必要なもの
仮想環境で構築済みのWindows 10 Pro(ライセンス認証は不要です)
事前準備
- Windows Defenderの無効化
- Windows Updateの無効化
Flare-VMをインストールする際グループポリシーでWindows Defenderを無効化しろと指示されます。
最近のWindowsはリアルタイム保護を無効化しても再起動すると有効になってしまいます。グループポリシーから無効化すると再起動しても無効のままになります。
なのでローカルグループポリシーエディタから無効化します。
win+rを押しgpedit.mscと入力しenter。
コンピュータの構成→管理用テンプレート→Windows コンポーネント→Microsoft defender ウイルス対策→Microsoft Defender ウイルス対策を無効にする を選択し、有効にする。
コンピュータの構成→管理用テンプレート→Windows コンポーネント→Microsoft defender ウイルス対策→リアルタイム保護→リアルタイム保護を無効にする を選択し、有効にする。
コンピュータの構成→管理用テンプレート→Windows コンポーネント→Windows Update→自動更新を構成する を選択し、無効にする。
これで再起動をし無効になっているか確認してください。
あとは任意でファイアウォールの設定やUACの設定を行ってください。
Flare-VMの導入
https://github.com/mandiant/flare-vm
基本指示通りに行えばできるかと思います。
install.ps1のダウンロード
(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1")
install.ps1の実行
- インストールに失敗した際復元できるよう実行前にチェックポイントを作っておきましょう。
管理者でpowershellを開いてinstall.ps1のある場所へ移動
Unblock-File .\install.ps1
Set-ExecutionPolicy Unrestricted -Force
.\install.ps1
パスワードを聞かれるので入力
しばらくするとインストールするツールを聞かれます。ここで選択したツールは基本chocolateyとboxstarterで自動インストールされます。
手動で追加したツールは以下
capasolo.vm ← CAPEサンドボックスのスタンドアロン版。ペイロードの抽出に使える
binwalk.vm ← ファイル抽出用
ftk-imager.vm ←メモリダンプツール (あんまり使ってない...)
hayabusa.vm ←イベントログ調査 (あんまり使ってない)
dotnet-*.vm ←本当に必要かあまりわかっていないが古いdotnet系
vcredist140.vm ←古いバージョンのVisual C++ランタイム(Bindiffと一緒に入るはず)
消しても問題なさそうなもの
ida.plugins.* <- idafreeではpluginが使えない
オプショナル
idapro.vm ←課金ユーザーはDesktopにインストーラーとライセンスファイルを配置。
binaryninja.vm ←free版が入れられるので、有償版を使う人は外しておく。
あとは気長に待ちます。
途中再起動やらいろいろ勝手に動きますが間違ってもターミナルを閉じたりしてはいけません。
インストールが中断されてしまいます。
終わったら背景が変わります。インストール時のログファイルがあるので確認するとインストールに失敗したツールが分かります。
あとは手動でほしいツールを入れてください。
changelog
手動で追加したツールの項目を最新版に修正。(2026-04-06)