必要なもの
仮想環境で構築済みのWindows 10 Pro(ライセンス認証は不要です)
事前準備
- Windows Defenderの無効化
- Windows Updateの無効化
Flare-VMをインストールする際グループポリシーでWindows Defenderを無効化しろと指示されます。
最近のWindowsはリアルタイム保護を無効化しても再起動すると有効になってしまいます。グループポリシーから無効化すると再起動しても無効のままになります。
なのでローカルグループポリシーエディタから無効化します。
win+rを押しgpedit.mscと入力しenter。
コンピュータの構成→管理用テンプレート→Windows コンポーネント→Microsoft defender ウイルス対策→Microsoft Defender ウイルス対策を無効にする を選択し、有効にする。
コンピュータの構成→管理用テンプレート→Windows コンポーネント→Microsoft defender ウイルス対策→リアルタイム保護→リアルタイム保護を無効にする を選択し、有効にする。
コンピュータの構成→管理用テンプレート→Windows コンポーネント→Windows Update→自動更新を構成する を選択し、無効にする。
これで再起動をし無効になっているか確認してください。
あとは任意でファイアウォールの設定やUACの設定を行ってください。
Flare-VMの導入
https://github.com/mandiant/flare-vm
基本指示通りに行えばできるかと思います。
install.ps1のダウンロード
(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1")
install.ps1の実行
- インストールに失敗した際復元できるよう実行前にチェックポイントを作っておきましょう。
管理者でpowershellを開いてinstall.ps1のある場所へ移動
Unblock-File .\install.ps1
Set-ExecutionPolicy Unrestricted -Force
.\install.ps1
パスワードを聞かれるので入力
しばらくするとインストールするツールを聞かれます。ここで選択したツールは基本chocolateyとboxstarterで自動インストールされます。
手動で追加したツールは以下
ftk-imager.vm ←メモリダンプツール
googlechrome.vm
hayabusa.vm ←イベントログ調査
ollydbg.* ←デバッガの拡張機能
openjdk.vm ←Ghidraを動作させるために必要になる可能性が高い
vcredist140.vm ←古いバージョンのVisual C++ランタイム
x64dbg.* ←デバッガ
あとは気長に待ちます。
途中再起動やらいろいろ勝手に動きますが間違ってもターミナルを閉じたりしてはいけません。
インストールが中断されてしまいます。
終わったら背景が変わります。インストール時のログファイルがあるので確認するとインストールに失敗したツールが分かります。
あとは手動でほしいツールを入れてください。