ホーム>プログラミング関連>その他のソースコード
ダウンロード
flare vm

FLARE-VM

FLARE-VM へようこそ。これは、仮想マシン (VM) 上でリバース エンジニアリング環境を簡単にセットアップおよび維持できる、Windows システム用のソフトウェア インストール スクリプトのコレクションです。 FLARE-VM は、リバース エンジニアリング ツールのキュレーションの問題を解決するために設計されており、Chocolatey と Boxstarter という 2 つの主要なテクノロジーに依存しています。 Chocolatey は Windows ベースの Nuget パッケージ管理システムであり、「パッケージ」とは基本的に、特定のツールをダウンロードして構成する PowerShell インストール スクリプトを含む ZIP ファイルです。 Boxstarter は Chocolatey パッケージを活用してソフトウェアのインストールを自動化し、反復可能なスクリプト化された Windows 環境を作成します。

FLARE-VM ロゴ

要件

FLARE-VM は仮想マシンにのみインストールする必要があります。 VM は次の要件を満たす必要があります。

  • Windows >= 10
  • PowerShell >= 5
  • 60GB以上のディスク容量と2GB以上のメモリ
  • スペースやその他の特殊文字を含まないユーザー名
  • インターネット接続
  • タンパー プロテクションおよびマルウェア対策ソリューション (Windows Defender など) Windows Defender を無効にする (できればグループ ポリシー経由)
  • Windows アップデートが無効になっています

取り付け説明書

このセクションでは、FLARE-VM をインストールする手順について説明します。リバース エンジニアリングとマルウェア分析のための VM の構築も役立つかもしれません。 FLARE-VM ビデオのインストール

プレインストール

  • Windows 10以降の仮想マシンを準備する
    • たとえば、https://www.microsoft.com/en-us/software-download/windows10ISO の生の Windows 10 ISO を使用して、仮想マシンに Windows をインストールします。
    • 以下を含む上記の要件が満たされていることを確認してください。
      • Windows Update を無効にする (少なくともインストールが完了するまで)
        • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
      • できればグループ ポリシーを介して、タンパー プロテクションとマルウェア対策ソリューション (Windows Defender など) を無効にします。
        • GPO: https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
        • 非 GPO - マニュアル: https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
        • 非 GPO - 自動: https://github.com/ionuttbara/windows-defender-remover
        • 非 GPO - 半自動 (ユーザーはタンパー プロテクションをオフに切り替える必要があります): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean) /blob/main/ToggleDefender.ps1)
  • VM スナップショットを作成すると、いつでも FLARE-VM のインストール前の状態に戻すことができます

FLARE-VMのインストール

  • 管理者としてPowerShellプロンプトを開きます
  • インストール スクリプトinstaller.ps1デスクトップにダウンロードします。
    • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
  • インストール スクリプトのブロックを解除します。
    • Unblock-File .install.ps1
  • スクリプトの実行を有効にします。
    • Set-ExecutionPolicy Unrestricted -Force
      • 実行ポリシーがより具体的なスコープで定義されたポリシーによって上書きされるというエラーを受け取った場合は、 Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Forceを介してスコープを渡す必要がある場合があります。すべてのスコープの実行ポリシーを表示するには、 Get-ExecutionPolicy -Listを実行します。
  • 最後に、次のようにインストーラー スクリプトを実行します。
    • .install.ps1
      • パスワードを引数として渡すには: .install.ps1 -password <password>
      • ユーザー操作を最小限に抑えて CLI のみモードを使用するには: .install.ps1 -password <password> -noWait -noGui
      • 最小限のユーザー操作とカスタム構成ファイルで CLI のみモードを使用するには: .install.ps1 -customConfig <config.xml> -password <password> -noWait -noGui
  • インストール後、 host-onlyネットワーク モードに切り替えて VM スナップショットを作成することをお勧めします。

インストーラーパラメータ

以下に CLI パラメータの説明を示します。 

 PARAMETERS
    -password <String>
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword [<SwitchParameter>]
        Switch parameter indicating a password is not needed for reboots.

    -customConfig <String>
        Path to a configuration XML file. May be a file path or URL.

    -customLayout <String>
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait [<SwitchParameter>]
        Switch parameter to skip installation message before installation begins.

    -noGui [<SwitchParameter>]
        Switch parameter to skip customization GUI.

    -noReboots [<SwitchParameter>]
        Switch parameter to prevent reboots (not recommended).

    -noChecks [<SwitchParameter>]
        Switch parameter to skip validation checks (not recommended).

