تحويل الويندوز لمخبر تحليل البرامج الضارة والهندسة العكسية FLARE-VM

0
تحويل الويندوز لمخبر تحليل البرامج الضارة والهندسة العكسية  FLARE-VM
كمهندس عكسي (مبرمج الاداة) في فريق FLARE أعتمد على جهاز افتراضي مخصص (VM) لإجراء تحليل البرامج الضارة . Virtual Machine هو تثبيت Windows مع العديد من الأدوات والأدوات للمساعدة في تحليلي. لسوء الحظ ، فإن محاولة الحفاظ على VM مثل هذا أمر شاق للغاية:
الأدوات كثيرًا ما تنتهي صلاحيتها ويصعب تغييرها أو إضافة أشياء جديدة. هناك أيضًا خوف دائم من أنه في حالة تلف جهاز VM ، فسيكون من الممل للغاية تكرار جميع الإعدادات والأدوات التي قمت ببنائها على مر السنين.
للتصدي لهذا والتحديات ذات الصلة الكثيرة ، قمت بتطوير توزيعة امنية قياسية (ولكن يمكن تخصيصه بسهولة) يستند إلى Windows يسمى FLARE VM.
FLARE-VM الأدوات المثبتة

FLARE VM 

عبارة عن بيئة امنية مبنية على ويندوز ومصدرًا مفتوحًا مجانًا ، ومصمم للمهندسين العكسيين ومحللي البرامج الضارة والمستجيبين للحوادث ومقدمي الأدلة الجنائية واختبار الاختراق. مستوحاة من توزيعات الأمان مفتوحة المصدر التي تستند إلى نظام Linux مثل Kali Linux و REMnux وغيرها ، تقدم FLARE VM نظامًا أساسيًا تم تكوينه بالكامل مع مجموعة شاملة من أدوات أمان Windows مثل مصحح الأخطاء ومزيلات التفكيك ومزيلات الشفرات وأدوات التحليل الثابتة والديناميكية وتحليل الشبكات و التلاعب ، وتقييم الويب ، والاستغلال ، وتطبيقات تقييم الضعف ، وغيرها الكثير.

اذا كنت لا تعرف شركة FireEye

هي شركة للأمن السيبراني بشكل عام ومقرها في ميلبيتاس ، كاليفورنيا. توفر الأجهزة والبرامج والخدمات للتحقيق في هجمات الأمن السيبراني والحماية من البرامج الضارة وتحليل مخاطر أمان تكنولوجيا المعلومات. تأسست FireEye في عام 2004.
الأدوات المثبتة - FLARE VM

الأدوات المثبتة - FLARE VM

Android
  • dex2jar
  • apktool
Debuggers
  • flare-qdb
  • scdbg
  • OllyDbg + OllyDump + OllyDumpEx
  • OllyDbg2 + OllyDumpEx
  • x64dbg
  • WinDbg + OllyDumpex + pykd
Decompilers
  • RetDec
Delphi
  • Interactive Delphi Reconstructor (IDR)
Developer Tools
  • VC Build Tools
  • NASM
Disassemblers
  • Ghidra
  • IDA Free (5.0 & 7.0)
  • Binary Ninja Demo
  • radare2
  • Cutter
.NET
  • de4dot
  • Dot Net String Decoder (DNSD)
  • dnSpy
  • DotPeek
  • ILSpy
  • RunDotNetDll
Flash
  • FFDec
Forensic
  • Volatility
Hex Editors
  • FileInsight
  • HxD
  • 010 Editor
Java
  • JD-GUI
  • Bytecode-Viewer
Networking
  • FakeNet-NG
  • ncat
  • nmap
  • Wireshark
Office
  • Offvis
  • OfficeMalScanner
  • oledump.py
PDF
  • PDFiD
  • PDFParser
  • PDFStreamDumper
PE
  • PEiD
  • ExplorerSuite (CFF Explorer)
  • PEview
  • DIE
  • PeStudio
  • PEBear
  • ResourceHacker
  • LordPE
  • PPEE(puppy)
Pentest
  • MetaSploit
  • Windows binaries from Kali Linux
Text Editors
  • SublimeText3
  • Notepad++
  • Vim
Visual Basic
  • VBDecompiler
Web
  • BurpSuite Free Edition
Utilities
  • FLOSS
  • HashCalc
  • HashMyFiles
  • Checksum
  • 7-Zip
  • Far Manager
  • Putty
  • Wget
  • RawCap
  • UPX
  • RegShot
  • Process Hacker
  • Sysinternals Suite
  • API Monitor
  • SpyStudio
  • Shellcode Launcher
  • Cygwin
  • Unxutils
  • Malcode Analyst Pack (MAP)
  • XORSearch
  • XORStrings
  • Yara
  • CyberChef
  • KernelModeDriverLoader
  • Process Dump
  • Exe2Aut
  • Innounp
  • InnoExtract
  • UniExtract2
  • Hollows-Hunter
  • PE-sieve
Python, Modules, Tools
  • Py2ExeDecompiler
Python 2.7
  • hexdump
  • pefile
  • winappdbg
  • pycryptodome
  • vivisect
  • binwalk
  • capstone-windows
  • unicorn
  • oletools
  • olefile
  • unpy2exe
  • uncompyle6
  • pycrypto
  • pyftpdlib
  • pyasn1
  • pyOpenSSL
  • ldapdomaindump
  • pyreadline
  • flask
  • networkx
  • requests
Python 3
  • binwalk
  • unpy2exe
  • uncompyle6
Other
  • VC Redistributable Modules (2005, 2008, 2010, 2012, 2013, 2015, 2017)
  • .NET Framework versions 4.6.2 and 4.7.2
  • Practical Malware Analysis Labs
  • Google Chrome
  • Cmder Mini

طريقة تثبيت الاداة FLARE-VM

الأداة ببساطة نقوم بتثبيتها على الويندوز من خلال الباور شيل وهي تقوم بتثبيت الادوات من الانترنت مباشرة, أو يمكنك اختيار بعض الادوات التي تحتاجها فقط
  • ولكن قبل أي شيء تحتاج لتثبيت ويندوز على جهازك الوهمي New Windows 
  • بعدها قم بتحميل الاداة FLARE-VM من هنا 
كما بالصورة
قم بتحميل الاداة FLARE-VM من هنا
  • اضغط على ابدأ وشغل PowerShell كمسؤول
شغل PowerShell كمسؤول
  • توجه لمجلد الاداة بالأمر  cd المعروف ثم ادخل اوامر التثبيت كما بالصورة
طريقة تثبيت الاداة FLARE-VM
الأوامر:
Set-ExecutionPolicy Unrestricted
.\install.ps1
بعد تثبيت الأداة لتثبيت فايرفوكس يكون بالطريقة الأتية:
cinst -y firefox
تثبيت فايرفوكس flare-vm

المنقح x64Dbg
cinst -y x64dbg
أمر تحديث الحزم
cup all
أمر تحديث الحزم cup all

Malware Analysis with FLARE VM
اذا لم تستوعب الشرح هذه صفحة الاداة مشروحة بالتفصيل (انجليزي)