FLARE-VM - Le toolkit des passionnés de reverse engineering !
Si vous vous intéressez au reverse engineering comme moi, permettez-moi de vous présenter FLARE-VM de Mandiant ! C’est un outil très pratique pour vous monter rapidement un petit labo d’analyse de malwares sans vous prendre la tête.
Concrètement, FLARE-VM est une jolie brochette de scripts d’installation pour Windows, basés sur deux technos bien badass : Chocolatey (un gestionnaire de paquets) et Boxstarter (un outil pour scripter des installs et configurer des environnements reproductibles). Bref, ça mâche le boulot et ça permet d’installer tout un tas d’outils et les configurer proprement en quelques minutes.
Bon, avant de se lancer, faut quand même checker deux-trois prérequis. Déjà, n’oubliez pas que FLARE-VM est prévu pour tourner sur une VM, donc préparez-en une bien propre (Windows 10+ de préférence) sur VMWare ou Virtualbox par exemple. Ensuite, vérifiez que vous avez bien au moins 60 Go d’espace disque et 2 Go de RAM. Et pensez à désactiver les mises à jour Windows et l’antivirus, sinon ça risque de faire des misères.
Ouvrez ensuite une invite
PowerShell
en tant qu’administrateur et téléchargez le script d’installation installer.ps1
sur votre bureau à l’aide de la commande suivante :(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
Débloquez le script d’installation :
Unblock-File .install.ps1
Puis activez son exécution :
Set-ExecutionPolicy Unrestricted -Force
Si vous recevez un message d’erreur indiquant que la stratégie d’exécution est remplacée par une stratégie définie à une portée plus spécifique, vous devrez peut-être passer une portée via Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force
. Pour afficher les stratégies d’exécution pour toutes les portées, exécutez Get-ExecutionPolicy -List
.
Enfin, exécutez le script d’installation comme ceci :
.install.ps1
Pour passer votre mot de passe en argument :
.install.ps1 -password <mot_de_passe></mot_de_passe>
Pour utiliser le mode CLI uniquement avec un minimum d’interaction utilisateur :
.install.ps1 -password <mot_de_passe> -noWait -noGui</mot_de_passe>
Pour utiliser le mode CLI uniquement avec un minimum d’interaction utilisateur et un fichier de configuration personnalisé :
.install.ps1 -customConfig <config.xml> -password <mot_de_passe> -noWait -noGui</mot_de_passe></config.xml>
Une fois lancée, l’installation va télécharger et installer tous les outils sélectionnés, configurer les variables d’environnement, épingler des raccourcis sur la barre des tâches, etc. Bref, en quelques clics, vous obtiendrez un environnement de reverse engineering aux petits oignons, prêt à l’emploi pour désosser du malware !
Après l’installation, il est recommandé de passer en mode de réseau host-only
et de prendre un instantané de la machine virtuelle. Vous pouvez ensuite personnaliser votre environnement FLARE VM en fonction de vos besoins spécifiques :
- Mettez à jour les outils et les logiciels installés pour vous assurer que vous disposez des dernières versions.
- Configurez les paramètres réseau selon vos préférences, par exemple en passant en mode NAT ou en mode pont si nécessaire.
- Installez des outils ou des utilitaires supplémentaires qui pourraient être utiles pour votre flux de travail d’analyse.
- Personnalisez les paramètres de l’interface utilisateur et les préférences selon vos goûts.
Et c’est parti mon kiki !
Après, si vous voulez aller plus loin et contribuer à l’amélioration de FLARE-VM, jetez un œil aux repos GitHub du projet :
Happy reverse à tous ! 🚀
Que faire après le bac quand on est passionné de cybersécurité ?
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).