如何使用OAlabs-VM installer安装和配置一个FREE Windows 7 VM
这篇文章将为大家详细讲解有关如何使用OAlabs-VM installer安装和配置一个FREE Windows 7 VM,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
安装 Virtual Box
这里我将使用VirtualBox,这是一个免费开源的虚拟机软件。为了更便于大家的学习,我建议大家也使用VirtualBox。当然,如果你习惯于使用VM那么也没有问题。
首先,我们来下载并安装VirtualBox:https://www.virtualbox.org/wiki/Downloads。
安装 FREE Windows 7 VM
OALabs-VM installer主要目的是在微软提供的FREE VM上运行,用于测试Edge Web浏览器。虽然我们只在free VM上进行了测试,但该安装程序可以支持在任何的32位Windows 7 VM上运行。这里我们选择使用32bit Windows 7,这样更易于我们的调试工作(大多数windows恶意软件都为32位)。
免费的Microsoft VM许可证有效期为90天。我们可以在安装过程中创建快照,并在过期后恢复快照,这样我们就可以无限期的使用了。
导航至Microsoft VM下载页面:https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,并在下拉菜单中选择以下VM配置:
IE11 on Win7 (x86)
VirtualBox
下载.zip文件并将其解压缩到你的主机上。zip文件夹中应包含.ova文件。
接下来,我们打开VirtualBox并选择File-> Import Appliance。选择我们刚刚解压缩的.ova文件路径,并单击Continue。然后,系统会要求你选择appliance settings,这里建议你将CPU数量设置为2,其余设置默认即可。
最后单击"Import"导入VM。这里我们可能需要等待一段时间。
VM成功导入后在启动之前,我们先来创建一个快照备份。我们可以将该备份命名为Clean Install。
创建完成后,我们启动VM并注册使用许可,步骤如下:
启动VM
忽略任何重启VM的提示,选择"Restart Later"
记下用户名和密码
通常为IEUser:Passw0rd!
打开cmd.exe并输入slmgr /ato激活90天许可证
等待激活确认弹出窗口,并将其关闭
PRO-TIP:如果你想要使用剪贴板在主机和VM之间复制文本,你可以在Settings-> Advanced-> Shared Clipboard中启用该功能。但需要提醒大家的是,如果你VM中分析的恶意软件可以从剪贴板窃取数据,那么请务必禁用该功能。
安装 OALabs-VM 工具
安装OALabs-VM工具只需简单的三步。首先,在VM中打开Internet Explorer并浏览到OALabs Boxstarter gist:https://gist.github.com/OALabs/cad8d9489245f3f96d9669f56d2877f。该gist包含一个Powershell脚本,该脚本将启动installer进程。单击github界面中的Raw按钮,然后在Internet Explorer中选择File-> Save As...,将脚本下载为文本文件。
确保已将脚本文件以.txt格式保存至桌面,并关闭Internet Explorer。
找到保存的文件并将文件扩展名更改为.ps1。然后右键单击该文件并选择Run with PowerShell。这将启动installer。
安装过程可能需要一些时间,因为它需要下载多个软件包。在安装过程中,VM可能会自动重启多次。某些软件包还可能会弹出询问框,我们只需以默认设置单击确认即可。安装完成后,脚本将提示你单击Enter,以完成安装并关闭PowerShell窗口。
PRO-TIP:OALabs-VM安装完成后,你应该再创建一个快照备份,并命名为Clean With Tools。
OALabs工具概览
OALabs-VM installer仅会为我们安装,在教程中使用到的少数几个工具。但安装程序还为我们安装了Chocolatey软件包管理器,因此你可以很容易的从Chocolatey软件库中安装其他软件。以下是OALabs-VM工具的一些基本介绍。
Checksum
Checksum是一个命令行工具,可用于显示文件的校验和哈希值。例如 checksum -t sha256
7zip
7-Zip是一款完全免费而且开源的压缩软件,相比其他软件有更高的压缩比但同时耗费的资源也相对更多。该实用程序被安装在VM的%programfiles%\7zip中,你可以在开始菜单中进行访问。有关更多详细信息,请参阅7zip网站。
Process Explorer
Process explorer是一个Windows系统和应用程序监视工具。恶意软件常常利用系统进程名来蒙混过关,所以判断进程是否危险不能只看进程名,还要追查用户名、所在路径、命令行及参数等。系统自带的"任务管理器"无法查看详细的信息,借助Process Explorer可以完成这一切。有关更多详细信息,请参阅Process Explorer网站。
Resource Hacker
Resource Hacker是一款免费查看,修改,添加,删除和重命名,提取Windows可执行文件和资源文件的资源替换工具。有关更多详细信息,请参阅Resource Hacker网站。
HxD
HxD是一个认真设计的快捷16进制编辑器。还提供直接磁盘编辑、内存修改和处理任何大小的文件。易用的用户界面,提供查找、替换、导出、校验和、字节数据插入、文件粉碎、分割和合并文件、统计数据分布等功能。有关更多详细信息,请参阅HxD网站。
Sublime Text 3
Sublime Text是一个代码编辑器,也是HTML和散文先进的文本编辑器。有关更多详细信息,请参阅Sublime Text网站。
Google Chrome
这个不用多介绍了,天天在用的。
PEBear
PEBear是Hasherezade开发的PE查看器和编辑器。你可以在开始菜单中进行访问,也可以将其固定到任务栏。有关更多详细信息,请参阅hasherezade关于PEBear的帖子。
LordPE
是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。有关使用说明,请查看LordPE的aldeid wiki帖子。
x64dbg (x32dbg)
x64dbg汉化版是一款功能强大的64位系统调试工具,其主要的目的就是帮助用户管理自己的系统组件参数,支持函数操作方案,可以从电脑行的函数区域中加载需要执行调试的命令,方便你使用预设的函数快速调试对应的字符串,同时还可以将你不知道保存在哪里的字符串快速的搜索出来。你可以在开始菜单中进行访问,也可以将其固定到任务栏。有关更多详细信息,请参阅x64dbg网站。
Python2
我们安装的python为标准2.7版本,并且已经设置了环境变量,因此可以从命令行直接使用。此外,我们还安装了pip python包管理器。
strings.py
Strings.py是一个由Willi Ballenthin编写的基于python的自定义字符串工具。该文件的源码可在此处获取。
文档工具
此外,还安装了以下文档分析工具。
oletools
offvis
officemalscanner
pdfid
pdfparser
pdfstreamdumper
安装 FREE IDA Disassembler(x64)
如上所述,我们已将OALabs-VM installer配置为与Windows 7 32bit VM一起使用。但这里有个不太好的消息就是,免费版的IDA反汇编程序只支持在64位Windows上运行。这意味着我们必须要配置一个单独的VM。我们再次从Microsoft下载第二个FREE VM:https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/。这次我们选择Windows 10 64bit VM。
按照与FREE Windows 7 VM相同的步骤,导入并配置Windows 10 64bit VM。下载并安装IDA反汇编程序:https://www.hex-rays.com/products/ida/support/download_freeware.shtml。
使用 FLARE-VM 安装所有工具!
如果你觉得 OAlabs-VM installer安装仍缺少了一些你喜欢的工具,则可以使用FLARE-VM install来安装更大的分析工具集。这里还有一个来自RingZeroLabs的优秀视频教程,它将引导你完成FREE Windows VM和FLARE-VM的安装。
关于"如何使用OAlabs-VM installer安装和配置一个FREE Windows 7 VM"这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。