Construí el primer programa oficial de control de calidad de Rapid7 Metasploit, por lo que quizás pueda ser de ayuda.
Sí, parece que es imposible crear máquinas virtuales para todos los módulos. Hay muchos de ellos. Por suerte para ti, nadie usa la mayoría de ellos. Me concentraría en los 50 principales. Debería aclarar qué tipo de firma está intentando crear (AV, IDS, etc.) o al menos la perspectiva del ataque que podría ver. Para este ejercicio, asumiré que estás en la red.
Puede capturar al menos la señal inicial del ataque sin una víctima, suponiendo un ataque remoto, en algunos casos esto sería suficiente. Los aspectos del cliente son un poco más complicados, principalmente porque hay muchos objetivos en los módulos que evitarán que se envíe un exploit si no se cumplen ciertas condiciones.
Resolvimos esto en R7 enfocándonos en los principales exploits y módulos auxiliares, y construyendo máquinas virtuales que podrían usarse en las pruebas. Jugamos con la idea de repetir el tráfico de la víctima, lo que nos permitiría eliminarlo de la ecuación, pero nunca llegó tan lejos. De todos modos, es solo una optimización, ya que todavía necesitas capturar la interacción inicial para poder reproducirla.
En resumen, debe ensuciarse las manos y comprender lo que hace el módulo para construir firmas rápidamente. Lo siento, no hay una respuesta fácil: /.