murdok1982/flare-vm-es

GitHub: murdok1982/flare-vm-es

一个面向 Windows 的恶意软件分析与逆向工程自动化环境部署工具,通过脚本一键安装配置专业分析工具链。

Stars: 0 | Forks: 0

# FLARE-VM [ES]

FLARE-VM Logo

## 👋 欢迎 / Welcome **西班牙语:** 欢迎来到 FLARE-VM - 这是一个针对 Windows 系统的软件安装脚本集合,可帮助您在虚拟机 (VM) 上轻松设置和维护逆向工程环境。FLARE-VM 旨在解决逆向工程工具的整理问题,并依赖于两项主要技术:[Chocolatey](https://chocolatey.org) 和 [Boxstarter](https://boxstarter.org)。Chocolatey 是一个基于 Nuget 的 Windows 包管理系统,其中一个“包”本质上是一个包含 PowerShell 安装脚本的 ZIP 文件,用于下载和配置特定的工具。Boxstarter 利用 Chocolatey 包来自动化软件安装,并创建可重复的、脚本化的 Windows 环境。 **英语:** 欢迎来到 FLARE-VM - 这是一个针对 Windows 系统的软件安装脚本集合,可帮助您在虚拟机 (VM) 上轻松设置和维护逆向工程环境。FLARE-VM 旨在解决逆向工程工具的整理问题,并依赖于两项主要技术:[Chocolatey](https://chocolatey.org) 和 [Boxstarter](https://boxstarter.org)。Chocolatey 是一个基于 Nuget 的 Windows 包管理系统,其中一个“包”本质上是一个包含 PowerShell 安装脚本的 ZIP 文件,用于下载和配置特定的工具。Boxstarter 利用 Chocolatey 包来自动化软件安装,并创建可重复的、脚本化的 Windows 环境。 ## ⚙️ 要求 / Requirements 虚拟机必须满足以下要求 / 虚拟机应满足以下要求: - Windows ≥ 10 - PowerShell ≥ 5 - 磁盘容量至少 60 GB,内存至少 2GB / 磁盘容量至少 60 GB,内存至少 2GB - 用户名不能包含空格或其他特殊字符 / 用户名不能包含空格或其他特殊字符 - 网络连接 / 网络连接 - 篡改保护以及任何反恶意软件解决方案(例如 Windows Defender)已被禁用,最好通过组策略进行禁用 / 篡改保护以及任何反恶意软件解决方案(例如 Windows Defender)已被禁用,最好通过组策略进行禁用 - Windows 更新已禁用 / Windows 更新已禁用 ## 📚 安装说明 / 安装说明 本节记录了安装 FLARE-VM 的步骤。您也可以参考 [FLARE-VM 安装视频](https://www.youtube.com/watch?v=i8dCyy8WMKY),可能会有帮助。 本节记录了安装 FLARE-VM 的步骤。您也可以参考 [FLARE-VM 安装视频](https://www.youtube.com/watch?v=i8dCyy8WMKY),可能会有帮助。 ### 预安装 / 预安装 **准备一台 Windows 10+ 虚拟机 / 准备一台 Windows 10+ 虚拟机:** 1. 在虚拟机中安装 Windows,例如使用 [Microsoft](https://www.microsoft.com/en-us/software-download/windows10ISO) 提供的 Windows 10 ISO 镜像 2. 确保满足上述[要求](#-requisitos--requirements),包括: - **禁用 Windows 更新** (至少在安装完成前保持禁用) - [如何禁用自动更新](https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10) - **禁用篡改保护以及任何反恶意软件解决方案**(例如 Windows Defender),最好通过组策略进行禁用: - GPO:[通过 GPO 禁用 Defender](https://superuser.com/a/1757341) - 无 GPO - 手动:[永久禁用 Defender](https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/) - 无 GPO - 自动化:[windows-defender-remover](https://github.com/ionuttbara/windows-defender-remover) - 无 GPO - 半自动化:[ToggleDefender.ps1](https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1) 3. **对 VM 拍摄快照**,以便随时能恢复到安装 FLARE-VM 之前的状态 4. **IDA Pro 注意事项:** 如果您要通过 `idapro.vm` 安装 IDA Pro,必须在运行 FLARE-VM 安装程序之前将您的 IDA Pro 安装程序(以及可选的许可证文件)放在桌面上 ### FLARE-VM 的安装 / FLARE-VM 的安装 1. 以管理员身份打开 `PowerShell` 提示符 / 以管理员身份打开 `PowerShell` 提示符 2. 将安装脚本 [`install.ps1`](https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1) 下载到您的桌面: (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1") 3. 解锁安装脚本 / 解锁安装脚本: Unblock-File .\install.ps1 4. 启用脚本执行 / 启用脚本执行: Set-ExecutionPolicy Unrestricted -Force - 如果您收到错误提示说执行策略被更具体范围的策略覆盖,您可能需要通过以下命令传递一个范围: Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force - 要查看所有范围的执行策略: Get-ExecutionPolicy -List 5. 最后,执行安装脚本 / 最后,执行安装脚本: .\install.ps1 - 将您的密码作为参数传递:`.\install.ps1 -password ` - 使用具有最少交互的 CLI 模式:`.