كمهندس عكسي (مبرمج الاداة) في فريق FLARE أعتمد على جهاز افتراضي مخصص (VM) لإجراء تحليل البرامج الضارة . Virtual Machine هو تثبيت Windows مع العديد من الأدوات والأدوات للمساعدة في تحليلي. لسوء الحظ ، فإن محاولة الحفاظ على VM مثل هذا أمر شاق للغاية:
الأدوات كثيرًا ما تنتهي صلاحيتها ويصعب تغييرها أو إضافة أشياء جديدة. هناك أيضًا خوف دائم من أنه في حالة تلف جهاز VM ، فسيكون من الممل للغاية تكرار جميع الإعدادات والأدوات التي قمت ببنائها على مر السنين.
للتصدي لهذا والتحديات ذات الصلة الكثيرة ، قمت بتطوير توزيعة امنية قياسية (ولكن يمكن تخصيصه بسهولة) يستند إلى Windows يسمى FLARE VM.
مخبر تحليل البرامج الضارة FLARE-VM
عبارة عن بيئة امنية مبنية على ويندوز ومصدرًا مفتوحًا مجانًا ، ومصمم للمهندسين العكسيين ومحللي البرامج الضارة والمستجيبين للحوادث ومقدمي الأدلة الجنائية واختبار الاختراق.
مستوحاة من توزيعات الأمان مفتوحة المصدر التي تستند إلى نظام Linux مثل Kali Linux و REMnux وغيرها ، تقدم FLARE VM نظامًا أساسيًا تم تكوينه بالكامل مع مجموعة شاملة من أدوات أمان Windows مثل مصحح الأخطاء ومزيلات التفكيك ومزيلات الشفرات وأدوات التحليل الثابتة والديناميكية وتحليل الشبكات و التلاعب ، وتقييم الويب ، والاستغلال ، وتطبيقات تقييم الضعف ، وغيرها الكثير.
اذا كنت لا تعرف شركة FireEye
هي شركة للأمن السيبراني بشكل عام ومقرها في ميلبيتاس ، كاليفورنيا. توفر الأجهزة والبرامج والخدمات للتحقيق في هجمات الأمن السيبراني والحماية من البرامج الضارة وتحليل مخاطر أمان تكنولوجيا المعلومات. تأسست FireEye في عام 2004.
الأدوات المثبتة مخبر ويندوز - FLARE VM
- dex2jar
- apktool
- flare-qdb
- scdbg
- OllyDbg + OllyDump + OllyDumpEx
- OllyDbg2 + OllyDumpEx
- x64dbg
- WinDbg + OllyDumpex + pykd
- RetDec
- Interactive Delphi Reconstructor (IDR)
- VC Build Tools
- NASM
- Ghidra
- IDA Free (5.0 & 7.0)
- Binary Ninja Demo
- radare2
- Cutter
- de4dot
- Dot Net String Decoder (DNSD)
- dnSpy
- DotPeek
- ILSpy
- RunDotNetDll
- FFDec
- Volatility
- FileInsight
- HxD
- 010 Editor
- JD-GUI
- Bytecode-Viewer
- FakeNet-NG
- ncat
- nmap
- Wireshark
- Offvis
- OfficeMalScanner
- oledump.py
- PDFiD
- PDFParser
- PDFStreamDumper
- PEiD
- ExplorerSuite (CFF Explorer)
- PEview
- DIE
- PeStudio
- PEBear
- ResourceHacker
- LordPE
- PPEE(puppy)
- MetaSploit
- Windows binaries from Kali Linux
- SublimeText3
- Notepad++
- Vim
- VBDecompiler
- BurpSuite Free Edition
- FLOSS
- HashCalc
- HashMyFiles
- Checksum
- 7-Zip
- Far Manager
- Putty
- Wget
- RawCap
- UPX
- RegShot
- Process Hacker
- Sysinternals Suite
- API Monitor
- SpyStudio
- Shellcode Launcher
- Cygwin
- Unxutils
- Malcode Analyst Pack (MAP)
- XORSearch
- XORStrings
- Yara
- CyberChef
- KernelModeDriverLoader
- Process Dump
- Exe2Aut
- Innounp
- InnoExtract
- UniExtract2
- Hollows-Hunter
- PE-sieve
- Py2ExeDecompiler
- hexdump
- pefile
- winappdbg
- pycryptodome
- vivisect
- binwalk
- capstone-windows
- unicorn
- oletools
- olefile
- unpy2exe
- uncompyle6
- pycrypto
- pyftpdlib
- pyasn1
- pyOpenSSL
- ldapdomaindump
- pyreadline
- flask
- networkx
- requests
- binwalk
- unpy2exe
- uncompyle6
- VC Redistributable Modules (2005, 2008, 2010, 2012, 2013, 2015, 2017)
- .NET Framework versions 4.6.2 and 4.7.2
- Practical Malware Analysis Labs
- Google Chrome
- Cmder Mini
طريقة تثبيت نظام ويندوز فلير FLARE-VM
الأداة ببساطة نقوم بتثبيتها على الويندوز من خلال الباور شيل وهي تقوم بتثبيت الادوات من الانترنت مباشرة, أو يمكنك اختيار بعض الادوات التي تحتاجها فقط- ولكن قبل أي شيء تحتاج لتثبيت ويندوز على جهازك الوهمي New Windows
- بعدها قم بتحميل الاداة FLARE-VM من هنا
- اضغط على ابدأ وشغل PowerShell كمسؤول
- توجه لمجلد الاداة بالأمر cd المعروف ثم ادخل اوامر التثبيت كما بالصورة
Set-ExecutionPolicy Unrestricted
.\install.ps1
cinst -y firefox
cinst -y x64dbg
cup all
