flare vm

Willkommen bei FLARE-VM – einer Sammlung von Softwareinstallationsskripten für Windows-Systeme, mit denen Sie ganz einfach eine Reverse-Engineering-Umgebung auf einer virtuellen Maschine (VM) einrichten und verwalten können. FLARE-VM wurde entwickelt, um das Problem der Reverse-Engineering-Tool-Kuratierung zu lösen und basiert auf zwei Haupttechnologien: Chocolatey und Boxstarter. Chocolatey ist ein Windows-basiertes Nuget-Paketverwaltungssystem, bei dem ein „Paket“ im Wesentlichen eine ZIP-Datei ist, die PowerShell-Installationsskripte enthält, die ein bestimmtes Tool herunterladen und konfigurieren. Boxstarter nutzt Chocolatey-Pakete, um die Installation von Software zu automatisieren und wiederholbare, skriptgesteuerte Windows-Umgebungen zu erstellen.

FLARE-VM sollte NUR auf einer virtuellen Maschine installiert werden . Die VM sollte die folgenden Anforderungen erfüllen:

• Windows >= 10
• PowerShell >= 5
• Festplattenkapazität von mindestens 60 GB und Arbeitsspeicher von mindestens 2 GB
• Benutzernamen ohne Leerzeichen oder andere Sonderzeichen
• Internetverbindung
• Manipulationsschutz und alle Anti-Malware-Lösungen (z. B. Windows Defender) Windows Defender deaktiviert, vorzugsweise über Gruppenrichtlinien
• Windows-Updates deaktiviert

In diesem Abschnitt werden die Schritte zur Installation von FLARE-VM dokumentiert. Möglicherweise finden Sie auch die Erstellung einer VM für Reverse Engineering und Malware-Analyse hilfreich! Installation des FLARE-VM- Videos.

• Bereiten Sie eine virtuelle Maschine mit Windows 10+ vor
  • Installieren Sie Windows in der virtuellen Maschine, beispielsweise mit der rohen Windows 10-ISO von https://www.microsoft.com/en-us/software-download/windows10ISO
  • Stellen Sie sicher, dass die oben genannten Anforderungen erfüllt sind, einschließlich:
    • Deaktivieren Sie Windows-Updates (zumindest bis die Installation abgeschlossen ist)
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • Deaktivieren Sie den Manipulationsschutz und alle Anti-Malware-Lösungen (z. B. Windows Defender), vorzugsweise über Gruppenrichtlinien.
      • Gruppenrichtlinienobjekt: https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
      • Nicht-GPO – Handbuch: https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
      • Nicht-GPO – automatisiert: https://github.com/ionuttbara/windows-defender-remover
      • Nicht-GPO – Halbautomatisch (Benutzer muss den Manipulationsschutz ausschalten): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean /blob/main/ToggleDefender.ps1)
• Machen Sie einen VM-Snapshot, damit Sie jederzeit zu einem Zustand vor der FLARE-VM-Installation zurückkehren können

• Öffnen Sie eine PowerShell Eingabeaufforderung als Administrator
• Laden Sie das Installationsskript installer.ps1 auf Ihren Desktop herunter:
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• Entsperren Sie das Installationsskript:
  • Unblock-File .install.ps1
• Skriptausführung aktivieren:
  • Set-ExecutionPolicy Unrestricted -Force
    • Wenn Sie eine Fehlermeldung erhalten, dass die Ausführungsrichtlinie durch eine Richtlinie überschrieben wird, die in einem spezifischeren Bereich definiert ist, müssen Sie möglicherweise einen Bereich über Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force übergeben. Um Ausführungsrichtlinien für alle Bereiche anzuzeigen, führen Sie Get-ExecutionPolicy -List aus
• Führen Sie abschließend das Installationsskript wie folgt aus:
  • .install.ps1
    • So übergeben Sie Ihr Passwort als Argument: .install.ps1 -password <password>
    • So verwenden Sie den reinen CLI-Modus mit minimaler Benutzerinteraktion: .install.ps1 -password <password> -noWait -noGui
    • So verwenden Sie den reinen CLI-Modus mit minimaler Benutzerinteraktion und einer benutzerdefinierten Konfigurationsdatei: .install.ps1 -customConfig <config.xml> -password <password> -noWait -noGui
• Nach der Installation wird empfohlen, in host-only Netzwerkmodus zu wechseln und einen VM-Snapshot zu erstellen

Nachfolgend finden Sie die Beschreibungen der CLI-Parameter.

