مرحبًا بك في FLARE-VM - مجموعة من البرامج النصية لتثبيتات البرامج لأنظمة Windows والتي تتيح لك إعداد بيئة الهندسة العكسية والحفاظ عليها بسهولة على جهاز افتراضي (VM). تم تصميم FLARE-VM لحل مشكلة معالجة أدوات الهندسة العكسية ويعتمد على تقنيتين رئيسيتين: Chocolatey وBoxstarter. Chocolatey هو نظام إدارة حزم Nuget يستند إلى Windows، حيث تكون "الحزمة" في الأساس ملف ZIP يحتوي على نصوص تثبيت PowerShell التي تقوم بتنزيل أداة معينة وتكوينها. يستفيد Boxstarter من حزم Chocolatey لأتمتة تثبيت البرامج وإنشاء بيئات Windows مكتوبة وقابلة للتكرار.
يجب تثبيت FLARE-VM على جهاز افتراضي فقط . يجب أن يستوفي VM المتطلبات التالية:
يوثق هذا القسم خطوات تثبيت FLARE-VM. قد تجد أيضًا أنه من المفيد إنشاء جهاز افتراضي للهندسة العكسية وتحليل البرامج الضارة! تثبيت فيديو FLARE-VM .
PowerShell كمسؤولinstaller.ps1 على سطح المكتب لديك:(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")Unblock-File .install.ps1Set-ExecutionPolicy Unrestricted -ForceSet-ExecutionPolicy Unrestricted -Scope CurrentUser -Force . لعرض سياسات التنفيذ لجميع النطاقات، قم بتنفيذ Get-ExecutionPolicy -List.install.ps1.install.ps1 -password <password>.install.ps1 -password <password> -noWait -noGui.install.ps1 -customConfig <config.xml> -password <password> -noWait -noGuihost-only والتقاط لقطة VM فيما يلي أوصاف معلمات CLI.
PARAMETERS
-password <String>
Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.
-noPassword [<SwitchParameter>]
Switch parameter indicating a password is not needed for reboots.
-customConfig <String>
Path to a configuration XML file. May be a file path or URL.
-customLayout <String>
Path to a taskbar layout XML file. May be a file path or URL.
-noWait [<SwitchParameter>]
Switch parameter to skip installation message before installation begins.
-noGui [<SwitchParameter>]
Switch parameter to skip customization GUI.
-noReboots [<SwitchParameter>]
Switch parameter to prevent reboots (not recommended).
-noChecks [<SwitchParameter>]
Switch parameter to skip validation checks (not recommended).
احصل على معلومات الاستخدام الكاملة عن طريق تشغيل Get-Help .install.ps1 -Detailed .
يتم عرض واجهة المستخدم الرسومية لبرنامج التثبيت بعد تنفيذ عمليات التحقق من الصحة وتثبيت Boxstarter وChocolatey (إذا لم يتم تثبيتهما بالفعل). باستخدام واجهة المستخدم الرسومية الخاصة بالمثبت، يمكنك تخصيص:
سيقوم المثبت بتنزيل ملف config.xml من مستودع FLARE-VM. يحتوي هذا الملف على التكوين الافتراضي، بما في ذلك قائمة الحزم المطلوب تثبيتها ومسارات متغيرات البيئة. يمكنك استخدام التكوين الخاص بك عن طريق تحديد وسيطة CLI -customConfig وتوفير مسار ملف محلي أو عنوان URL لملف config.xml الخاص بك. على سبيل المثال:
.install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"
سيستخدم المثبت CustomStartLayout.xml من مستودع FLARE-VM. يحتوي هذا الملف على تخطيط شريط المهام الافتراضي. يمكنك استخدام التكوين الخاص بك عن طريق تحديد وسيطة CLI -customLayout وتوفير مسار ملف محلي أو عنوان URL لملف CustomStartLayout.xml الخاص بك. على سبيل المثال:
.install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"
cmd.exe أو powershell باستخدام الوسائط المتوفرة التي ستنفذ الإجراءات التي تريدها.VM-Install-Shortcut مع العلامة -runAsAdmin وتثبيت الاختصار. يمكنك تضمين أي خطوة ما بعد التثبيت التي تريدها في التكوين داخل العلامات apps ، services ، path-items ، registry-items ، و custom-items .
على سبيل المثال:
< registry-items >
< registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
</ registry-items >لمزيد من الأمثلة، تحقق من ملف التكوين الافتراضي: config.xml.
هل تريد البدء بالمساهمة؟ انظر الروابط أدناه لمعرفة كيف. نحن نتطلع إلى العمل معك لتحسين FLARE-VM! ؟
إذا فشل التثبيت، فيرجى محاولة تحديد سبب خطأ التثبيت من خلال قراءة ملفات السجل المدرجة أدناه على نظامك:
%VM_COMMON_DIR%log.txt%PROGRAMDATA%chocolateylogschocolatey.log%LOCALAPPDATA%Boxstarterboxstarter.logتأكد من أنك تقوم بتشغيل أحدث إصدار من برنامج تثبيت FLARE-VM وأن جهاز VM الخاص بك يلبي المتطلبات.
إذا فشل التثبيت بسبب مشكلة في البرنامج النصي للتثبيت (على سبيل المثال، install.ps1 )، فأبلغ عن الخطأ في FLARE-VM. قم بتقديم جميع المعلومات المطلوبة للتأكد من أننا قادرون على مساعدتك.
ملاحظة: نادرًا ما يكون
install.ps1هو سبب فشل التثبيت. على الأرجح أنها حزمة معينة أو مجموعة من الحزم الفاشلة (انظر أدناه).
يفشل تثبيت الحزم من وقت لآخر - وهذا أمر طبيعي. الأسباب الأكثر شيوعًا موضحة أدناه:
.nupkgHTTP STATUS 404 )يصعب علينا إصلاح الأسباب من 1 إلى 4 لأننا لا نتحكم فيها. إذا تم تقديم مشكلة تتعلق بالأسباب من 1 إلى 4 ، فمن غير المرجح أن نتمكن من المساعدة.
يمكننا المساعدة بالأسباب 5-7 ونرحب بالمجتمع للمساهمة في الإصلاحات أيضًا! الرجاء الإبلاغ عن الخلل في VM-Packages مع توفير كافة المعلومات المطلوبة.
لاحظ أن تحديثات الحزمة هي أفضل جهد وأنه لا يتم اختبار التحديثات. إذا واجهت أخطاء، فقم بإجراء تثبيت جديد لـ FLARE-VM.
يتم توفير هذا البرنامج النصي لتكوين التنزيل لمساعدة محللي الأمن السيبراني في إنشاء صناديق أدوات سهلة الاستخدام ومتعددة الاستخدامات لبيئات تحليل البرامج الضارة. فهو يوفر واجهة ملائمة لهم للحصول على مجموعة مفيدة من أدوات التحليل مباشرة من مصادرها الأصلية. يخضع تثبيت هذا البرنامج النصي واستخدامه لترخيص Apache 2.0. يجب عليك كمستخدم لهذا البرنامج النصي مراجعة شروط الترخيص الخاصة بكل حزمة تم تنزيلها/تثبيتها وقبولها والامتثال لها. من خلال متابعة التثبيت، فإنك تقبل شروط الترخيص لكل حزمة، وتقر بأن استخدامك لكل حزمة سيخضع لشروط الترخيص الخاصة بها.
