# 0x02. Building Analysis Environment [TOC] ## Tools we need and why 了解了一些基本知識後，接下來可以準備開始設定環境了 工欲善其事，必先利其器 :::danger 惡意程式分析最怕遇到的就是直接把惡意程式在 **自己的** 主機執行，這非常雷 ::: 必須要有個安全的環境，能夠確保反覆執行malware也沒關係 要達到這個目標，不外乎就是用虛擬機以及SnapShots確保還原點，就算虛擬機被勒索軟體加密了也不用怕 還原SnapShot就好 --- 虛擬機的目的，在於能夠分析/觀察/紀錄程式的軌跡，可以從幾個大方向來看 **檔案**：惡意程式放了哪些檔案到電腦 **網路**：惡意程式傳了什麼主機資料到自己的server **Registry(註冊表)**：通常可以被惡意程式用來達成Persistence (確保被感染主機重開後還會執行惡意程式) <br> ## FLARE 人都會有惰性，我也有，從頭到尾裝一堆工具實在很麻煩  ... <br> 好險FireEye的神人們來解救大眾，FLARE可以簡單粗暴的快速幫你安裝好所需的工具，只要自備一個Windows虛擬機的VM即可(建議Win 10) 依照上面的指示，可以輕鬆的就裝好一台Windows分析VM [FLARE VM](https://github.com/fireeye/flare-vm) 記得 裝完之後，take snapshot 記得 裝完之後，take snapshot 記得 裝完之後，take snapshot --- 有Windows，當然要有Linux，好險還是可以再偷懶一次 REMnux是一款pre-build的Linux分析機器，裡面所有工具都裝好了，下載import到VMware/VirtualBox即可使用，相當方便 REMnux常常被當成Fake Server，取代真正網路上的Server使用 [REMnux v7](https://remnux.org/) <br> ## Some tools intro 如果想知道一些常用的工具的介紹，可以來看小弟先前寫的這篇Blog，介紹了一些常見的工具 [Tool information](https://pentestwriteup.blogspot.com/2020/08/blog-post.html) **裝好之後，記得將VM設定在Closed network(Host Only/VMnet3是常見的)** 原因是，如果駭客的Server一直收到同一台的資訊，駭客就會懷疑自己辛苦寫的malware很可能被分析師拿去分析了，很可能ip被黑名單而無法再得到真實資訊 完成之後，就可以開始進行靜態分析的部分啦！ <br> [-0xbc](https://hackmd.io/@0xbc000) ###### tags: `Malware Analysis` `Reverse Engineering` `tutorials`