 PARAMETERS
    -password <String>
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword [<SwitchParameter>]
        Switch parameter indicating a password is not needed for reboots.

    -customConfig <String>
        Path to a configuration XML file. May be a file path or URL.

    -customLayout <String>
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait [<SwitchParameter>]
        Switch parameter to skip installation message before installation begins.

    -noGui [<SwitchParameter>]
        Switch parameter to skip customization GUI.

    -noReboots [<SwitchParameter>]
        Switch parameter to prevent reboots (not recommended).

    -noChecks [<SwitchParameter>]
        Switch parameter to skip validation checks (not recommended).

Um vollständige Nutzungsinformationen zu erhalten, führen Sie Get-Help .install.ps1 -Detailed .

Die Installations-GUI wird angezeigt, nachdem die Validierungsprüfungen ausgeführt und Boxstarter und Chocolatey installiert wurden (sofern diese nicht bereits installiert sind). Mit der Installations-GUI können Sie Folgendes anpassen:

• Paketauswahl
• Pfade von Umgebungsvariablen

Das Installationsprogramm lädt config.xml aus dem FLARE-VM-Repository herunter. Diese Datei enthält die Standardkonfiguration, einschließlich der Liste der zu installierenden Pakete und der Pfade der Umgebungsvariablen. Sie können Ihre eigene Konfiguration verwenden, indem Sie das CLI-Argument -customConfig angeben und entweder einen lokalen Dateipfad oder eine URL zu Ihrer config.xml Datei angeben. Zum Beispiel:

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

Das Installationsprogramm verwendet CustomStartLayout.xml aus dem FLARE-VM-Repository. Diese Datei enthält das Standardlayout der Taskleiste. Sie können Ihre eigene Konfiguration verwenden, indem Sie das CLI-Argument -customLayout angeben und einen lokalen Dateipfad oder eine URL zu Ihrer CustomStartLayout.xml Datei angeben. Zum Beispiel:

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• Elemente in der XML-Datei, die nicht installiert sind, werden nicht in der Taskleiste angezeigt (es werden keine defekten Links angeheftet).
• Es können nur Anwendungen (.exe-Dateien) oder Verknüpfungen zu Anwendungen angeheftet werden.
• Wenn Sie etwas anpinnen möchten, das keine Anwendung ist, sollten Sie eine Verknüpfung erstellen, die auf cmd.exe oder powershell mit bereitgestellten Argumenten verweist, die die gewünschten Aktionen ausführt.
• Wenn Sie etwas mit Administratorrechten ausführen möchten, sollten Sie erwägen, eine Verknüpfung mit VM-Install-Shortcut mit der Flagge -runAsAdmin zu erstellen und die Verknüpfung anzuheften.

Sie können jeden gewünschten Schritt nach der Installation in die Konfiguration innerhalb der Tags apps , services , path-items , registry-items und custom-items einschließen.

Zum Beispiel:

• So zeigen Sie bekannte Dateierweiterungen an:

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    </ registry-items >

Weitere Beispiele finden Sie in der Standardkonfigurationsdatei: config.xml.

Möchten Sie anfangen, Beiträge zu leisten? Unter den folgenden Links erfahren Sie, wie das geht. Wir freuen uns darauf, mit Ihnen zusammenzuarbeiten, um FLARE-VM zu verbessern! ?

