Flare VM: Mit Profi-Werkzeugkasten Schadcode unter Windows analysieren

Zum Sezieren von Schadcode & Software (Reverse Engineering) braucht man ein gutes Toolkit. Mit Flare VM hat man in virtuellen Windows-Maschinen alles zur Hand.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Abstract,Futuristic,Cyberspace,With,A,Hacked,Array,Of,Binary,Data,

(Bild: Shutterstock / Mandiant (Collage, erstellt durch heise online))

Lesezeit: 17 Min.
Inhaltsverzeichnis

Linux-Toolsammlungen für die Analyse von Malware und anderem kompiliertem Code, kurz: fürs Reverse Engineering, gibt es wie Sand am Meer. Spezielle Distributionen wie Arch, Kali oder REMnux bringen eine gute Auswahl mit. Mit ihnen kann man grundsätzlich auch Windows-Executables analysieren. Spätestens dann, wenn man den Code zum Nachvollziehen seiner Funktionsweise auch ausführen möchte, braucht man jedoch ein virtualisiertes Windows als Testumgebung.

Flare VM v4: So (oder sehr ähnlich) wird Ihre Analyseumgebung nach Installation und ein paar Anpassungen aussehen.

(Bild: Screenshot)

Mehr zum Thema Malware-Analyse:

Als Windows-Pendant zu den Linux-Hacking-Distros gibt es Flare VM (Eigenschreibweise: FLARE VM). Das Open-Source-Projekt des IT-Sicherheitsunternehmens Mandiant fußt auf Software-Installationsskripten: Einmal ausgeführt, rüsten sie eine frisch installierte Windows-VM um eine große Sammlung bewährter Tools auf. Die Palette reicht von Klassikern fürs Debugging und Disassembling sowie zur statischen Analyse von PE-Files (Portable Executable Files) über vielseitige Monitoring-Tools bis hin zu praktischen Utilities und Hilfsprogrammen. Der automatisierte Installationsprozess sowie die Möglichkeit, alle Tools zentral über die Kommandozeile zu aktualisieren, kann Sicherheitsforschern viel Zeit, Arbeit und Nerven sparen.

Im Praxisartikel unterstützen wir Sie bei der Flare-VM-Installation in der kostenlosen Virtualisierungsumgebung VirtualBox. Als Toolkit-Basis dient eine frei verfügbare 90-Tage-Testversion von Windows 10 Enterprise. Wir erklären, wie Sie die Softwareauswahl Ihren Bedürfnissen anpassen können und verschaffen Ihnen einen Überblick über die in Flare VM v4 verfügbaren Tools. Für den gesamten Vorgang sollten Sie großzügig zwei bis drei Stunden einplanen. VirtualBox- und Windows-Basiskenntnisse setzen wir voraus.

Das war die Leseprobe unseres heise-Plus-Artikels "Flare VM: Mit Profi-Werkzeugkasten Schadcode unter Windows analysieren". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.