หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด
flare vm

FLARE-VM

ยินดีต้อนรับสู่ FLARE-VM - ชุดสคริปต์การติดตั้งซอฟต์แวร์สำหรับระบบ Windows ที่ช่วยให้คุณติดตั้งและรักษาสภาพแวดล้อมทางวิศวกรรมย้อนกลับบนเครื่องเสมือน (VM) ได้อย่างง่ายดาย FLARE-VM ได้รับการออกแบบมาเพื่อแก้ปัญหาการดูแลจัดการเครื่องมือวิศวกรรมย้อนกลับและอาศัยเทคโนโลยีหลักสองอย่าง: Chocolatey และ Boxstarter Chocolatey เป็นระบบจัดการแพ็คเกจ Nuget ที่ใช้ Windows โดยที่ "แพ็คเกจ" นั้นเป็นไฟล์ ZIP ที่มีสคริปต์การติดตั้ง PowerShell ที่ดาวน์โหลดและกำหนดค่าเครื่องมือเฉพาะ Boxstarter ใช้ประโยชน์จากแพ็คเกจ Chocolatey เพื่อทำการติดตั้งซอฟต์แวร์โดยอัตโนมัติและสร้างสภาพแวดล้อม Windows ที่ใช้สคริปต์ซ้ำได้

โลโก้ FLARE-VM

ความต้องการ

ควรติดตั้ง FLARE-VM บนเครื่องเสมือนเท่านั้น VM ควรเป็นไปตามข้อกำหนดต่อไปนี้:

  • วินโดวส์ >= 10
  • พาวเวอร์เชลล์ >= 5
  • ความจุของดิสก์อย่างน้อย 60 GB และหน่วยความจำอย่างน้อย 2GB
  • ชื่อผู้ใช้ที่ไม่มีช่องว่างหรืออักขระพิเศษอื่นๆ
  • การเชื่อมต่ออินเทอร์เน็ต
  • การป้องกันการงัดแงะและโซลูชันป้องกันมัลแวร์ (เช่น Windows Defender) Windows Defender จะถูกปิดใช้งาน โดยควรใช้ผ่านนโยบายกลุ่ม
  • ปิดใช้งานการอัปเดต Windows แล้ว

คำแนะนำในการติดตั้ง

ส่วนนี้จะบันทึกขั้นตอนในการติดตั้ง FLARE-VM คุณอาจพบว่ามีประโยชน์ใน การสร้าง VM สำหรับวิศวกรรมย้อนกลับและการวิเคราะห์มัลแวร์! การติดตั้งวิดีโอ FLARE-VM

ก่อนการติดตั้ง

  • เตรียมเครื่องเสมือน Windows 10+
    • ติดตั้ง Windows ในเครื่องเสมือน เช่น ใช้ไฟล์ดิบ Windows 10 ISO จาก https://www.microsoft.com/en-us/software-download/windows10ISO
    • ตรวจสอบให้แน่ใจว่าเป็นไปตามข้อกำหนดข้างต้น รวมถึง:
      • ปิดการใช้งาน Windows Updates (อย่างน้อยจนกว่าการติดตั้งจะเสร็จสิ้น)
        • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
      • ปิดใช้งานการป้องกันการงัดแงะและโซลูชันป้องกันมัลแวร์ (เช่น Windows Defender) โดยควรใช้ผ่านนโยบายกลุ่ม
        • GPO: https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
        • ไม่ใช่ GPO - คู่มือ: https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
        • ไม่ใช่ GPO - อัตโนมัติ: https://github.com/ionuttbara/windows-defender-remover
        • ไม่ใช่ GPO - กึ่งอัตโนมัติ (ผู้ใช้ต้องปิดการป้องกันการงัดแงะ): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean /blob/main/ToggleDefender.ps1)
  • ถ่ายภาพ VM snapshot เพื่อให้คุณเปลี่ยนกลับเป็นสถานะก่อนการติดตั้ง FLARE-VM ได้ตลอดเวลา

