งตรวจสอบให้แน่ใจว่าได้ติดตั้ง "Build Tools for Visual Studio" ก่อน หากคุณต้องการสัญลักษณ์ที่พบบ่อยที่สุดปล่อยให้มันทำงานสักสองสามนาที (<5-10 นาที) และยกเลิกด้วย Ctrl+C การผ่านสัญลักษณ์ทั้งหมดสำหรับไฟล์ที่มีอยู่ใน System32 จะใช้เวลานานและเติมเต็มไดรฟ์ของคุณ

5. เมื่อสคริปต์ออกสำเร็จคุณสามารถปิดหน้าต่าง PowerShell และติดตั้งซอฟต์แวร์ที่ดาวน์โหลดได้ โดยค่าเริ่มต้นไฟล์จะถูกบันทึกลงในไดเรกทอรีย่อยที่เรียกว่า downloads ในไดเรกทอรีเดียวกับสคริปต์ vm_setup.ps1 ที่คุณดำเนินการ

6. เปิดพรอมต์คำสั่งใหม่ (เรียกใช้เป็นผู้ดูแลระบบ!) และลองอัพเกรด PIP First py.exe -m pip install --upgrade pip เมื่อเสร็จแล้วคุณสามารถติดตั้งเครื่องมือ Python ผ่าน py.exe -m pip install -r python-packages.txt

7. ใช้สแน็ปช็อต/สำรองข้อมูลของสถานะ VM อีกครั้งด้วยเครื่องมือทั้งหมดที่ติดตั้ง

ดังที่ฉันได้กล่าวไว้ด้านล่างฉันไม่ใช่แฟนตัวยงของกลไกการติดตั้ง Boxstarter/Chocolatey นอกจากนี้ฉันต้องการดาวน์โหลดเครื่องมือโดยตรงจากนักพัฒนาถ้าเป็นไปได้และเลือกเส้นทางการติดตั้งเช่นตัวเอง สุดท้ายฉันชอบที่จะแยกการวิเคราะห์รหัสแบบคงที่ VM ออกจากการวิเคราะห์แบบไดนามิก VM ด้วยเหตุผลสองประการ: ความยุ่งเหยิงน้อยลง, สแน็ปช็อตที่เร็วขึ้นเวลาคืนค่าการทำงานแบบขนานเพื่อป้องกันการขโมยกุญแจใบอนุญาตและอื่น ๆ ...

อย่างไรก็ตามสคริปต์การตั้งค่า VM อื่น ๆ อาจทำงานได้ดีขึ้นสำหรับคุณดังนั้นเลือกใด ๆ ที่ลอยเรือของคุณและ (MIS) เชื่อใจเครื่องมือของคุณ!

นี่คือทางเลือกที่ดีสำหรับสคริปต์ของฉัน:

• FireEye Flare-VM
• Sentinellabs revcore tools

อีกครั้งอาจมีเครื่องมือหนึ่งหรือสองตัวที่ขาดหายไปหรือฟุ่มเฟือยสำหรับเวิร์กโฟลว์ของคุณ หากนี่เป็นกรณีที่คุณสามารถเพิ่ม/ลบออกไปที่/ออกจากไฟล์ .json หลังจากโคลนที่เก็บลงในเครื่องของคุณ อย่าลังเลที่จะมีส่วนร่วมเครื่องมือที่มีประโยชน์ (ดูด้านล่าง)!

รายการเครื่องมือคือไฟล์ JSON ที่มีโครงสร้างต่อไปนี้: {"name": "7Zip", "url": "https://www.7-zip.org/a/7z1900-x64.exe", "nonCommercial": true, "manual": false},

• name = ชื่อของเครื่องมือ
• url = ดาวน์โหลด url
• nonCommercial = การใช้งานระดับมืออาชีพได้รับอนุญาต? ใช่ -> จริงไม่ -> เท็จ
• manual = ต้องดาวน์โหลดด้วยตนเอง

ส่วนนี้จะมีการขยายหากมีปัญหาใด ๆ ในขณะที่การติดตั้งหรือเรียกใช้เครื่องมือใดเครื่องมือหนึ่ง

ในส่วนที่ยุบลงด้านล่างคุณสามารถค้นหารายการเครื่องมือทั้งหมดที่มีให้ดาวน์โหลดผ่านสคริปต์

คำเตือน: โปรดตรวจสอบใบอนุญาต/ข้อกำหนดและเงื่อนไขของเครื่องมือก่อนที่คุณจะดาวน์โหลดใด ๆ ! มันเป็นความรับผิดชอบของผู้ใช้ที่จะอ่านยอมรับและปฏิบัติตามข้อกำหนดที่กำหนดโดยนักพัฒนาที่เกี่ยวข้อง

มีเครื่องมือเชิงพาณิชย์บางอย่างที่มีเวอร์ชันทดลอง/ตัวอย่าง แต่ฉันเลือกที่จะไม่รวมไว้ในสคริปต์ดาวน์โหลดนี้ ฉันจะติดตั้ง Microsoft Office, Cerbero Suite, Binary Ninja, VB-Decompiler Pro ฯลฯ ด้วยตนเอง

หากคุณมีคำแนะนำสำหรับเครื่องมือที่ยอดเยี่ยมที่ขาดหายไปในรายการเหล่านี้และทุกคนจะได้รับผลกำไรจากหรือคุณพบข้อผิดพลาดที่ไหนสักแห่ง: อย่าลังเลที่จะเปิดปัญหาหรือส่งคำขอดึง เหมือนกันสำหรับลิงก์ที่ล้าสมัยไปยังแพ็คเกจ! ขอบคุณ :)

• เชื่อมโยงโดยตรงไปยังไซต์ดาวน์โหลดดั้งเดิมที่จัดทำโดยนักพัฒนาเมื่อใดก็ตามที่เป็นไปได้
• อย่าลืมแทรกเครื่องมือและลิงค์ใบอนุญาตลงใน readme
• โปรดยึดติดกับการแบ่งส่วนแบบคงที่/แบบไดนามิก
• โปรดตรวจสอบให้แน่ใจว่าเครื่องมือ Python ทำงานบน Python3 และได้รับการดูแลอย่างแข็งขัน (ค่อนข้าง)
• เป็นคนที่ยอดเยี่ยมซึ่งกันและกันในประเด็น/PRS