FLARE VMをWindows10に構築してみた
今更ながら、マルウェア解析環境でお馴染みのFLARE VMをWindows10環境に構築したため、その流れをメモ。
FLARE VMとは
FireEye社のFLARE(FireEye Labs Advanced Reverse Engineering)チームが提供している、Windowsベースの解析環境イメージ。解析に用いる様々なツールがインストールされており、Windowsのパッケージ管理ツールであるChocolateyを用いて、いつでも新しいパッケージを手動で追加することもできる。
構築した環境
手順
以下を参考に進めた。
GitHub - fireeye/flare-vm
1. Windowsアップデートを行い、最新の状態にする
2.(失敗時に振り出しに戻れるように)スナップショットをとっておく
3. 上記リンクからinstall.ps1
をダウンロード
4. PowerShellのスクリプト実行ポリシーを変更する
PowerShellのスクリプト実行ポリシーはデフォルトだとRestricted
となっている。管理者権限で起動したPowerShell上で以下を実行し、ポリシーをUnrestricted
に変更する。
PS C:\Windows\system32> Set-ExecutionPolicy Unrestricted 実行ポリシーの変更 実行ポリシーは、信頼されていないスクリプトからの保護に役立ちます。実行ポリシーを変更すると、about_Execution_Policies のヘルプ トピック (https://go.microsoft.com/fwlink/?LinkID=135170) で説明されているセキュリティ上の危険にさらされる可能性があります。実行ポリシーを変更しますか? [Y] はい(Y) [A] すべて続行(A) [N] いいえ(N) [L] すべて無視(L) [S] 中断(S) [?] ヘルプ (既定値は "N"): Y PS C:\Windows\system32>
ポリシーが変更できたかは、以下で確認できる。
PS C:\Windows\system32> Get-ExecutionPolicy Unrestricted
5. "4."でダウンロードしたinstall.ps1
を実行する
PS C:\Users\win10user\Desktop> .\install.ps1 -password [パスワード]
※インストール中にホストの再起動を自動化するために管理者のパスワード入力を求められる。そこを省略するために引数にパスワードを渡した。
あとは永遠に待てば勝手に進む。22時に開始ししたが2時の段階では終わってなかった。
翌朝確認したらPowerShell上に以下の文字列が表示されていたたので、ENTERを押して終了。
Type ENTER to exit:
再起動したら、FLARE VMのデスクトップに変わった。
追加パッケージのインストール
デスクトップにあるFLAREフォルダを見てみると、procmonやprocexplorerなどのsysinternalsツールたちがちゃんとインストールできていなかった。
結局以下のコマンドで自力で入れなおした。(管理者権限のPowerShellで)
PS C:\Windows\system32> choco install sysinternals
他にも、以下のツールを入れた。
PS C:\Windows\system32> choco install exiftool, trid, grep, stirling-jp
またカスタマイズしたら追記予定。