flare vm

FLARE-VM에 오신 것을 환영합니다. 이는 가상 머신(VM)에서 리버스 엔지니어링 환경을 쉽게 설정하고 유지 관리할 수 있는 Windows 시스템용 소프트웨어 설치 스크립트 모음입니다. FLARE-VM은 리버스 엔지니어링 도구 선별 문제를 해결하도록 설계되었으며 Chocolatey와 Boxstarter라는 두 가지 주요 기술을 사용합니다. Chocolatey는 Windows 기반 Nuget 패키지 관리 시스템입니다. 여기서 "패키지"는 기본적으로 특정 도구를 다운로드하고 구성하는 PowerShell 설치 스크립트가 포함된 ZIP 파일입니다. Boxstarter는 Chocolatey 패키지를 활용하여 소프트웨어 설치를 자동화하고 반복 가능하고 스크립트로 작성된 Windows 환경을 만듭니다.

FLARE-VM은 가상 머신에만 설치해야 합니다 . VM은 다음 요구 사항을 충족해야 합니다.

• 윈도우 >= 10
• 파워셸 >= 5
• 최소 60GB의 디스크 용량 및 최소 2GB의 메모리
• 공백이나 기타 특수 문자가 없는 사용자 이름
• 인터넷 연결
• 변조 방지 및 모든 맬웨어 방지 솔루션(예: Windows Defender) Windows Defender 비활성화(가급적이면 그룹 정책을 통해)
• Windows 업데이트 비활성화

이 섹션에서는 FLARE-VM을 설치하는 단계를 설명합니다. 리버스 엔지니어링 및 맬웨어 분석을 위한 VM 구축도 유용할 수 있습니다! FLARE-VM 설치 동영상

• Windows 10+ 가상 머신 준비
  • 예를 들어 https://www.microsoft.com/en-us/software-download/windows10ISO의 원시 Windows 10 ISO를 사용하여 가상 머신에 Windows를 설치합니다.
  • 다음을 포함하여 위의 요구 사항이 충족되는지 확인하십시오.
    • Windows 업데이트 비활성화(적어도 설치가 완료될 때까지)
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • 가급적이면 그룹 정책을 통해 변조 방지 및 모든 맬웨어 방지 솔루션(예: Windows Defender)을 비활성화하십시오.
      • GPO: https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
      • 비 GPO - 매뉴얼: https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
      • 비 GPO - 자동화: https://github.com/ionuttbara/windows-defender-remover
      • 비GPO - 반자동(사용자는 변조 방지 기능을 꺼야 함): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean) /blob/main/ToggleDefender.ps1)
• FLARE-VM 설치 전 상태로 언제든지 되돌릴 수 있도록 VM 스냅샷을 찍습니다.

• 관리자로 PowerShell 프롬프트 열기
• 설치 스크립트 installer.ps1 을 데스크탑에 다운로드합니다.
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• 설치 스크립트 차단을 해제합니다.
  • Unblock-File .install.ps1
• 스크립트 실행 활성화:
  • Set-ExecutionPolicy Unrestricted -Force
    • 보다 구체적인 범위에 정의된 정책에 의해 실행 정책이 재정의되었다는 오류가 표시되면 Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force 통해 범위를 전달해야 할 수도 있습니다. 모든 범위에 대한 실행 정책을 보려면 Get-ExecutionPolicy -List 실행합니다.
• 마지막으로 다음과 같이 설치 프로그램 스크립트를 실행합니다.
  • .install.ps1
    • 비밀번호를 인수로 전달하려면: .install.ps1 -password
    • 최소한의 사용자 상호 작용으로 CLI 전용 모드를 사용하려면: .install.ps1 -password -noWait -noGui
    • 사용자 상호 작용을 최소화하고 사용자 정의 구성 파일을 사용하여 CLI 전용 모드를 사용하려면: .install.ps1 -customConfig -password -noWait -noGui
• 설치 후에는 host-only 네트워킹 모드로 전환하고 VM 스냅샷을 찍는 것이 좋습니다.

다음은 CLI 매개변수 설명입니다.

 PARAMETERS
    -password 
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword []
        Switch parameter indicating a password is not needed for reboots.

    -customConfig 
        Path to a configuration XML file. May be a file path or URL.

    -customLayout 
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait []
        Switch parameter to skip installation message before installation begins.

    -noGui []
        Switch parameter to skip customization GUI.

    -noReboots []
        Switch parameter to prevent reboots (not recommended).

    -noChecks []
        Switch parameter to skip validation checks (not recommended).

Get-Help .install.ps1 -Detailed 실행하여 전체 사용 정보를 얻으세요.

유효성 검사를 실행하고 Boxstarter 및 Chocolatey를 설치한 후(아직 설치되지 않은 경우) 설치 프로그램 GUI가 표시됩니다. 설치 프로그램 GUI를 사용하면 다음을 사용자 정의할 수 있습니다.

• 패키지 선택
• 환경 변수 경로

설치 프로그램은 FLARE-VM 저장소에서 config.xml을 다운로드합니다. 이 파일에는 설치할 패키지 목록과 환경 변수 경로를 포함한 기본 구성이 포함되어 있습니다. CLI 인수 -customConfig 지정하고 config.xml 파일에 대한 로컬 파일 경로 또는 URL을 제공하여 자체 구성을 사용할 수 있습니다. 예를 들어:

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

설치 프로그램은 FLARE-VM 저장소의 CustomStartLayout.xml을 사용합니다. 이 파일에는 기본 작업 표시줄 레이아웃이 포함되어 있습니다. CLI 인수 -customLayout 지정하고 CustomStartLayout.xml 파일에 대한 로컬 파일 경로 또는 URL을 제공하여 자체 구성을 사용할 수 있습니다. 예를 들어:

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• 설치되지 않은 .xml의 항목은 작업 표시줄에 표시되지 않습니다(깨진 링크는 고정되지 않습니다).
• 애플리케이션(.exe 파일) 또는 애플리케이션 바로가기만 고정할 수 있습니다.
• 애플리케이션이 아닌 항목을 고정하려면 원하는 작업을 수행하는 인수가 제공된 cmd.exe 또는 powershell 가리키는 바로가기를 만드는 것이 좋습니다.
• 관리자 권한으로 무언가를 실행하려면 -runAsAdmin 플래그와 함께 VM-Install-Shortcut 사용하여 바로가기를 만들고 바로가기를 고정하는 것이 좋습니다.

apps , services , path-items , registry-items 및 custom-items 태그 내부 구성에 원하는 설치 후 단계를 포함할 수 있습니다.

예를 들어:

• 알려진 파일 확장자를 표시하려면:

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    registry-items >

더 많은 예를 보려면 기본 구성 파일인 config.xml을 확인하세요.

기여를 시작하고 싶으신가요? 방법을 알아보려면 아래 링크를 참조하세요. FLARE-VM을 개선하기 위해 귀하와 협력할 수 있기를 기대합니다! ?

• FLARE-VM 설치 스크립트 및 구성: https://github.com/mandiant/flare-vm
  • 설치자 관련 개선 제안 제출 및 문제점 보고

• 모든 도구 패키지 저장소: https://github.com/mandiant/VM-Packages
  • 도구 패키지에 대한 문서화 및 기여 가이드
  • 새로운 도구 패키지를 제출하거나 패키지 관련 문제를 보고하세요.

설치에 실패한 경우 시스템에 있는 아래 나열된 로그 파일을 읽어 설치 오류의 원인을 파악해 보십시오.

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

최신 버전의 FLARE-VM 설치 프로그램을 실행하고 있고 VM이 요구 사항을 충족하는지 확인하십시오.

설치 스크립트의 문제(예: install.ps1 )로 인해 설치에 실패한 경우 FLARE-VM에 버그를 보고하십시오. 우리가 귀하를 도울 수 있도록 요청된 모든 정보를 제공하십시오.

참고: install.ps1 설치 실패의 원인이 되는 경우는 거의 없습니다. 특정 패키지 또는 패키지 세트가 실패했을 가능성이 높습니다(아래 참조).

때때로 패키지가 설치되지 않습니다. 이는 정상적인 현상입니다. 가장 일반적인 이유는 다음과 같습니다.

1. .nupkg 파일 다운로드가 Chocolatey 또는 MyGet에서 실패 또는 시간 초과되었습니다.
2. 도구 다운로드 시 원격 호스트로 인한 오류 또는 시간 초과
3. IDS(침입 감지 시스템) 또는 AV 제품(예: Windows Defender)이 도구 다운로드를 방지하거나 시스템에서 도구를 제거합니다.
4. 호스트 관련 문제(예: 테스트되지 않은 버전을 사용할 때)
5. 종속성으로 인해 도구가 빌드되지 않습니다.
6. 이전 도구 URL(예: HTTP STATUS 404 )
7. 도구의 SHA256 해시가 패키지 설치 스크립트에 하드코딩된 해시에서 변경되었습니다.

1~4번 이유는 우리가 통제할 수 없기 때문에 고치기가 어렵습니다. 1~4번 이유와 관련된 문제가 제기된 경우 지원이 불가능할 가능성이 높습니다.

우리는 이유 5~7 에 대해 도움을 드릴 수 있으며 커뮤니티가 수정 사항에 기여하는 것을 환영합니다! 요청된 모든 정보를 제공하는 VM-Packages의 버그를 보고하십시오.

패키지 업데이트는 최선의 노력이며 업데이트는 테스트되지 않습니다. 오류가 발생하면 새로 FLARE-VM 설치를 수행하십시오.

이 다운로드 구성 스크립트는 사이버 보안 분석가가 맬웨어 분석 환경을 위한 편리하고 다양한 도구 상자를 만드는 데 도움을 주기 위해 제공됩니다. 이는 원본 소스에서 직접 유용한 분석 도구 세트를 얻을 수 있는 편리한 인터페이스를 제공합니다. 이 스크립트의 설치 및 사용에는 Apache 2.0 라이센스가 적용됩니다. 이 스크립트의 사용자로서 귀하는 다운로드/설치된 각 패키지의 라이센스 조건을 검토하고 동의하며 준수해야 합니다. 설치를 진행하면 각 패키지의 라이선스 조건에 동의하고 각 패키지 사용 시 해당 라이선스 조건이 적용된다는 점을 인정하게 됩니다.