\install.ps1 -password -noWait -noGui` - 使用带有自定义配置文件的 CLI 模式:`.\install.ps1 -customConfig -password -noWait -noGui` 6. 安装完成后,建议将网络模式切换为 `host-only` 并对 VM 拍摄快照 ### 安装程序参数 / 安装程序参数 以下是 CLI 参数的描述 / 以下是 CLI 参数的描述: ``` PARÁMETROS / PARAMETERS -password Contraseña del usuario actual para permitir resiliencia de reinicio vía Boxstarter. El script solicita la contraseña si no se proporciona. Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided. -noPassword [] Parámetro de interruptor que indica que no se necesita contraseña para reinicios. Switch parameter indicating a password is not needed for reboots. -customConfig Ruta a un archivo XML de configuración. Puede ser una ruta de archivo o URL. Path to a configuration XML file. May be a file path or URL. -customLayout Ruta a un archivo XML de diseño de barra de tareas. Puede ser una ruta de archivo o URL. Path to a taskbar layout XML file. May be a file path or URL. -noWait [] Parámetro de interruptor para omitir el mensaje de instalación antes de que comience la instalación. Switch parameter to skip installation message before installation begins. -noGui [] Parámetro de interruptor para omitir la GUI de personalización. Switch parameter to skip customization GUI. -noReboots [] Parámetro de interruptor para prevenir reinicios (no recomendado). Switch parameter to prevent reboots (not recommended). -noChecks [] Parámetro de interruptor para omitir verificaciones de validación (no recomendado). Switch parameter to skip validation checks (not recommended). ``` 通过运行以下命令获取完整的使用信息 / 通过运行以下命令获取完整的使用信息: ``` Get-Help .\install.ps1 -Detailed ``` ### 安装程序 GUI / 安装程序 GUI 安装程序 GUI 会在执行验证检查并安装 Boxstarter 和 Chocolatey(如果尚未安装)之后显示。 使用安装程序 GUI 您可以自定义: - FLARE-VM 和 Chocolatey 社区包的选择 - 环境变量的路径 ![安装程序 GUI](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/465009771e181233.png) ### 配置 / 配置 安装程序将从 FLARE-VM 仓库下载 [`config.xml`](https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml)。此文件包含默认配置,包括要安装的包列表以及环境变量的路径。您可以通过指定 CLI 参数 `-customConfig` 并提供本地文件路径或您的 `config.xml` 文件的 URL 来使用您自己的配置。 ### 安装后步骤 / 安装后步骤 您可以在配置的 `apps`、`services`、`path-items`、`registry-items` 和 `custom-items` 标签中包含您希望的任何安装后步骤。 例如,要显示已知文件扩展名: ``` ``` 有关更多示例,请参考默认配置文件:[`config.xml`](https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml)。 ## 🐞 故障排除 / 故障排除 如果您的安装失败,请尝试通过阅读以下列出的日志文件来找出错误原因: - `%VM_COMMON_DIR%\log.txt` - `%PROGRAMDATA%\chocolatey\logs\chocolatey.log` - `%LOCALAPPDATA%\Boxstarter\boxstarter.log` 请确保您运行的是最新版本的 FLARE-VM 安装程序,并且您的虚拟机满足[要求](#-requisitos--requirements)。 ### 安装程序错误 / 安装程序错误 如果安装由于安装脚本(例如 `install.ps1`)的问题而失败,请在 [FLARE-VM 中报告该 bug](https://github.com/mandiant/flare-vm/issues/new?labels=%3Abug%3A+bug&template=bug.yml)。 ### 包错误 / 包错误 包安装有时会失败——这是正常现象。最常见的原因是: 1. Chocolatey 或 MyGet 下载 `.nupkg` 文件失败或超时 2. 由于远程主机下载工具时失败或超时 3. 入侵检测系统 (IDS) 或 AV 产品(例如 Windows Defender)阻止了工具下载或从系统中删除了工具 4. 特定主机的问题,例如使用了未经测试的版本 5. 工具由于依赖关系构建失败 6. 旧的工具 URL(例如 `HTTP STATUS 404`) 7. 工具的 SHA256 哈希值已与包安装脚本中硬编码的哈希值不同 原因 **1-4** 很难修复,因为我们无法控制它们。如果出现了与原因 **1-4** 相关的问题,我们可能无能为力。 我们可以帮助解决原因 **5-7**,并欢迎社区贡献修复方案! 请在 [VM-Packages 中报告该 bug](https://github.com/mandiant/VM-Packages/issues/new?labels=%3Abug%3A+bug&template=bug.yml),并提供所有要求的信息。 ### 更新 / 更新 请注意,包更新是尽最大努力提供的,并且未对更新进行测试。如果您遇到错误,请重新全新安装 FLARE-VM。 请注意,包更新是尽最大努力提供的,并且未对更新进行测试。如果您遇到错误,请重新全新安装 FLARE-VM。 ## 👥 作者与致谢 / 作者与致谢 ### 🏆 原始作者 / 原始作者 **Mandiant FLARE 团队** - 原始仓库 / 原始仓库: [mandiant/flare-vm](https://github.com/mandiant/flare-vm) - FLARE-VM 项目的创建者 / FLARE-VM 项目的创建者 - 许可证 / 许可证: Apache 2.0 ### ✨ 改进版本和西班牙语文档 / 改进版本和西班牙语文档 **Gustavo Lobato Clara (Murdok)** - [murdok1982](https://github.com/murdok1982) **此版本中进行的改进 / 此版本中进行的改进:** - ✅ 将文档完整翻译为西班牙语 - ✅ 改进了 README 的结构和格式 - ✅ 添加了比特币捐赠部分 - ✅ 改进了双语文档(西班牙语/英语) - ✅ 更好的安全警告和重要提示 - ✅ 更好的章节组织 - ✅ 更清晰的命令示例 **联系方式 / 联系方式:** - 📧 邮箱: gustavolobatoclara@gmail.com - 💼 LinkedIn: [Gustavo Lobato Clara](https://www.linkedin.com/in/gustavo-lobato-clara1982/) - 🌍 地点 / 地点: 瓦伦西亚,西班牙 - 💻 *对网络安全和 PYTHON 充满热情!* ## 📧 邮件列表 / 邮件列表 订阅 FLARE 邮件列表以获取社区公告!发送包含“subscribe”的电子邮件至 [flare-external@google.com](mailto:flare-external@google.com?subject=subscribe)。 订阅 FLARE 邮件列表以获取社区公告!发送包含“subscribe”的电子邮件至 [flare-external@google.com](mailto:flare-external@google.com?subject=subscribe)。 ## ⚠️ 法律声明 / 法律声明 **ES:** 提供此下载配置脚本是为了帮助网络安全分析师为恶意软件分析环境创建实用且多功能的工具箱。它提供了一个便捷的界面,使他们能够直接从原始来源获取一套有用的分析工具。此脚本的安装和使用受 Apache 2.0 许可证的约束。作为此脚本的用户,您必须审查、接受并遵守每个下载/安装包的许可条款。通过继续安装,您即表示接受每个包的许可条款,并承认您对每个包的使用将受其各自的许可条款约束。 **EN:** 提供此下载配置脚本是为了帮助网络安全分析师为恶意软件分析环境创建实用且多功能的工具箱。它提供了一个便捷的界面,使他们能够直接从原始来源获取一套有用的分析工具。此脚本的安装和使用受 Apache 2.0 许可证的约束。作为此脚本的用户,您必须审查、接受并遵守每个下载/安装包的许可条款。通过继续安装,您即表示接受每个包的许可条款,并承认您对每个包的使用将受其各自的许可条款约束。 ## 📝 许可证 / 许可证 本项目采用 Apache 2.0 许可证授权 - 详见 [LICENSE](https://github.com/mandiant/flare-vm/blob/main/LICENSE.txt) 文件。 本项目采用 Apache 2.0 许可证授权 - 详见 [LICENSE](https://github.com/mandiant/flare-vm/blob/main/LICENSE.txt) 文件。 ## **🚀 祝您逆向工程愉快! / 祝您逆向工程愉快!** ## 🎖️ 官方通讯与报告中心 **访问级别:** 已授权 | **收件人:** 开发指挥部 (gustavolobatoclara@gmail.com) 通过以下通讯门户,授权人员可以提交事件报告、严重的部署(构建)故障或战略改进请求。选择相应的策略以查看发送协议:
🚨 投诉或纪律/运营事件报告
要提交有关系统功能、结构或内容的投诉,请按照以下协议向 gustavolobatoclara@gmail.com 发送消息:
  1. 主题: [投诉] - 系统名称 - 简要描述。
  2. 正文: 清楚地详述事件、运营影响,如果可能,请附上证据(截图或日志)。
  3. 优先级: 指出是需要立即处理还是延后处理。
🛠️ 构建或部署问题报告
如果您在系统的构建或安装阶段遇到故障,请按以下结构向 gustavolobatoclara@gmail.com 报告:
  1. 主题: [构建] - 在 <环境/OS> 中失败。
  2. 规格: 操作系统、依赖项版本以及所使用的构建工具。
  3. 错误追踪 (日志): 附上终端提供的完整错误日志(文本格式或清晰的截图)。
  4. 重现步骤: 在发生严重故障之前执行的确切命令顺序。
💡 开发建议或请求
要提出新的战术功能、情报模块或架构改进,请将您的请求发送至 gustavolobatoclara@gmail.com
  1. 主题: [提案] - 改进或新模块。
  2. 战术目标: 这个新功能解决了什么问题或提供了什么优势?
  3. 可行性: (可选)建议的技术方法或用于实施的建议工具。
标签:AI合规, Boxstarter, Chocolatey, DAST, FLARE-VM, IPv6, Mandiant, OpenCanary, PowerShell, Windows 虚拟机, 云资产清单, 包管理器, 威胁分析, 安全环境, 工具集, 恶意软件分析, 特权提升, 环境配置, 统一API, 网络安全, 网络连接监控, 自动化侦查工具, 自动化部署, 虚拟化, 软件安装脚本, 逆向工程, 隐私保护