Get-Help .install.ps1 -Detailed

インストーラーGUI

インストーラー GUI は、検証チェックを実行し、Boxstarter と Chocolatey をインストールした後に表示されます (まだインストールされていない場合)。インストーラー GUI を使用して、以下をカスタマイズできます。

  • パッケージの選択
  • 環境変数のパス

インストーラーGUI

構成

インストーラは、FLARE-VM リポジトリから config.xml をダウンロードします。このファイルには、インストールするパッケージのリストや環境変数のパスなどのデフォルト設定が含まれています。 CLI 引数-customConfigを指定し、ローカル ファイル パスまたはconfig.xmlファイルへの URL を指定することで、独自の構成を使用できます。例えば: 

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

タスクバーのレイアウト

インストーラーは、FLARE-VM リポジトリの CustomStartLayout.xml を使用します。このファイルには、デフォルトのタスクバー レイアウトが含まれています。 CLI 引数-customLayoutを指定し、 CustomStartLayout.xmlファイルへのローカル ファイル パスまたは URL を指定することで、独自の構成を使用できます。例えば: 

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"
考慮すべき点:
  • インストールされていない .xml 内の項目はタスクバーに表示されません (壊れたリンクは固定されません)。
  • アプリケーション (.exe ファイル) またはアプリケーションへのショートカットのみを固定できます。
  • アプリケーションではないものを固定したい場合は、必要なアクションを実行する引数を指定してcmd.exeまたはpowershellを指すショートカットを作成することを検討してください。
  • 管理者権限で何かを実行したい場合は、フラグ-runAsAdminを指定してVM-Install-Shortcut使用してショートカットを作成し、そのショートカットを固定することを検討してください。

インストール後の手順

タグappsservicespath-itemsregistry-items 、およびcustom-items内の構成に、任意のインストール後の手順を含めることができます。

例えば:

  • 既知のファイル拡張子を表示するには: 
    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    </ registry-items >

その他の例については、デフォルトの構成ファイル config.xml を確認してください。

貢献する

貢献を始めてみませんか?その方法については、以下のリンクを参照してください。 FLARE-VM の改善に向けて皆様と協力できることを楽しみにしています。 ?

FLARE-VM(このリポジトリ)

  • FLARE-VM インストール スクリプトと構成: https://github.com/mandiant/flare-vm
    • 改善提案の提出と設置者に関連する問題の報告

VMパッケージ

  • すべてのツール パッケージのリポジトリ: https://github.com/mandiant/VM-Packages
    • ツール パッケージのドキュメントと貢献ガイド
    • 新しいツール パッケージを送信するか、パッケージ関連の問題を報告する

トラブルシューティング

インストールが失敗した場合は、システム上の以下のログ ファイルを読んで、インストール エラーの原因を特定してください。

  • %VM_COMMON_DIR%log.txt
  • %PROGRAMDATA%chocolateylogschocolatey.log
  • %LOCALAPPDATA%Boxstarterboxstarter.log

最新バージョンの FLARE-VM インストーラを実行していること、および VM が要件を満たしていることを確認してください。

インストーラーエラー

インストール スクリプト ( install.ps1など) の問題によりインストールが失敗した場合は、FLARE-VM のバグを報告してください。確実にサポートできるよう、要求された情報をすべて提供してください。

注: install.ps1インストール失敗の原因となることはほとんどありません。最も可能性が高いのは、特定のパッケージまたは一連のパッケージが失敗していることです (以下を参照)。

パッケージエラー

パッケージのインストールに失敗することがありますが、これは正常な現象です。最も一般的な理由は次のとおりです。

  1. Chocolatey または MyGet からの.nupkgファイルのダウンロードの失敗またはタイムアウト
  2. ツールのダウンロード時にリモート ホストが原因で失敗またはタイムアウトが発生する
  3. 侵入検知システム (IDS) または AV 製品 (Windows Defender など) により、ツールのダウンロードが妨げられるか、システムからツールが削除されます。
  4. ホスト固有の問題(テストされていないバージョンを使用する場合など)
  5. 依存関係が原因でツールのビルドに失敗する
  6. 古いツールの URL (例: HTTP STATUS 404 )
  7. ツールの SHA256 ハッシュが、パッケージ インストール スクリプトにハードコードされているものから変更されました

理由1 ~ 4は私たちが制御できないため、修正するのが困難です。理由1 ~ 4に関連する問題が提起された場合、当社が対応できる可能性は低いです。

私たちは理由5 ~ 7について支援することができ、コミュニティが修正に貢献することも歓迎します。要求されたすべての情報を提供して、VM パッケージのバグを報告してください。

アップデート

パッケージの更新はベストエフォートであり、更新はテストされていないことに注意してください。エラーが発生した場合は、FLARE-VM の新規インストールを実行します。

法的通知

このダウンロード構成スクリプトは、サイバー セキュリティ アナリストがマルウェア分析環境用の便利で多用途のツールボックスを作成できるように支援するために提供されています。これは、元のソースから直接、有用な分析ツールのセットを取得するための便利なインターフェイスを提供します。このスクリプトのインストールと使用には、Apache 2.0 ライセンスが適用されます。このスクリプトのユーザーは、ダウンロード/インストールされた各パッケージのライセンス条項を確認し、同意し、遵守する必要があります。インストールを続行すると、各パッケージのライセンス条項に同意し、各パッケージの使用にはそれぞれのライセンス条項が適用されることを承認したことになります。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて