flare vm

Selamat datang di FLARE-VM - kumpulan skrip instalasi perangkat lunak untuk sistem Windows yang memungkinkan Anda dengan mudah mengatur dan memelihara lingkungan rekayasa balik pada mesin virtual (VM). FLARE-VM dirancang untuk memecahkan masalah kurasi alat rekayasa balik dan mengandalkan dua teknologi utama: Chocolatey dan Boxstarter. Chocolatey adalah sistem manajemen paket Nuget berbasis Windows, di mana "paket" pada dasarnya adalah file ZIP yang berisi skrip instalasi PowerShell yang mengunduh dan mengonfigurasi alat tertentu. Boxstarter memanfaatkan paket Chocolatey untuk mengotomatiskan instalasi perangkat lunak dan menciptakan lingkungan Windows yang dapat diulang dan diberi skrip.

FLARE-VM HANYA harus diinstal pada mesin virtual . VM harus memenuhi persyaratan berikut:

• Jendela >= 10
• PowerShell >= 5
• Kapasitas disk minimal 60 GB dan memori minimal 2 GB
• Nama pengguna tanpa spasi atau karakter khusus lainnya
• Koneksi internet
• Perlindungan Tamper dan solusi Anti-Malware apa pun (misalnya, Windows Defender) Windows Defender dinonaktifkan, sebaiknya melalui Kebijakan Grup
• Pembaruan Windows Dinonaktifkan

Bagian ini mendokumentasikan langkah-langkah untuk menginstal FLARE-VM. Anda juga mungkin mendapatkan manfaat dari Membangun VM untuk Rekayasa Terbalik dan Analisis Malware! Menginstal video FLARE-VM .

• Siapkan mesin virtual Windows 10+
  • Instal Windows di mesin virtual, misalnya menggunakan ISO Windows 10 mentah dari https://www.microsoft.com/en-us/software-download/windows10ISO
  • Pastikan persyaratan di atas dipenuhi, termasuk:
    • Nonaktifkan Pembaruan Windows (setidaknya sampai instalasi selesai)
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • Nonaktifkan Tamper Protection dan solusi Anti-Malware apa pun (misalnya, Windows Defender), sebaiknya melalui Kebijakan Grup.
      • GPO: https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
      • Non-GPO - Manual: https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
      • Non-GPO - Otomatis: https://github.com/ionuttbara/windows-defender-remover
      • Non-GPO - Semi-Otomatis (Pengguna perlu menonaktifkan Perlindungan Tamper): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean /blob/main/ToggleDefender.ps1)
• Ambil snapshot VM sehingga Anda selalu dapat kembali ke keadaan sebelum instalasi FLARE-VM

• Buka perintah PowerShell sebagai administrator
• Unduh skrip instalasi installer.ps1 ke Desktop Anda:
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• Buka blokir skrip instalasi:
  • Unblock-File .install.ps1
• Aktifkan eksekusi skrip:
  • Set-ExecutionPolicy Unrestricted -Force
    • Jika Anda menerima pesan kesalahan yang menyatakan bahwa kebijakan eksekusi ditimpa oleh kebijakan yang ditentukan pada cakupan yang lebih spesifik, Anda mungkin perlu meneruskan cakupan melalui Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force . Untuk melihat kebijakan eksekusi untuk semua cakupan, jalankan Get-ExecutionPolicy -List
• Terakhir, jalankan skrip penginstal sebagai berikut:
  • .install.ps1
    • Untuk meneruskan kata sandi Anda sebagai argumen: .install.ps1 -password
    • Untuk menggunakan mode CLI-only dengan interaksi pengguna minimal: .install.ps1 -password -noWait -noGui
    • Untuk menggunakan mode CLI-only dengan interaksi pengguna minimal dan file konfigurasi khusus: .install.ps1 -customConfig -password -noWait -noGui
• Setelah instalasi, disarankan untuk beralih ke mode jaringan host-only dan mengambil snapshot VM

Di bawah ini adalah deskripsi parameter CLI.

 PARAMETERS
    -password 
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword []
        Switch parameter indicating a password is not needed for reboots.

    -customConfig 
        Path to a configuration XML file. May be a file path or URL.

    -customLayout 
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait []
        Switch parameter to skip installation message before installation begins.

    -noGui []
        Switch parameter to skip customization GUI.

    -noReboots []
        Switch parameter to prevent reboots (not recommended).

    -noChecks []
        Switch parameter to skip validation checks (not recommended).

Dapatkan informasi penggunaan lengkap dengan menjalankan Get-Help .install.ps1 -Detailed .

