FLARE - расшифровывается как FireEye Labs Advanced Reverse Engineering. Это сборка инструментов которые устанавливаются на установленную ВМ -Windows 7. Для анализа малвари.
FLARE VM является первым в своем роде дистрибутивом для анализа и анализа вредоносных программ на платформе Windows. С момента своего
Сборка
Мы настоятельно рекомендуем использовать виртуальную среду FLARE в виртуализированной среде для анализа вредоносных программ, чтобы защитить и изолировать ваше физическое устройство и сеть от вредоносных действий. Мы предполагаем, что у вас уже есть опыт установки и настройки вашей виртуальной среды. Пожалуйста, создайте новую виртуальную машину (ВМ) и выполните новую установку Windows. FLARE VM предназначена для установки в Windows 7 с пакетом обновления 1 или более поздней версии; Таким образом, вы можете выбрать версию Windows, которая наилучшим образом соответствует вашим потребностям. С этого момента все этапы установки должны выполняться внутри вашей виртуальной машины.
Если у вас есть виртуальная машина с новой установкой Windows, используйте один из следующих URL-адресов, чтобы загрузить сжатый репозиторий FLARE VM на свою виртуальную машину:
Рисунок 1: Загрузить репозиторий FLARE VM
Затем выполните следующие шаги для установки FLARE VM:
Рисунок 2: Запустите PowerShell от имени администратора
Рисунок 3: Готов к установке FLARE VM
Остальная часть процесса установки полностью автоматизирована. В зависимости от скорости вашего интернета вся установка может занять до одного часа. ВМ также перезагружается несколько раз из-за многочисленных требований к установке программного обеспечения. После завершения установки приглашение PowerShell остается открытым, ожидая нажатия любой клавиши перед выходом. После завершения установки вы увидите следующую рабочую среду:
Рисунок 4: Установка FLARE VM завершена
Поздравляем! Вы успешно установили FLARE VM. На этом этапе мы рекомендуем отключить виртуальную машину, переключить сетевой режим виртуальной машины в режим «Только хост», а затем сделать снимок, чтобы сохранить чистое состояние аналитической виртуальной машины.
улучшение
Самым большим улучшением для FLARE VM является возможность корректного обновления и удаления. Старая версия FLARE VM представляла собой скрипт PowerShell для установки множества шоколадных пакетов, по одному за раз; поэтому мы не смогли включить новые пакеты при обновлении FLARE VM. Раньше нашим пользователям приходилось полностью переустанавливать FLARE VM, что отнимает много времени, или вручную устанавливать новый пакет, который подвержен ошибкам. Чтобы решить эту проблему, мы превратили саму FLARE VM в шоколадную упаковку. Всякий раз, когда доступен новый инструмент, мы также выпускаем новую версию FLARE VM. С этим новым дизайном мы можем просто выполнить «choco upgrade all», чтобы получить новейшую версию FLARE VM вместе с любыми новыми выпущенными нами пакетами. Вы также можете безопасно удалить все пакеты FLARE VM, выполнив «choco uninstall flarevm.installer.flare».
Наша новая виртуальная машина FLARE также обновлена для использования Python 3.7 в качестве интерпретатора Python по умолчанию. В результате многие сценарии Python могут не выполняться. Чтобы поддерживать старые сценарии, мы устанавливаем Python 2.7 параллельно с Python 3.7. Мы можем легко переключаться между различными версиями, используя панель запуска Python. Запустите «py -2.7 <path_to_python_script>», чтобы использовать Python 2.7, или «py <path_to_python_script>», чтобы использовать интерпретатор Python 3.7 по умолчанию. Для получения более подробной информации о программе запуска Python, пожалуйста, обратитесь по следующему URL:
Кроме того, новая виртуальная машина FLARE изменяет местоположение, в котором Fakenet-NG сохраняет свои выходные данные при запуске с помощью ярлыка в папке FLARE или на панели задач. Вместо сохранения непосредственно на рабочем столе, чтобы уменьшить беспорядок, Fakenet-NG сохранит весь свой вывод в «Desktop \ fakenet_logs».
