Ho creato il primo programma QA di Rapid7 Metasploit ufficiale, quindi forse posso essere di aiuto.
Sì, è apparentemente impossibile creare macchine virtuali per tutti i moduli. Ce ne sono molti. Fortunatamente per te, nessuno usa la maggior parte di loro. Mi concentrerei sui primi 50. Dovresti chiarire quale tipo di firma stai cercando di costruire (AV, IDS, ecc.) O almeno la prospettiva dell'attacco che potresti vedere. Per questo esercizio, presumo che tu sia sulla rete.
Puoi catturare almeno il sig iniziale dell'attacco senza una vittima, assumendo un exploit remoto, in alcuni casi questo sarebbe sufficiente. Le parti del cliente sono un po 'più complicate, soprattutto perché il targeting incorporato in molti moduli impedisce l'invio di un exploit se non vengono soddisfatte determinate condizioni.
Abbiamo risolto questo problema in R7 concentrandoci sugli exploit principali e sui moduli ausiliari e costruendo macchine virtuali che potrebbero essere utilizzate nei test. Ci siamo divertiti con l'idea di riprodurre il traffico dalla vittima, che ci avrebbe permesso di rimuoverlo dall'equazione, ma non è mai arrivato così lontano. È comunque solo un'ottimizzazione, poiché è ancora necessario catturare l'interazione iniziale per riprodurla.
In breve, devi sporcarti le mani e capire cosa sta facendo il modulo per costruire rapidamente le firme. Spiacente, non c'è una risposta facile: /.