GUI Penginstal ditampilkan setelah menjalankan pemeriksaan validasi dan menginstal Boxstarter dan Chocolatey (jika belum diinstal). Dengan menggunakan GUI penginstal, Anda dapat menyesuaikan:

• Pemilihan paket
• Jalur variabel lingkungan

Penginstal akan mengunduh config.xml dari repositori FLARE-VM. File ini berisi konfigurasi default, termasuk daftar paket yang akan diinstal dan jalur variabel lingkungan. Anda dapat menggunakan konfigurasi Anda sendiri dengan menentukan argumen CLI -customConfig dan menyediakan jalur file lokal atau URL ke file config.xml Anda. Misalnya:

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

Penginstal akan menggunakan CustomStartLayout.xml dari repositori FLARE-VM. File ini berisi tata letak bilah tugas default. Anda dapat menggunakan konfigurasi Anda sendiri dengan menentukan argumen CLI -customLayout dan menyediakan jalur file lokal atau URL ke file CustomStartLayout.xml Anda. Misalnya:

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• Item dalam .xml yang tidak diinstal tidak akan ditampilkan di taskbar (tidak ada tautan rusak yang akan dipasangi pin)
• Hanya aplikasi (file .exe) atau pintasan ke aplikasi yang dapat disematkan.
• Jika Anda ingin menyematkan sesuatu yang bukan aplikasi, pertimbangkan untuk membuat pintasan yang mengarah ke cmd.exe atau powershell dengan argumen yang diberikan yang akan melakukan tindakan yang Anda inginkan.
• Jika Anda ingin menjalankan sesuatu dengan hak admin, pertimbangkan untuk membuat pintasan menggunakan VM-Install-Shortcut dengan tanda -runAsAdmin dan sematkan pintasan tersebut.

Anda dapat memasukkan langkah pasca instalasi apa pun yang Anda suka dalam konfigurasi di dalam tag apps , services , path-items , registry-items , dan custom-items .

Misalnya:

• Untuk menampilkan ekstensi file yang dikenal:

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    registry-items >

Untuk contoh lainnya, periksa file konfigurasi default: config.xml.

Ingin mulai berkontribusi? Lihat tautan di bawah untuk mempelajari caranya. Kami berharap dapat bekerja sama dengan Anda untuk meningkatkan FLARE-VM! ?

• Skrip instalasi FLARE-VM, dan konfigurasi: https://github.com/mandiant/flare-vm
  • Kirimkan proposal perbaikan dan laporkan masalah yang terkait dengan penginstal

• Repositori semua paket alat: https://github.com/mandiant/VM-Packages
  • Panduan dokumentasi dan kontribusi untuk paket alat
  • Kirimkan paket alat baru atau laporkan masalah terkait paket

Jika instalasi Anda gagal, cobalah mengidentifikasi alasan kesalahan instalasi dengan membaca file log yang tercantum di bawah ini pada sistem Anda:

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

Pastikan Anda menjalankan penginstal FLARE-VM versi terbaru dan VM Anda memenuhi persyaratan.

Jika instalasi gagal karena masalah dalam skrip instalasi (misalnya install.ps1 ), laporkan bug di FLARE-VM. Berikan semua informasi yang diminta untuk memastikan kami dapat membantu Anda.

Catatan: Jarang sekali install.ps1 menjadi alasan kegagalan instalasi. Kemungkinan besar itu adalah paket atau kumpulan paket tertentu yang gagal (lihat di bawah).

Paket gagal dipasang dari waktu ke waktu -- ini normal. Alasan paling umum diuraikan di bawah ini:

1. Kegagalan atau batas waktu dari Chocolatey atau MyGet untuk mengunduh file .nupkg
2. Kegagalan atau batas waktu karena host jarak jauh saat mengunduh alat
3. Intrusion Detection System (IDS) atau produk AV (misalnya, Windows Defender) mencegah pengunduhan alat atau menghapus alat dari sistem
4. Masalah khusus host, misalnya saat menggunakan versi yang belum teruji
5. Alat gagal dibuat karena ketergantungan
6. URL alat lama (misalnya, HTTP STATUS 404 )
7. Hash SHA256 alat telah berubah dari apa yang dikodekan dalam skrip instalasi paket

Alasan 1-4 sulit untuk kami perbaiki karena kami tidak mengontrolnya. Jika masalah terkait alasan 1-4 diajukan, kecil kemungkinannya kami dapat membantu.

Kami dapat membantu dengan alasan 5-7 dan menyambut komunitas untuk berkontribusi dalam perbaikan juga! Silakan laporkan bug di VM-Packages yang menyediakan semua informasi yang diminta.

Perhatikan bahwa pembaruan paket adalah upaya terbaik dan pembaruan tidak sedang diuji. Jika Anda mengalami kesalahan, lakukan instalasi FLARE-VM baru.

Skrip konfigurasi unduhan ini disediakan untuk membantu analis keamanan siber dalam membuat kotak peralatan yang praktis dan serbaguna untuk lingkungan analisis malware. Ini menyediakan antarmuka yang nyaman bagi mereka untuk mendapatkan seperangkat alat analisis yang berguna langsung dari sumber aslinya. Instalasi dan penggunaan skrip ini tunduk pada Lisensi Apache 2.0. Anda sebagai pengguna skrip ini harus meninjau, menerima dan mematuhi persyaratan lisensi setiap paket yang diunduh/diinstal. Dengan melanjutkan instalasi, Anda menerima ketentuan lisensi setiap paket, dan mengakui bahwa penggunaan Anda atas setiap paket akan tunduk pada ketentuan lisensi masing-masing.