По сравнению со старыми версиями эта версия FLARE VM поставляется с множеством новых инструментов и пакетов программного обеспечения. В частности, этот выпуск добавляет следующее:
Хотя мы пытаемся сделать инструменты доступными в виде ярлыков в папке FLARE, некоторые из них доступны только из командной строки. Пожалуйста, смотрите
Команда FLARE продолжает поддерживать и улучшать FLARE VM, которая фактически является дистрибутивом для исследований безопасности, реагирования на инциденты и анализа вредоносных программ на платформе Windows. Мы высоко ценим многочисленные сообщения об ошибках, запросы инструментов и рекомендации функций от всех. Мы надеемся, что FLARE VM, наряду со многими другими проектами с открытым исходным кодом FLARE, поможет вам сделать вашу работу лучше, проще и быстрее.
fireeye (c)
FLARE VM является первым в своем роде дистрибутивом для анализа и анализа вредоносных программ на платформе Windows. С момента своего
Ссылка скрыта от гостей
года FLARE VM постоянно пользуется доверием и используется многими реверс-инженерами, аналитиками вредоносных программ и исследователями безопасности в качестве среды перехода для анализа вредоносных программ. Как и постоянно развивающаяся отрасль безопасности, FLARE VM претерпела множество серьезных изменений, чтобы лучше удовлетворять потребности наших пользователей. FLARE VM теперь имеет новый процесс установки, обновления и удаления, который является долгожданной функцией, запрошенной нашими пользователями. FLARE VM также включает в себя множество новых инструментов, таких как IDA 7.0, radare и YARA. Поэтому мы хотели бы поделиться этими обновлениями, особенно о новом процессе установки.Сборка
Мы настоятельно рекомендуем использовать виртуальную среду FLARE в виртуализированной среде для анализа вредоносных программ, чтобы защитить и изолировать ваше физическое устройство и сеть от вредоносных действий. Мы предполагаем, что у вас уже есть опыт установки и настройки вашей виртуальной среды. Пожалуйста, создайте новую виртуальную машину (ВМ) и выполните новую установку Windows. FLARE VM предназначена для установки в Windows 7 с пакетом обновления 1 или более поздней версии; Таким образом, вы можете выбрать версию Windows, которая наилучшим образом соответствует вашим потребностям. С этого момента все этапы установки должны выполняться внутри вашей виртуальной машины.
Если у вас есть виртуальная машина с новой установкой Windows, используйте один из следующих URL-адресов, чтобы загрузить сжатый репозиторий FLARE VM на свою виртуальную машину:
- fireeye/flare-vm
-
Ссылка скрыта от гостей
Рисунок 1: Загрузить репозиторий FLARE VM
Затем выполните следующие шаги для установки FLARE VM:
- Распакуйте репозиторий FLARE VM в каталог по вашему выбору.
- Начните новый сеанс PowerShell с повышенными привилегиями. FLARE VM пытается установить дополнительное программное обеспечение и изменить настройки системы; следовательно, для установки требуются повышенные привилегии.
- В PowerShell перейдите в каталог, в который вы распаковали репозиторий FLARE VM.
- Включите неограниченную политику выполнения для PowerShell, выполнив следующую команду и ответив «Y» в ответ на запрос PowerShell: Set-ExecutionPolicy unrestricted
- Выполните скрипт установки install.ps1. Вам будет предложено ввести пароль текущего пользователя. FLARE VM требует пароль текущего пользователя для автоматического входа после перезагрузки при установке. При желании вы можете указать пароль текущего пользователя, передав «-password <current_user_password>» в командной строке.
Рисунок 2: Запустите PowerShell от имени администратора
Рисунок 3: Готов к установке FLARE VM
Остальная часть процесса установки полностью автоматизирована. В зависимости от скорости вашего интернета вся установка может занять до одного часа. ВМ также перезагружается несколько раз из-за многочисленных требований к установке программного обеспечения. После завершения установки приглашение PowerShell остается открытым, ожидая нажатия любой клавиши перед выходом. После завершения установки вы увидите следующую рабочую среду:
Рисунок 4: Установка FLARE VM завершена
Поздравляем! Вы успешно установили FLARE VM. На этом этапе мы рекомендуем отключить виртуальную машину, переключить сетевой режим виртуальной машины в режим «Только хост», а затем сделать снимок, чтобы сохранить чистое состояние аналитической виртуальной машины.
