FLARE VMとは

FireEye社のFLARE（FireEye Labs Advanced Reverse Engineering）チームが提供している、Windowsベースの解析環境イメージ。解析に用いる様々なツールがインストールされており、Windowsのパッケージ管理ツールであるChocolateyを用いて、いつでも新しいパッケージを手動で追加することもできる。

構築した環境

FLARE VMはVM内で構築することを想定されている。今回は以下の環境で構築した。

• VMware workstation Pro v15
• Windows 10 Pro, version 1909

手順

以下を参考に進めた。
GitHub - fireeye/flare-vm

1. Windowsアップデートを行い、最新の状態にする

2.（失敗時に振り出しに戻れるように）スナップショットをとっておく

3. 上記リンクからinstall.ps1をダウンロード

4. PowerShellのスクリプト実行ポリシーを変更する
　PowerShellのスクリプト実行ポリシーはデフォルトだとRestrictedとなっている。管理者権限で起動したPowerShell上で以下を実行し、ポリシーをUnrestrictedに変更する。

PS C:\Windows\system32> Set-ExecutionPolicy Unrestricted

実行ポリシーの変更
実行ポリシーは、信頼されていないスクリプトからの保護に役立ちます。実行ポリシーを変更すると、about_Execution_Policies
のヘルプ トピック (https://go.microsoft.com/fwlink/?LinkID=135170)
で説明されているセキュリティ上の危険にさらされる可能性があります。実行ポリシーを変更しますか?
[Y] はい(Y)  [A] すべて続行(A)  [N] いいえ(N)  [L] すべて無視(L)  [S] 中断(S)  [?] ヘルプ (既定値は "N"): Y
PS C:\Windows\system32>

ポリシーが変更できたかは、以下で確認できる。

PS C:\Windows\system32> Get-ExecutionPolicy
Unrestricted

5. "4."でダウンロードしたinstall.ps1を実行する

PS C:\Users\win10user\Desktop> .\install.ps1 -password [パスワード]

※インストール中にホストの再起動を自動化するために管理者のパスワード入力を求められる。そこを省略するために引数にパスワードを渡した。

あとは永遠に待てば勝手に進む。22時に開始ししたが2時の段階では終わってなかった。
翌朝確認したらPowerShell上に以下の文字列が表示されていたたので、ENTERを押して終了。

Type ENTER to exit:

再起動したら、FLARE VMのデスクトップに変わった。

追加パッケージのインストール

デスクトップにあるFLAREフォルダを見てみると、procmonやprocexplorerなどのsysinternalsツールたちがちゃんとインストールできていなかった。
結局以下のコマンドで自力で入れなおした。（管理者権限のPowerShellで）

PS C:\Windows\system32> choco install sysinternals

他にも、以下のツールを入れた。

PS C:\Windows\system32> choco install exiftool, trid, grep, stirling-jp

またカスタマイズしたら追記予定。