كمهندس عكسي (مبرمج الاداة) في فريق FLARE أعتمد على جهاز افتراضي مخصص (VM) لإجراء تحليل البرامج الضارة . Virtual Machine هو تثبيت Windows مع العديد من الأدوات والأدوات للمساعدة في تحليلي. لسوء الحظ ، فإن محاولة الحفاظ على VM مثل هذا أمر شاق للغاية:
الأدوات كثيرًا ما تنتهي صلاحيتها ويصعب تغييرها أو إضافة أشياء جديدة. هناك أيضًا خوف دائم من أنه في حالة تلف جهاز VM ، فسيكون من الممل للغاية تكرار جميع الإعدادات والأدوات التي قمت ببنائها على مر السنين.
للتصدي لهذا والتحديات ذات الصلة الكثيرة ، قمت بتطوير توزيعة امنية قياسية (ولكن يمكن تخصيصه بسهولة) يستند إلى Windows يسمى FLARE VM.
الأدوات كثيرًا ما تنتهي صلاحيتها ويصعب تغييرها أو إضافة أشياء جديدة. هناك أيضًا خوف دائم من أنه في حالة تلف جهاز VM ، فسيكون من الممل للغاية تكرار جميع الإعدادات والأدوات التي قمت ببنائها على مر السنين.
للتصدي لهذا والتحديات ذات الصلة الكثيرة ، قمت بتطوير توزيعة امنية قياسية (ولكن يمكن تخصيصه بسهولة) يستند إلى Windows يسمى FLARE VM.
FLARE VM
عبارة عن بيئة امنية مبنية على ويندوز ومصدرًا مفتوحًا مجانًا ، ومصمم للمهندسين العكسيين ومحللي البرامج الضارة والمستجيبين للحوادث ومقدمي الأدلة الجنائية واختبار الاختراق. مستوحاة من توزيعات الأمان مفتوحة المصدر التي تستند إلى نظام Linux مثل Kali Linux و REMnux وغيرها ، تقدم FLARE VM نظامًا أساسيًا تم تكوينه بالكامل مع مجموعة شاملة من أدوات أمان Windows مثل مصحح الأخطاء ومزيلات التفكيك ومزيلات الشفرات وأدوات التحليل الثابتة والديناميكية وتحليل الشبكات و التلاعب ، وتقييم الويب ، والاستغلال ، وتطبيقات تقييم الضعف ، وغيرها الكثير.اذا كنت لا تعرف شركة FireEye
هي شركة للأمن السيبراني بشكل عام ومقرها في ميلبيتاس ، كاليفورنيا. توفر الأجهزة والبرامج والخدمات للتحقيق في هجمات الأمن السيبراني والحماية من البرامج الضارة وتحليل مخاطر أمان تكنولوجيا المعلومات. تأسست FireEye في عام 2004.الأدوات المثبتة - FLARE VM
Android
- dex2jar
- apktool
Debuggers
- flare-qdb
- scdbg
- OllyDbg + OllyDump + OllyDumpEx
- OllyDbg2 + OllyDumpEx
- x64dbg
- WinDbg + OllyDumpex + pykd
Decompilers
- RetDec
Delphi
- Interactive Delphi Reconstructor (IDR)
Developer Tools
- VC Build Tools
- NASM
Disassemblers
- Ghidra
- IDA Free (5.0 & 7.0)
- Binary Ninja Demo
- radare2
- Cutter
.NET
- de4dot
- Dot Net String Decoder (DNSD)
- dnSpy
- DotPeek
- ILSpy
- RunDotNetDll
Flash
- FFDec
Forensic
- Volatility
Hex Editors
- FileInsight
- HxD
- 010 Editor
Java
- JD-GUI
- Bytecode-Viewer
Networking
- FakeNet-NG
- ncat
- nmap
- Wireshark
Office
- Offvis
- OfficeMalScanner
- oledump.py
PDF
- PDFiD
- PDFParser
- PDFStreamDumper
PE
- PEiD
- ExplorerSuite (CFF Explorer)
- PEview
- DIE
- PeStudio
- PEBear
- ResourceHacker
- LordPE
- PPEE(puppy)
Pentest
- MetaSploit
- Windows binaries from Kali Linux
Text Editors
- SublimeText3
- Notepad++
- Vim
Visual Basic
- VBDecompiler
Web
- BurpSuite Free Edition
Utilities
- FLOSS
- HashCalc
- HashMyFiles
- Checksum
- 7-Zip
- Far Manager
- Putty
- Wget
- RawCap
- UPX
- RegShot
- Process Hacker
- Sysinternals Suite
- API Monitor
- SpyStudio
- Shellcode Launcher
- Cygwin
- Unxutils
- Malcode Analyst Pack (MAP)
- XORSearch
- XORStrings
- Yara
- CyberChef
- KernelModeDriverLoader
- Process Dump
- Exe2Aut
- Innounp
- InnoExtract
- UniExtract2
- Hollows-Hunter
- PE-sieve
Python, Modules, Tools
- Py2ExeDecompiler
Python 2.7
- hexdump
- pefile
- winappdbg
- pycryptodome
- vivisect
- binwalk
- capstone-windows
- unicorn
- oletools
- olefile
- unpy2exe
- uncompyle6
- pycrypto
- pyftpdlib
- pyasn1
- pyOpenSSL
- ldapdomaindump
- pyreadline
- flask
- networkx
- requests
Python 3
- binwalk
- unpy2exe
- uncompyle6
Other
- VC Redistributable Modules (2005, 2008, 2010, 2012, 2013, 2015, 2017)
- .NET Framework versions 4.6.2 and 4.7.2
- Practical Malware Analysis Labs
- Google Chrome
- Cmder Mini
طريقة تثبيت الاداة FLARE-VM
الأداة ببساطة نقوم بتثبيتها على الويندوز من خلال الباور شيل وهي تقوم بتثبيت الادوات من الانترنت مباشرة, أو يمكنك اختيار بعض الادوات التي تحتاجها فقط- ولكن قبل أي شيء تحتاج لتثبيت ويندوز على جهازك الوهمي New Windows
- بعدها قم بتحميل الاداة FLARE-VM من هنا
كما بالصورة
- اضغط على ابدأ وشغل PowerShell كمسؤول
- توجه لمجلد الاداة بالأمر cd المعروف ثم ادخل اوامر التثبيت كما بالصورة
Set-ExecutionPolicy Unrestricted
.\install.ps1
بعد تثبيت الأداة لتثبيت فايرفوكس يكون بالطريقة الأتية:
cinst -y firefox
المنقح x64Dbg
cinst -y x64dbg
أمر تحديث الحزم
cup all
اذا لم تستوعب الشرح هذه صفحة الاداة مشروحة بالتفصيل (انجليزي)