flare vm

欢迎使用 FLARE-VM - Windows 系统的软件安装脚本集合，可让您轻松在虚拟机 (VM) 上设置和维护逆向工程环境。 FLARE-VM 旨在解决逆向工程工具管理问题，依赖于两项主要技术：Chocolatey 和 Boxstarter。 Chocolatey 是一个基于 Windows 的 Nuget 包管理系统，其中“包”本质上是一个 ZIP 文件，其中包含用于下载和配置特定工具的 PowerShell 安装脚本。 Boxstarter 利用 Chocolatey 软件包自动安装软件并创建可重复的脚本化 Windows 环境。

FLARE-VM 只能安装在虚拟机上。虚拟机应满足以下要求：

• 窗口 >= 10
• PowerShell >= 5
• 磁盘容量至少 60 GB，内存至少 2GB
• 用户名不包含空格或其他特殊字符
• 互联网连接
• 篡改保护和任何反恶意软件解决方案（例如 Windows Defender） Windows Defender 已禁用，最好通过组策略
• Windows 更新已禁用

本节介绍安装 FLARE-VM 的步骤。您可能还会发现构建用于逆向工程和恶意软件分析的虚拟机很有用！安装 FLARE-VM视频。

• 准备 Windows 10+ 虚拟机
  • 在虚拟机中安装 Windows，例如使用 https://www.microsoft.com/en-us/software-download/windows10ISO 中的原始 Windows 10 ISO
  • 确保满足上述要求，包括：
    • 禁用 Windows 更新（至少在安装完成之前）
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • 最好通过组策略禁用篡改保护和任何反恶意软件解决方案（例如 Windows Defender）。
      • GPO：https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
      • 非 GPO - 手册：https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
      • 非 GPO - 自动：https://github.com/ionuttbara/windows-defender-remover
      • 非 GPO - 半自动（用户需要关闭篡改保护）：[https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean /blob/main/ToggleDefender.ps1)
• 拍摄 VM 快照，以便您始终可以恢复到 FLARE-VM 安装之前的状态

• 以管理员身份打开PowerShell提示符
• 将安装脚本installer.ps1下载到您的桌面：
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• 解锁安装脚本：
  • Unblock-File .install.ps1
• 启用脚本执行：
  • Set-ExecutionPolicy Unrestricted -Force
    • 如果您收到一条错误，指出执行策略被更具体范围内定义的策略覆盖，您可能需要通过Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force传递范围。要查看所有范围的执行策略，请执行Get-ExecutionPolicy -List
• 最后，执行安装脚本如下：
  • .install.ps1
    • 要将密码作为参数传递： .install.ps1 -password <password>
    • 要以最少的用户交互使用仅限 CLI 模式： .install.ps1 -password <password> -noWait -noGui
    • 要以最少的用户交互和自定义配置文件使用仅限 CLI 模式： .install.ps1 -customConfig <config.xml> -password <password> -noWait -noGui
• 安装后建议切换到host-only网络模式并拍摄虚拟机快照

以下是 CLI 参数说明。

 PARAMETERS
    -password <String>
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword [<SwitchParameter>]
        Switch parameter indicating a password is not needed for reboots.

    -customConfig <String>
        Path to a configuration XML file. May be a file path or URL.

    -customLayout <String>
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait [<SwitchParameter>]
        Switch parameter to skip installation message before installation begins.

    -noGui [<SwitchParameter>]
        Switch parameter to skip customization GUI.

    -noReboots [<SwitchParameter>]
        Switch parameter to prevent reboots (not recommended).

    -noChecks [<SwitchParameter>]
        Switch parameter to skip validation checks (not recommended).

通过运行Get-Help .install.ps1 -Detailed获取完整的使用信息。

执行验证检查并安装 Boxstarter 和 Chocolatey（如果尚未安装）后，将显示安装程序 GUI。使用安装程序 GUI，您可以自定义：

• 套餐选择
• 环境变量路径

安装程序将从 FLARE-VM 存储库下载 config.xml。该文件包含默认配置，包括要安装的软件包列表和环境变量路径。您可以通过指定 CLI 参数-customConfig并提供config.xml文件的本地文件路径或 URL 来使用自己的配置。例如：

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

安装程序将使用 FLARE-VM 存储库中的 CustomStartLayout.xml。该文件包含默认的任务栏布局。您可以通过指定 CLI 参数-customLayout并提供CustomStartLayout.xml文件的本地文件路径或 URL 来使用自己的配置。例如：

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• .xml 中未安装的项目不会显示在任务栏中（不会固定损坏的链接）
• 只能固定应用程序（.exe 文件）或应用程序的快捷方式。
• 如果您想固定非应用程序的内容，请考虑创建一个指向cmd.exe或powershell的快捷方式，并提供参数来执行您想要的操作。
• 如果您想使用管理员权限运行某些内容，请考虑使用带有-runAsAdmin标志的VM-Install-Shortcut创建快捷方式并固定快捷方式。

您可以在标签apps 、 services 、 path-items 、 registry-items和custom-items内的配置中包含任何您喜欢的安装后步骤。

例如：

• 显示已知文件扩展名：

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    </ registry-items >

有关更多示例，请检查默认配置文件：config.xml。

想开始贡献吗？请参阅下面的链接以了解具体操作方法。我们期待与您一起改进 FLARE-VM！ ？

• FLARE-VM安装脚本和配置：https://github.com/mandiant/flare-vm
  • 提交改进建议并报告与安装程序相关的问题

• 所有工具包的存储库：https://github.com/mandiant/VM-Packages
  • 工具包的文档和贡献指南
  • 提交新的工具包或报告包相关问题

如果您的安装失败，请尝试通过阅读系统上下面列出的日志文件来确定安装错误的原因：

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

确保您正在运行最新版本的 FLARE-VM 安装程序并且您的 VM 满足要求。

如果由于安装脚本（例如install.ps1 ）中的问题导致安装失败，请报告 FLARE-VM 中的错误。提供所需的所有信息，以确保我们能够为您提供帮助。

注意： install.ps1很少会成为安装失败的原因。最有可能的是一个特定的包或一组包失败了（见下文）。

软件包有时无法安装——这是正常的。最常见的原因概述如下：

1. 从 Chocolatey 或 MyGet 下载.nupkg文件失败或超时
2. 下载工具时由于远程主机失败或超时
3. 入侵检测系统 (IDS) 或 AV 产品（例如 Windows Defender）阻止工具下载或从系统中删除该工具
4. 主机特定问题，例如使用未经测试的版本时
5. 由于依赖关系，工具无法构建
6. 旧工具 URL（例如HTTP STATUS 404 ）
7. 工具的 SHA256 哈希值已更改为软件包安装脚本中硬编码的值

原因1-4对我们来说很难解决，因为我们无法控制它们。如果提出与原因1-4相关的问题，我们不太可能提供帮助。

我们可以为原因5-7提供帮助，并欢迎社区贡献修复！请报告 VM-Packages 中的错误，并提供所需的所有信息。

请注意，软件包更新已尽最大努力，并且更新尚未经过测试。如果遇到错误，请执行全新的 FLARE-VM 安装。

提供此下载配置脚本是为了帮助网络安全分析师为恶意软件分析环境创建方便且多功能的工具箱。它为他们提供了一个方便的界面，可以直接从原始来源获取一组有用的分析工具。该脚本的安装和使用须遵守 Apache 2.0 许可证。作为此脚本的用户，您必须查看、接受并遵守每个下载/安装的软件包的许可条款。继续安装即表示您接受每个软件包的许可条款，并确认您对每个软件包的使用将受到其各自许可条款的约束。