تحويل الويندوز لمخبر تحليل البرامج الضارة والهندسة العكسية
كمهندس عكسي (مبرمج الاداة) في فريق FLARE أعتمد على جهاز افتراضي مخصص (VM) لإجراء تحليل البرامج الضارة . Virtual Machine هو تثبيت Windows مع العديد من الأدوات والأدوات للمساعدة في تحليلي. لسوء الحظ ، فإن محاولة الحفاظ على VM مثل هذا أمر شاق للغاية:
الأدوات كثيرًا ما تنتهي صلاحيتها ويصعب تغييرها أو إضافة أشياء جديدة. هناك أيضًا خوف دائم من أنه في حالة تلف جهاز VM ، فسيكون من الممل للغاية تكرار جميع الإعدادات والأدوات التي قمت ببنائها على مر السنين.
للتصدي لهذا والتحديات ذات الصلة الكثيرة ، قمت بتطوير توزيعة امنية قياسية (ولكن يمكن تخصيصه بسهولة) يستند إلى Windows يسمى FLARE VM.
FLARE VM
عبارة عن بيئة امنية مبنية على ويندوز ومصدرًا مفتوحًا مجانًا ، ومصمم للمهندسين العكسيين ومحللي البرامج الضارة والمستجيبين للحوادث ومقدمي الأدلة الجنائية واختبار الاختراق. مستوحاة من توزيعات الأمان مفتوحة المصدر التي تستند إلى نظام Linux مثل Kali Linux و REMnux وغيرها ، تقدم FLARE VM نظامًا أساسيًا تم تكوينه بالكامل مع مجموعة شاملة من أدوات أمان Windows مثل مصحح الأخطاء ومزيلات التفكيك ومزيلات الشفرات وأدوات التحليل الثابتة والديناميكية وتحليل الشبكات و التلاعب ، وتقييم الويب ، والاستغلال ، وتطبيقات تقييم الضعف ، وغيرها الكثير.اذا كنت لا تعرف شركة FireEye
هي شركة للأمن السيبراني بشكل عام ومقرها في ميلبيتاس ، كاليفورنيا. توفر الأجهزة والبرامج والخدمات للتحقيق في هجمات الأمن السيبراني والحماية من البرامج الضارة وتحليل مخاطر أمان تكنولوجيا المعلومات. تأسست FireEye في عام 2004.
الأدوات المثبتة - FLARE VM
Android
- dex2jar
- apktool
Debuggers
- flare-qdb
- scdbg
- OllyDbg + OllyDump + OllyDumpEx
- OllyDbg2 + OllyDumpEx
- x64dbg
- WinDbg + OllyDumpex + pykd
Decompilers
- RetDec
Delphi
- Interactive Delphi Reconstructor (IDR)
Developer Tools
- VC Build Tools
- NASM
Disassemblers
- Ghidra
- IDA Free (5.0 & 7.0)
- Binary Ninja Demo
- radare2
- Cutter
.NET
- de4dot
- Dot Net String Decoder (DNSD)
- dnSpy
- DotPeek
- ILSpy
- RunDotNetDll
Flash
- FFDec
Forensic
- Volatility
Hex Editors
- FileInsight
- HxD
- 010 Editor
Java
- JD-GUI
- Bytecode-Viewer
Networking
- FakeNet-NG
- ncat
- nmap
- Wireshark
Office
- Offvis
- OfficeMalScanner
- oledump.py
PDF
- PDFiD
- PDFParser
- PDFStreamDumper
PE
- PEiD
- ExplorerSuite (CFF Explorer)
- PEview
- DIE
- PeStudio
- PEBear
- ResourceHacker
- LordPE
- PPEE(puppy)
Pentest
- MetaSploit
- Windows binaries from Kali Linux
Text Editors
- SublimeText3
- Notepad++
- Vim
Visual Basic
- VBDecompiler
Web
- BurpSuite Free Edition
Utilities
- FLOSS
- HashCalc
- HashMyFiles
- Checksum
- 7-Zip
- Far Manager
- Putty
- Wget
- RawCap
- UPX
- RegShot
- Process Hacker
- Sysinternals Suite
- API Monitor
- SpyStudio
- Shellcode Launcher
- Cygwin
- Unxutils
- Malcode Analyst Pack (MAP)
- XORSearch
- XORStrings
- Yara
- CyberChef
- KernelModeDriverLoader
- Process Dump
- Exe2Aut
- Innounp
- InnoExtract
- UniExtract2
- Hollows-Hunter
- PE-sieve
Python, Modules, Tools
- Py2ExeDecompiler
Python 2.7
- hexdump
- pefile
- winappdbg
- pycryptodome
- vivisect
- binwalk
- capstone-windows
- unicorn
- oletools
- olefile
- unpy2exe
- uncompyle6
- pycrypto
- pyftpdlib
- pyasn1
- pyOpenSSL
- ldapdomaindump
- pyreadline
- flask
- networkx
- requests
Python 3
- binwalk
- unpy2exe
- uncompyle6
Other
- VC Redistributable Modules (2005, 2008, 2010, 2012, 2013, 2015, 2017)
- .NET Framework versions 4.6.2 and 4.7.2
- Practical Malware Analysis Labs
- Google Chrome
- Cmder Mini
طريقة تثبيت الاداة FLARE-VM
الأداة ببساطة نقوم بتثبيتها على الويندوز من خلال الباور شيل وهي تقوم بتثبيت الادوات من الانترنت مباشرة, أو يمكنك اختيار بعض الادوات التي تحتاجها فقط- ولكن قبل أي شيء تحتاج لتثبيت ويندوز على جهازك الوهمي New Windows
- بعدها قم بتحميل الاداة FLARE-VM من هنا
كما بالصورة
- اضغط على ابدأ وشغل PowerShell كمسؤول
- توجه لمجلد الاداة بالأمر cd المعروف ثم ادخل اوامر التثبيت كما بالصورة
Set-ExecutionPolicy Unrestricted
.\install.ps1
بعد تثبيت الأداة لتثبيت فايرفوكس يكون بالطريقة الأتية:
cinst -y firefox
المنقح x64Dbg
cinst -y x64dbg
أمر تحديث الحزم
cup all
Malware Analysis with FLARE VM
اذا لم تستوعب الشرح هذه صفحة الاداة مشروحة بالتفصيل (انجليزي)
إرسال تعليق
شكراً على زيارة موقعنا.