• FLARE-VM-Installationsskript und Konfiguration: https://github.com/mandiant/flare-vm
  • Senden Sie Verbesserungsvorschläge und melden Sie Probleme im Zusammenhang mit dem Installationsprogramm

• Repository aller Tool-Pakete: https://github.com/mandiant/VM-Packages
  • Dokumentation und Beitragsleitfäden für Werkzeugpakete
  • Reichen Sie neue Toolpakete ein oder melden Sie paketbezogene Probleme

Wenn Ihre Installation fehlschlägt, versuchen Sie bitte, die Ursache für den Installationsfehler zu ermitteln, indem Sie die unten aufgeführten Protokolldateien auf Ihrem System durchlesen:

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

Stellen Sie sicher, dass Sie die neueste Version des FLARE-VM-Installationsprogramms ausführen und dass Ihre VM die Anforderungen erfüllt.

Wenn die Installation aufgrund eines Problems im Installationsskript (z. B. install.ps1 ) fehlgeschlagen ist, melden Sie den Fehler in FLARE-VM. Geben Sie alle angeforderten Informationen an, um sicherzustellen, dass wir Ihnen helfen können.

Hinweis: In seltenen Fällen sollte install.ps1 der Grund für einen Installationsfehler sein. Höchstwahrscheinlich ist es ein bestimmtes Paket oder eine Reihe von Paketen, die fehlschlagen (siehe unten).

Von Zeit zu Zeit werden Pakete nicht installiert – das ist normal. Die häufigsten Gründe sind im Folgenden aufgeführt:

1. Fehler oder Zeitüberschreitung von Chocolatey oder MyGet beim Herunterladen einer .nupkg Datei
2. Fehler oder Zeitüberschreitung aufgrund eines Remote-Hosts beim Herunterladen eines Tools
3. Das Intrusion Detection System (IDS) oder AV-Produkt (z. B. Windows Defender) verhindert den Download eines Tools oder entfernt das Tool vom System
4. Hostspezifisches Problem, beispielsweise bei Verwendung einer ungetesteten Version
5. Das Tool kann aufgrund von Abhängigkeiten nicht erstellt werden
6. Alte Tool-URL (z. B. HTTP STATUS 404 )
7. Der SHA256-Hash des Tools hat sich gegenüber dem, was im Paketinstallationsskript fest codiert ist, geändert

Die Gründe 1–4 sind für uns schwer zu beheben, da wir sie nicht kontrollieren. Wenn ein Problem im Zusammenhang mit den Gründen 1–4 eingereicht wird, ist es unwahrscheinlich, dass wir Ihnen weiterhelfen können.

Wir können bei den Gründen 5–7 helfen und heißen die Community herzlich willkommen, ebenfalls Korrekturen beizusteuern! Bitte melden Sie den Fehler in VM-Packages und geben Sie alle angeforderten Informationen an.

Beachten Sie, dass Paketaktualisierungen nach bestem Wissen und Gewissen erfolgen und nicht getestet werden. Wenn Fehler auftreten, führen Sie eine Neuinstallation von FLARE-VM durch.

Dieses Download-Konfigurationsskript wird bereitgestellt, um Cybersicherheitsanalysten bei der Erstellung praktischer und vielseitiger Toolboxen für Malware-Analyseumgebungen zu unterstützen. Es bietet ihnen eine praktische Schnittstelle, über die sie nützliche Analysetools direkt aus ihren Originalquellen beziehen können. Die Installation und Nutzung dieses Skripts unterliegt der Apache 2.0-Lizenz. Als Benutzer dieses Skripts müssen Sie die Lizenzbedingungen jedes heruntergeladenen/installierten Pakets überprüfen, akzeptieren und einhalten. Indem Sie mit der Installation fortfahren, akzeptieren Sie die Lizenzbedingungen jedes Pakets und erkennen an, dass Ihre Nutzung jedes Pakets den jeweiligen Lizenzbedingungen unterliegt.