Digital Forensics

detecting-lateral-movement-with-zeek ist eine Zeek-basierte Cybersecurity-Skill für Threat Hunting und Incident Response. Sie hilft dabei, SMB-Zugriffe auf Admin-Freigaben, DCE/RPC-Dienst-Erstellungen, NTLM-Spraying, Kerberos-Anomalien und verdächtige interne Übertragungen zu erkennen – mit Zeek-Logs wie `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` und `kerberos.log`.

analyzing-windows-shellbag-artifacts hilft DFIR-Analysten dabei, Windows-Shellbag-Registry-Artefakte zu interpretieren, um Ordnernavigation, Zugriffe auf gelöschte Ordner, die Nutzung von Wechseldatenträgern und Aktivitäten auf Netzfreigaben mit SBECmd und ShellBags Explorer nachzuvollziehen. Es ist ein praxisnaher Guide für analyzing-windows-shellbag-artifacts für Incident Response und Forensik.

analyzing-android-malware-with-apktool ist ein Skill für die statische Analyse von Android-APK-Malware. Er nutzt apktool, jadx und androguard, um Apps zu entpacken, Manifeste und Berechtigungen zu prüfen, Quellcode-ähnlichen Code wiederherzustellen und verdächtige APIs sowie IOCs für die Malware-Analyse zu extrahieren.

detecting-rootkit-activity ist eine Malware-Analysis-Skill zum Aufspüren von Rootkit-Indizien wie versteckten Prozessen, gehookten Systemaufrufen, veränderten Kernel-Strukturen, verborgenen Modulen und verdeckten Netzwerkspuren. Sie nutzt Cross-View-Vergleiche und Integritätsprüfungen, um verdächtige Hosts zu verifizieren, wenn Standard-Tools zu unterschiedlichen Ergebnissen kommen.

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

analyzing-browser-forensics-with-hindsight unterstützt Digital-Forensics-Teams dabei, Chromium-Browser-Artefakte mit Hindsight zu analysieren – darunter Verlauf, Downloads, Cookies, Autofill, Lesezeichen, Metadaten gespeicherter Anmeldedaten, Cache und Erweiterungen. Nutzen Sie es, um Webaktivitäten zu rekonstruieren, Zeitachsen auszuwerten und Profile aus Chrome, Edge, Brave und Opera zu untersuchen.

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

building-incident-timeline-with-timesketch hilft DFIR-Teams dabei, in Timesketch kollaborative Incident-Timelines aufzubauen, indem Plaso-, CSV- oder JSONL-Beweise eingelesen, Zeitstempel normalisiert, Ereignisse miteinander korreliert und Angriffsketten für Triage und Reporting dokumentiert werden.

analyzing-malware-persistence-with-autoruns ist ein Sysinternals-Autoruns-Skill für die Malware-Analyse. Er hilft dabei, Windows-Persistenz in Run-Keys, Diensten, geplanten Tasks, Winlogon, Treibern und WMI mit einem reproduzierbaren Workflow zu prüfen – inklusive CSV-Exports, Sichtung verdächtiger Einträge und belastbarer, berichtstauglicher Ergebnisse.

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

extracting-windows-event-logs-artifacts hilft Ihnen beim Extrahieren, Parsen und Analysieren von Windows Event Logs (EVTX) für Digital Forensics, Incident Response und Threat Hunting. Der Skill unterstützt die strukturierte Auswertung von Anmeldungen, Prozessstarts, Dienstinstallationen, geplanten Tasks, Rechtesänderungen und dem Löschen von Logs mit Chainsaw, Hayabusa und EvtxECmd.

Leitfaden zu extracting-memory-artifacts-with-rekall für die Analyse von Windows-Speicherabbildern mit Rekall. Er zeigt Installations- und Nutzungsmuster, um versteckte Prozesse, injizierten Code, verdächtige VADs, geladene DLLs und Netzwerkaktivitäten für die Digitale Forensik zu finden.

Die Fähigkeit „extracting-credentials-from-memory-dump“ unterstützt die Analyse von Windows-Memory-Dumps auf NTLM-Hashes, LSA-Secrets, Kerberos-Material und Tokens mithilfe von Workflows mit Volatility 3 und pypykatz. Sie ist für Digital Forensics und Incident Response gedacht, wenn Sie aus einem validen Dump belastbare Beweise, Auswirkungen auf Konten und Hinweise zur Remediation benötigen.