การติดตั้ง FLARE-VM

  • เปิดพรอมต์ PowerShell ในฐานะผู้ดูแลระบบ
  • ดาวน์โหลดสคริปต์การติดตั้ง installer.ps1 ไปยังเดสก์ท็อปของคุณ:
    • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
  • เลิกบล็อกสคริปต์การติดตั้ง:
    • Unblock-File .install.ps1
  • เปิดใช้งานการดำเนินการสคริปต์:
    • Set-ExecutionPolicy Unrestricted -Force
      • หากคุณได้รับข้อผิดพลาดแจ้งว่านโยบายการดำเนินการถูกแทนที่โดยนโยบายที่กำหนดไว้ในขอบเขตที่เฉพาะเจาะจงมากขึ้น คุณอาจต้องส่งขอบเขตผ่าน Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force หากต้องการดูนโยบายการดำเนินการสำหรับขอบเขตทั้งหมด ให้ดำเนินการ Get-ExecutionPolicy -List
  • สุดท้ายให้รันสคริปต์ตัวติดตั้งดังต่อไปนี้:
    • .install.ps1
      • หากต้องการส่งรหัสผ่านของคุณเป็นอาร์กิวเมนต์: .install.ps1 -password <password>
      • หากต้องการใช้โหมด CLI เท่านั้นโดยมีการโต้ตอบกับผู้ใช้เพียงเล็กน้อย: .install.ps1 -password <password> -noWait -noGui
      • หากต้องการใช้โหมด CLI เท่านั้นโดยมีการโต้ตอบกับผู้ใช้น้อยที่สุดและไฟล์กำหนดค่าแบบกำหนดเอง: .install.ps1 -customConfig <config.xml> -password <password> -noWait -noGui
  • หลังการติดตั้ง ขอแนะนำให้เปลี่ยนไปใช้โหมดเครือข่าย host-only และถ่ายภาพ VM Snapshot

พารามิเตอร์ตัวติดตั้ง

ด้านล่างนี้คือคำอธิบายพารามิเตอร์ CLI 

 PARAMETERS
    -password <String>
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword [<SwitchParameter>]
        Switch parameter indicating a password is not needed for reboots.

    -customConfig <String>
        Path to a configuration XML file. May be a file path or URL.

    -customLayout <String>
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait [<SwitchParameter>]
        Switch parameter to skip installation message before installation begins.

    -noGui [<SwitchParameter>]
        Switch parameter to skip customization GUI.

    -noReboots [<SwitchParameter>]
        Switch parameter to prevent reboots (not recommended).

    -noChecks [<SwitchParameter>]
        Switch parameter to skip validation checks (not recommended).

รับข้อมูลการใช้งานแบบเต็มโดยเรียกใช้ Get-Help .install.ps1 -Detailed

โปรแกรมติดตั้ง GUI

GUI ตัวติดตั้งจะปรากฏขึ้นหลังจากดำเนินการตรวจสอบความถูกต้องและติดตั้ง Boxstarter และ Chocolatey (หากยังไม่ได้ติดตั้ง) การใช้ GUI ตัวติดตั้งคุณสามารถปรับแต่ง:

  • การเลือกแพ็คเกจ
  • เส้นทางตัวแปรสภาพแวดล้อม

โปรแกรมติดตั้ง GUI

การกำหนดค่า

โปรแกรมติดตั้งจะดาวน์โหลด config.xml จากที่เก็บ FLARE-VM ไฟล์นี้มีการกำหนดค่าเริ่มต้น รวมถึงรายการแพ็คเกจที่จะติดตั้งและเส้นทางตัวแปรสภาพแวดล้อม คุณสามารถใช้การกำหนดค่าของคุณเองได้โดยระบุ CLI-argument -customConfig และระบุพาธของไฟล์ในเครื่องหรือ URL ให้กับไฟล์ config.xml ของคุณ ตัวอย่างเช่น: 

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

เค้าโครงแถบงาน

โปรแกรมติดตั้งจะใช้ CustomStartLayout.xml จากที่เก็บ FLARE-VM ไฟล์นี้มีเค้าโครงแถบงานเริ่มต้น คุณสามารถใช้การกำหนดค่าของคุณเองได้โดยระบุ CLI-argument -customLayout และระบุเส้นทางไฟล์ในเครื่องหรือ URL ให้กับไฟล์ CustomStartLayout.xml ของคุณ ตัวอย่างเช่น: 