улучшение
Самым большим улучшением для FLARE VM является возможность корректного обновления и удаления. Старая версия FLARE VM представляла собой скрипт PowerShell для установки множества шоколадных пакетов, по одному за раз; поэтому мы не смогли включить новые пакеты при обновлении FLARE VM. Раньше нашим пользователям приходилось полностью переустанавливать FLARE VM, что отнимает много времени, или вручную устанавливать новый пакет, который подвержен ошибкам. Чтобы решить эту проблему, мы превратили саму FLARE VM в шоколадную упаковку. Всякий раз, когда доступен новый инструмент, мы также выпускаем новую версию FLARE VM. С этим новым дизайном мы можем просто выполнить «choco upgrade all», чтобы получить новейшую версию FLARE VM вместе с любыми новыми выпущенными нами пакетами. Вы также можете безопасно удалить все пакеты FLARE VM, выполнив «choco uninstall flarevm.installer.flare».
Наша новая виртуальная машина FLARE также обновлена для использования Python 3.7 в качестве интерпретатора Python по умолчанию. В результате многие сценарии Python могут не выполняться. Чтобы поддерживать старые сценарии, мы устанавливаем Python 2.7 параллельно с Python 3.7. Мы можем легко переключаться между различными версиями, используя панель запуска Python. Запустите «py -2.7 <path_to_python_script>», чтобы использовать Python 2.7, или «py <path_to_python_script>», чтобы использовать интерпретатор Python 3.7 по умолчанию. Для получения более подробной информации о программе запуска Python, пожалуйста, обратитесь по следующему URL:
Ссылка скрыта от гостей
.Кроме того, новая виртуальная машина FLARE изменяет местоположение, в котором Fakenet-NG сохраняет свои выходные данные при запуске с помощью ярлыка в папке FLARE или на панели задач. Вместо сохранения непосредственно на рабочем столе, чтобы уменьшить беспорядок, Fakenet-NG сохранит весь свой вывод в «Desktop \ fakenet_logs».
По сравнению со старыми версиями эта версия FLARE VM поставляется с множеством новых инструментов и пакетов программного обеспечения. В частности, этот выпуск добавляет следующее:
- IDA бесплатно 7.0
- radare2 для поддержки 64-битной разборки
- Лаборатории для книги «
Ссылка скрыта от гостей
- pdfid, pdf-parser и PdfStreamdumper для анализа вредоносных PDF-документов
- Malcode Analyst Pack
- Яра для подбора подписи
- Среда Cygwin Linux для Windows
- Транскрипция PowerShell и ведение журнала сценариев
- Стенограммы PowerShell можно найти в «Desktop \ PS_Transcripts»
Хотя мы пытаемся сделать инструменты доступными в виде ярлыков в папке FLARE, некоторые из них доступны только из командной строки. Пожалуйста, смотрите
Ссылка скрыта от гостей
для получения наиболее актуального списка. Вот неполный список некоторых основных инструментов, доступных на FLARE VM:- Дизассемблеры:
- IDA Free 5.0 и IDA Free 7.0
- Бинарный ниндзя
- Radare2 и Cutter
- Debuggers:
- OllyDbg и OllyDbg2
- x64dbg
- Windbg
- Анализатор формата файла:
- CFF Explorer, PEView, PEStudio
- PdfStreamdumper, pdf-парсер, pdfid
- ffdec
- оффис и офисный сканер
- PE-медведь
- Декомпиляторы:
- RetDec
- JD-GUI и просмотрщик байт-кода
- dnSpy
- IDR
- VBDecompiler
- Py2ExeDecompiler
- Инструменты мониторинга:
- SysInternal Suite
- RegShot
- Утилиты:
- Шестнадцатеричные редакторы (редактор 010, HxD и File Insight)
- FLOSS (FireFye Labs - запутанный решатель с запутанными строками)
- Fakenet-NG
- Yara
- Malware Analyst Pack
Команда FLARE продолжает поддерживать и улучшать FLARE VM, которая фактически является дистрибутивом для исследований безопасности, реагирования на инциденты и анализа вредоносных программ на платформе Windows. Мы высоко ценим многочисленные сообщения об ошибках, запросы инструментов и рекомендации функций от всех. Мы надеемся, что FLARE VM, наряду со многими другими проектами с открытым исходным кодом FLARE, поможет вам сделать вашу работу лучше, проще и быстрее.
fireeye (c)