Skill-Guide zum Extrahieren von IOCs aus Malware-Samples für die Malwareanalyse: Hashes, IPs, Domains, URLs, Host-Artefakte und Validierungshinweise aus Samples für Threat Intelligence und Detection gewinnen.

extracting-config-from-agent-tesla-rat für Malware-Analyse: extrahiert Agent Tesla .NET-Konfigurationen, SMTP/FTP/Telegram-Anmeldedaten, Keylogger-Einstellungen und C2-Endpunkte mit einem reproduzierbaren Workflow.

extracting-browser-history-artifacts ist ein Digital-Forensics-Skill zum Extrahieren von Browserverlauf, Cookies, Cache, Downloads und Lesezeichen aus Chrome, Firefox und Edge. Nutzen Sie ihn, um Browser-Profildateien mit einem wiederholbaren, fallorientierten Workflow in zeitleistenfähige Beweise zu überführen.

eradicating-malware-from-infected-systems ist eine Skill für die Cybersecurity-Vorfallsreaktion zur Entfernung von Malware, Backdoors und Persistenzmechanismen nach der Eindämmung. Sie bietet Workflow-Hinweise, Referenzdateien und Skripte für die Bereinigung von Windows- und Linux-Systemen, das Rotieren von Anmeldedaten, die Behebung der Ursache und die Validierung.

Die Skill "detecting-wmi-persistence" hilft Threat Huntern und DFIR-Analysten dabei, WMI-Ereignisabonnement-Persistenz in Windows-Telemetrie mit den Sysmon-Ereignis-IDs 19, 20 und 21 zu erkennen. Nutzen Sie sie, um bösartige Aktivitäten von EventFilter, EventConsumer und FilterToConsumerBinding zu identifizieren, Funde zu validieren und Angreifer-Persistenz von legitimer Admin-Automatisierung zu unterscheiden.

Die Skill "detecting-stuxnet-style-attacks" hilft Verteidigern dabei, Stuxnet-ähnliche OT- und ICS-Angriffsverläufe zu erkennen – darunter Manipulationen an PLC-Logik, vorgetäuschte Sensordaten, kompromittierte Engineering-Workstations und laterale Bewegung von IT zu OT. Verwenden Sie sie für Threat Hunting, Incident-Triage und die Überwachung der Prozessintegrität mit Belegen aus Protokollen, Hosts und Prozessen.

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

detecting-arp-poisoning-in-network-traffic hilft dabei, ARP-Spoofing in Live-Traffic oder PCAPs mit ARPWatch, Dynamic ARP Inspection, Wireshark und Python-Prüfungen zu erkennen. Entwickelt für Incident Response, SOC-Triage und wiederholbare Analysen von IP-zu-MAC-Änderungen, gratuitous ARPs und MITM-Indikatoren.

analyzing-outlook-pst-for-email-forensics ist eine Digital-Forensics-Skill zum Untersuchen von Outlook-PST- und OST-Dateien auf Nachrichteninhalte, Header, Anhänge, gelöschte Elemente, Zeitstempel und Metadaten. Sie unterstützt die Prüfung von E-Mail-Beweisen, die Rekonstruktion von Zeitabläufen und belastbare Ermittlungs-Workflows für Incident Response und Rechtsfälle.

analyzing-packed-malware-with-upx-unpacker ist ein Malware-Analyse-Skill zum Erkennen von mit UPX gepackten Samples, zum Umgang mit modifizierten UPX-Headern und zur Wiederherstellung der ursprünglichen Executable für die statische Analyse in Ghidra oder IDA. Nutzen Sie ihn, wenn `upx -d` fehlschlägt oder wenn Sie eine schnellere Prüfung von UPX-Packern und einen praktikablen Entpack-Workflow benötigen.

analyzing-network-traffic-for-incidents hilft Incident Respondern dabei, PCAPs, Flow-Logs und Paketmitschnitte zu analysieren, um C2, laterale Bewegung, Exfiltration und Exploit-Versuche zu bestätigen. Entwickelt für analyzing-network-traffic-for-incidents im Incident Response mit Wireshark, Zeek und NetFlow-ähnlicher Analyse.