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"
สิ่งที่ต้องพิจารณา:
  • รายการใน .xml ที่ไม่ได้ติดตั้งจะไม่แสดงในทาสก์บาร์ (ไม่มีการปักหมุดลิงก์ที่เสียหาย)
  • สามารถปักหมุดได้เฉพาะแอปพลิเคชัน (ไฟล์ .exe) หรือทางลัดไปยังแอปพลิเคชันเท่านั้น
  • หากคุณต้องการปักหมุดบางสิ่งที่ไม่ใช่แอปพลิเคชัน ให้ลองสร้างทางลัดที่ชี้ไปที่ cmd.exe หรือ powershell พร้อมอาร์กิวเมนต์ที่ให้มาซึ่งจะดำเนินการตามที่คุณต้องการ
  • หากคุณต้องการให้บางสิ่งทำงานโดยมีสิทธิ์ของผู้ดูแลระบบ ให้ลองสร้างทางลัดโดยใช้ VM-Install-Shortcut พร้อมแฟล็ก -runAsAdmin แล้วปักหมุดทางลัด

ขั้นตอนหลังการติดตั้ง

คุณสามารถรวมขั้นตอนการติดตั้งหลังการติดตั้งใดๆ ที่คุณต้องการในการกำหนดค่าภายในแท็ก apps , services , path-items , registry-items และ custom-items

ตัวอย่างเช่น:

  • วิธีแสดงนามสกุลไฟล์ที่รู้จัก: 
    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    </ registry-items >

สำหรับตัวอย่างเพิ่มเติม ให้ตรวจสอบไฟล์การกำหนดค่าเริ่มต้น: config.xml

มีส่วนร่วม

ต้องการเริ่มมีส่วนร่วมหรือไม่? ดูลิงก์ด้านล่างเพื่อเรียนรู้วิธีการ เรากำลังรอคอยที่จะทำงานร่วมกับคุณเพื่อปรับปรุง FLARE-VM! -

FLARE-VM (พื้นที่เก็บข้อมูลนี้)

  • สคริปต์การติดตั้ง FLARE-VM และการกำหนดค่า: https://github.com/mandiant/flare-vm
    • ส่งข้อเสนอการปรับปรุงและรายงานปัญหาที่เกี่ยวข้องกับผู้ติดตั้ง

แพ็คเกจ VM

  • พื้นที่เก็บข้อมูลแพ็คเกจเครื่องมือทั้งหมด: https://github.com/mandiant/VM-Packages
    • คู่มือเอกสารและการสนับสนุนสำหรับแพ็คเกจเครื่องมือ
    • ส่งแพ็คเกจเครื่องมือใหม่หรือรายงานปัญหาที่เกี่ยวข้องกับแพ็คเกจ

การแก้ไขปัญหา

หากการติดตั้งของคุณล้มเหลว โปรดพยายามระบุสาเหตุของข้อผิดพลาดในการติดตั้งโดยการอ่านไฟล์บันทึกที่แสดงด้านล่างในระบบของคุณ:

  • %VM_COMMON_DIR%log.txt
  • %PROGRAMDATA%chocolateylogschocolatey.log
  • %LOCALAPPDATA%Boxstarterboxstarter.log

ตรวจสอบให้แน่ใจว่าคุณใช้ตัวติดตั้ง FLARE-VM เวอร์ชันล่าสุด และ VM ของคุณเป็นไปตามข้อกำหนด

ข้อผิดพลาดของตัวติดตั้ง

หากการติดตั้งล้มเหลวเนื่องจากปัญหาในสคริปต์การติดตั้ง (เช่น install.ps1 ) ให้รายงานจุดบกพร่องใน FLARE-VM ให้ข้อมูลทั้งหมดที่ร้องขอเพื่อให้แน่ใจว่าเราสามารถช่วยเหลือคุณได้

หมายเหตุ: แทบจะไม่ install.ps1 เป็นสาเหตุที่ทำให้การติดตั้งล้มเหลว เป็นไปได้มากว่าอาจเป็นแพ็คเกจหรือชุดแพ็คเกจเฉพาะที่ล้มเหลว (ดูด้านล่าง)

ข้อผิดพลาดของแพ็คเกจ

ไม่สามารถติดตั้งแพ็คเกจได้เป็นครั้งคราว ซึ่งเป็นเรื่องปกติ สาเหตุที่พบบ่อยที่สุดมีดังต่อไปนี้:

  1. ความล้มเหลวหรือหมดเวลาจาก Chocolatey หรือ MyGet ในการดาวน์โหลดไฟล์ .nupkg
  2. ความล้มเหลวหรือการหมดเวลาเนื่องจากโฮสต์ระยะไกลเมื่อดาวน์โหลดเครื่องมือ
  3. ระบบตรวจจับการบุกรุก (IDS) หรือผลิตภัณฑ์ AV (เช่น Windows Defender) ป้องกันการดาวน์โหลดเครื่องมือหรือลบเครื่องมือออกจากระบบ
  4. ปัญหาเฉพาะของโฮสต์ เช่น เมื่อใช้เวอร์ชันที่ยังไม่ทดสอบ
  5. เครื่องมือล้มเหลวในการสร้างเนื่องจากการขึ้นต่อกัน
  6. URL เครื่องมือเก่า (เช่น HTTP STATUS 404 )
  7. แฮช SHA256 ของเครื่องมือเปลี่ยนจากสิ่งที่ฮาร์ดโค้ดในสคริปต์การติดตั้งแพ็คเกจ

เหตุผล ที่ 1-4 ยากสำหรับเราที่จะแก้ไขเนื่องจากเราไม่สามารถควบคุมได้ หากมีการยื่นประเด็นที่เกี่ยวข้องกับเหตุผลที่ 1-4 เราไม่น่าจะสามารถช่วยได้

เราสามารถช่วยได้ด้วยเหตุผล 5-7 และยินดีต้อนรับชุมชนที่มีส่วนร่วมในการแก้ไขเช่นกัน! โปรดรายงานข้อผิดพลาดใน VM-Packages โดยให้ข้อมูลทั้งหมดที่ร้องขอ

อัพเดท

โปรดทราบว่าการอัปเดตแพ็คเกจเป็นความพยายามอย่างดีที่สุด และการอัปเดตนั้นไม่ได้ถูกทดสอบ หากคุณพบข้อผิดพลาด ให้ทำการติดตั้ง FLARE-VM ใหม่

ประกาศทางกฎหมาย

สคริปต์การกำหนดค่าการดาวน์โหลดนี้มีไว้เพื่อช่วยนักวิเคราะห์ความปลอดภัยทางไซเบอร์ในการสร้างกล่องเครื่องมือที่มีประโยชน์และอเนกประสงค์สำหรับสภาพแวดล้อมการวิเคราะห์มัลแวร์ โดยให้อินเทอร์เฟซที่สะดวกสบายสำหรับพวกเขาในการรับชุดเครื่องมือวิเคราะห์ที่มีประโยชน์ได้โดยตรงจากแหล่งดั้งเดิม การติดตั้งและใช้งานสคริปต์นี้อยู่ภายใต้ใบอนุญาต Apache 2.0 คุณในฐานะผู้ใช้สคริปต์นี้จะต้องตรวจสอบ ยอมรับ และปฏิบัติตามข้อกำหนดสิทธิ์การใช้งานของแต่ละแพ็คเกจที่ดาวน์โหลด/ติดตั้ง เมื่อดำเนินการติดตั้งต่อ ถือว่าคุณยอมรับข้อกำหนดสิทธิ์การใช้งานของแต่ละแพ็คเกจ และรับทราบว่าการใช้แต่ละแพ็คเกจของคุณจะอยู่ภายใต้ข้อกำหนดสิทธิ์การใช้งานที่เกี่ยวข้อง

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด