analyzing-bootkit-and-rootkit-samples

von mukul975

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Stars6.2k

Favoriten0

Kommentare0

Hinzugefügt11. Mai 2026

KategorieMalware Analysis

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-bootkit-and-rootkit-samples

Kurationswert

Dieser Skill erreicht 84/100 und ist damit eine solide Kandidatenliste für Nutzer, die spezialisierte Anleitung zur Analyse von Bootkits und Rootkits brauchen. Das Repository bietet genug Auslöser, operative Hinweise und ein tatsächliches Agent-Skript, damit ein Agent mit weniger Rätselraten starten kann als mit einem generischen Malware-Prompt; einige Details zur Einführung bleiben jedoch implizit.

84/100

Stärken

Starke Auslösbarkeit für Malware-Fälle vor dem Start des Betriebssystems: Das Frontmatter und der Abschnitt "When to Use" decken Persistenz über MBR/VBR/UEFI, Probleme mit der Secure-Boot-Integrität sowie Indikatoren für versteckte Prozesse und Rootkits explizit ab.
Gute operative Konkretheit: Das Repo enthält konkrete Tool-Verweise und Befehle für dd, ndisasm, UEFITool und chipsec, wodurch Agenten ein brauchbares Gerüst für den Arbeitsablauf erhalten.
Echte Implementierungsunterstützung: scripts/agent.py und references/api-reference.md zeigen, dass es sich um mehr als einen reinen Prosa-Leitfaden handelt und strukturierte Analyseschritte unterstützt werden können.

Hinweise

Kein Installationsbefehl in SKILL.md, daher müssen Nutzer Aktivierung und Laufzeit-Setup möglicherweise selbst verdrahten.
Der Ausschnitt zeigt einige Workflow-Inhalte, aber kein vollständig durchgängiges Runbook; Agenten brauchen bei Fallauswahl und Tool-Ausführung möglicherweise weiterhin eigenes Urteil.

Malware Rootkit Bootkit Uefi Mbr Chipsec Forensics

Überblick

Überblick über analyzing-bootkit-and-rootkit-skill

analyzing-bootkit-and-rootkit-samples ist eine Malware-Analysis-Skill für Fälle, in denen die Kompromittierung vor dem Betriebssystem beginnt: infizierter MBR/VBR-Code, UEFI-Persistenz und Rootkit-Verhalten, das sich normalen Security-Tools entzieht. Nutzen Sie sie, wenn Sie Bootsektoren, Firmware-Module oder Anti-Rootkit-Indikatoren untersuchen müssen, statt einen typischen Payload im User-Mode zu analysieren.

Diese analyzing-bootkit-and-rootkit-samples-Skill eignet sich besonders für Incident Responder, Reverse Engineers und Threat Hunter, bei denen der Verdacht auf Persistenz unterhalb der OS-Ebene bereits besteht. Die zentrale Aufgabe besteht darin, rohe Festplatten-, Firmware- oder Memory-Belege in eine belastbare Einschätzung zu überführen: Ist ein Bootkit oder Rootkit vorhanden, wie hält es sich persistent, und was sollte als Nächstes geprüft werden?

Wofür diese Skill gedacht ist

Die Skill konzentriert sich auf Pre-OS-Malware-Analyse für Malware-Analysis-Workflows: MBR-Extraktion, VBR-Prüfung, UEFI-Inspektion, Secure-Boot-Checks und Triage mit Fokus auf Rootkits. Sie ist hilfreich, wenn herkömmliche AV- oder EDR-Lösungen das Problem übersehen, wenn eine Neuinstallation die Kompromittierung nicht beseitigt oder wenn die Firmware-Integrität verdächtig wirkt.

Was diese Skill unterscheidet

Anders als ein generischer Prompt bietet analyzing-bootkit-and-rootkit-samples einen Workflow, der auf die wirklich relevanten Artefakte zugeschnitten ist: Festplattensektoren, Firmware-Volumes und Low-Level-Analysewerkzeuge. Dadurch ist sie für persistenzlastige Untersuchungen deutlich geeigneter als breite Malware-Prompts, die von ausführbaren Dateien und Sandboxing ausgehen.

Für wen sie am besten passt

Wählen Sie diese Skill, wenn Sie einen praxisnahen Leitfaden für die Analyse von analyzing-bootkit-and-rootkit-samples brauchen, nicht einen Theorieüberblick. Sie passt zu Analysten, die Images oder Dumps erfassen, Disassemblies prüfen und Ergebnisse mit bekannten Mustern aus Bootsektoren und Firmware vergleichen können.

So verwenden Sie analyzing-bootkit-and-rootkit-skill

In Ihren Skill-Bestand einbinden

Nutzen Sie für die analyzing-bootkit-and-rootkit-samples-Installation den Repository-Installationsweg und verweisen Sie Ihren Agenten dann auf den Skill-Pfad unter skills/analyzing-bootkit-and-rootkit-samples. Laden Sie zuerst die Skill-Definition und die begleitenden Referenzdateien, damit Workflow, Befehle und Tool-Annahmen konsistent bleiben.

Diese Dateien zuerst lesen

Beginnen Sie mit SKILL.md, und prüfen Sie dann references/api-reference.md sowie scripts/agent.py. SKILL.md zeigt, wann die Skill ausgelöst werden soll; references/api-reference.md enthält die konkreten Analysebefehle; scripts/agent.py macht sichtbar, was die Skill zu parsen oder zu automatisieren erwartet. Wenn Sie Lizenz- oder Herkunftsinformationen brauchen, sehen Sie sich zusätzlich LICENSE an.

Was Sie in Ihrem Prompt angeben sollten

Ein starker Nutzungsprompt für analyzing-bootkit-and-rootkit-samples sollte das Artefakt, die Plattform und das Ziel benennen. Zum Beispiel: „Analysiere diesen MBR-Dump auf Bootkit-Indikatoren, vergleiche ihn mit einem sauberen Windows-MBR und erkläre, ob Partitionstabelle und Boot-Signatur normal aussehen.“ Wenn Sie Firmware haben, nennen Sie die Dump-Quelle, den Hersteller und ob Secure Boot oder SPI-Zugriff beteiligt war.

Workflow, der bessere Ergebnisse liefert

Geben Sie der Skill immer nur einen Evidenztyp auf einmal: zuerst MBR/VBR, dann Firmware, dann Memory-Traces. Bitten Sie um konkrete Ausgaben wie den vermuteten Persistenzmechanismus, verdächtige Offsets und Validierungsschritte. So bleibt die Analyse fokussiert und das Ergebnis lässt sich mit Ihren eigenen Tools leichter verifizieren.

analyzing-bootkit-and-rootkit-skill FAQ

Ist analyzing-bootkit-and-rootkit-samples nur für fortgeschrittene Fälle?

Meistens ja. Sie ist für Pre-OS-Malware und Rootkit-Persistenz konzipiert und daher nicht die richtige Standardwahl für gewöhnliche Trojaner, Skripte oder Browser-Malware. Wenn die Kompromittierung eine Neuinstallation überlebt, sich Scannern entzieht oder den Firmware-Zustand verändert, ist das der passende Anwendungsfall.

Wie unterscheidet sie sich von einem generischen Malware-Prompt?

Ein generischer Prompt geht meist davon aus, dass Sie Dateien hochladen und in einer Sandbox prüfen können. analyzing-bootkit-and-rootkit-samples setzt stattdessen auf Low-Level-Belege wie Festplattensektoren, Bootcode, UEFI-Module und Hardware-Sicherheitsprüfungen. Dieser Unterschied ist entscheidend, weil Analysepfad, Werkzeuge und Validierungspunkte komplett anders sind.

Brauche ich Spezialwerkzeuge, um davon zu profitieren?

Ja, die besten Ergebnisse erzielen Sie, wenn Sie Werkzeuge wie dd, ndisasm, UEFI-Tools und chipsec einsetzen können. Die Skill ist auch dann noch nützlich für Planung und Interpretation, wenn Sie nicht jeden Befehl direkt ausführen, aber am stärksten ist sie in Verbindung mit echten Festplatten- oder Firmware-Daten.

Ist das für Anfänger in Malware Analysis geeignet?

Sie ist für Anfänger brauchbar, die bereits grundlegende Malware-Konzepte verstehen, aber nicht im Sinne von „ohne Vorwissen verständlich“. Wenn Sie neu sind, beginnen Sie mit einer sauberen Artefaktsammlung und lassen Sie sich von der Skill jeden Befund im Hinblick auf Persistenz, Tarnung und Validierung erklären.

So verbessern Sie analyzing-bootkit-and-rootkit-skill

Geben Sie der Skill bessere Belege

Der größte Qualitätssprung kommt durch präzise Eingaben: exaktes Geräte-Image, Firmware-Hersteller, OS-Version, vermuteter Infektionszeitpunkt und alle beobachteten Auffälligkeiten. Für analyzing-bootkit-and-rootkit-samples im Kontext von Malware Analysis sollte ein guter Prompt Hashes, Offsets, den Status der Boot-Signatur, den Secure-Boot-Zustand und die Frage enthalten, ob MBR, VBR oder UEFI betroffen sind.

Fordern Sie Vergleiche ein, nicht nur Schlussfolgerungen

Fragen Sie nicht nur: „Ist das schädlich?“ Bitten Sie stattdessen um einen Vergleich mit einer sauberen Baseline, um verdächtige Byte-Bereiche und um die Begründung, warum ein Bootsektor oder ein Modul verändert wirkt. Das zwingt die Skill dazu, den Befund so zu erklären, dass Sie ihn mit Disassembly oder Firmware-Extraktion überprüfen können.

Achten Sie auf typische Fehlerszenarien

Der häufigste Fehler ist eine vage Anfrage wie „prüfe diese Malware“, obwohl das eigentliche Problem ein Fall von Festplatten- oder Firmware-Persistenz ist. Ein weiteres Fehlerszenario ist, Belege aus mehreren Ebenen in einem einzigen Prompt zu vermischen; dadurch wird die Ursache schwerer zu isolieren. Teilen Sie die Aufgabe bei Bedarf in separate Analysen auf.

Iterieren Sie nach dem ersten Durchgang

Nutzen Sie das erste Ergebnis, um die nächste Anfrage einzugrenzen: Bitten Sie um eine tiefere Disassembly, eine UEFI-Prüfung Modul für Modul oder eine Checkliste zur Bestätigung eines vermuteten Rootkits. Wenn die Ausgabe unsicher bleibt, liefern Sie mehr Rohkontext und lassen Sie sich sagen, welches zusätzliche Artefakt den Befund bestätigen oder widerlegen würde.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

conducting-malware-incident-response

von mukul975

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

Incident Response

Favoriten 0GitHub 0

detecting-ransomware-encryption-behavior

von mukul975

detecting-ransomware-encryption-behavior hilft Verteidigern, ransomwareähnliche Verschlüsselung mithilfe von Entropieanalyse, File-I/O-Überwachung und Verhaltensheuristiken zu erkennen. Der Skill eignet sich für Incident Response, SOC-Tuning und Red-Team-Validierung, wenn massenhafte Dateiveränderungen, plötzliche Umbenennungswellen und verdächtige Prozessaktivitäten schnell erkannt werden müssen.

Incident Response

Favoriten 0GitHub 0

deobfuscating-javascript-malware

von mukul975

deobfuscating-javascript-malware hilft Analysten dabei, stark obfuskiertes bösartiges JavaScript in lesbaren Code für die Malware-Analyse zu überführen – etwa bei Phishing-Seiten, Web-Skimmern, Droppern und per Browser ausgelieferten Payloads. Verwenden Sie diesen deobfuscating-javascript-malware Skill für strukturierte Deobfuskation, nachvollziehbares Entschlüsseln und kontrollierte Prüfung, wenn es nicht nur um simples Minifizieren geht.

Malware Analysis

Favoriten 0GitHub 0

analyzing-powershell-empire-artifacts

von mukul975

Die Fähigkeit analyzing-powershell-empire-artifacts unterstützt Security-Audit-Teams dabei, PowerShell-Empire-Artefakte in Windows-Protokollen zu erkennen – mit Script Block Logging, Base64-Launcher-Mustern, Stager-IOCs, Modulsignaturen und Erkennungsreferenzen für Triage und Regelentwicklung.

Security Audit

Favoriten 0GitHub 0

detecting-process-injection-techniques

von mukul975

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

analyzing-macro-malware-in-office-documents

von mukul975

analyzing-macro-malware-in-office-documents hilft Malware-Analysten dabei, bösartiges VBA in Word-, Excel- und PowerPoint-Dateien zu untersuchen, Obfuskierung zu entschlüsseln und IOCs, Ausführungspfade sowie die Logik zur Payload-Vorbereitung für Phishing-Triage, Incident Response und die Analyse von Dokument-Malware zu extrahieren.

Malware Analysis

Favoriten 0GitHub 0

analyzing-golang-malware-with-ghidra

von mukul975

analyzing-golang-malware-with-ghidra hilft Analysten dabei, mit Ghidra in Go kompilierte Malware zu reverse engineeren – mit Workflows für Funktionswiederherstellung, String-Extraktion, Build-Metadaten und Abhängigkeitsanalyse. Der Skill analyzing-golang-malware-with-ghidra ist besonders nützlich für Malware-Triage, Incident Response und Security-Audit-Aufgaben, die praxisnahe, Go-spezifische Analyseschritte erfordern.

Security Audit

Favoriten 0GitHub 0

analyzing-supply-chain-malware-artifacts

von mukul975

analyzing-supply-chain-malware-artifacts ist eine Malware-Analyse-Skill für das Nachverfolgen von trojanisierten Updates, kompromittierten Abhängigkeiten und Manipulationen in Build-Pipelines. Nutzen Sie sie, um vertrauenswürdige und unzuverlässige Artefakte zu vergleichen, Indikatoren zu extrahieren, den Umfang einer Kompromittierung einzuschätzen und Ergebnisse mit weniger Rätselraten zu berichten.

Malware Analysis

Favoriten 0GitHub 6.1k

analyzing-linux-kernel-rootkits

von mukul975

analyzing-linux-kernel-rootkits unterstützt DFIR- und Threat-Hunting-Workflows dabei, Linux-Kernel-Rootkits mit Volatility3 Cross-View-Prüfungen, rkhunter-Scans und /proc-vs-/sys-Analysen aufzudecken – etwa versteckte Module, gehookte Syscalls und manipulierte Kernel-Strukturen. Es ist ein praxisnaher Leitfaden zu analyzing-linux-kernel-rootkits für die forensische Triage.

Digital Forensics

Favoriten 0GitHub 0

detecting-mimikatz-execution-patterns

von mukul975

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Security Audit

Favoriten 0GitHub 0

detecting-rootkit-activity

von mukul975

detecting-rootkit-activity ist eine Malware-Analysis-Skill zum Aufspüren von Rootkit-Indizien wie versteckten Prozessen, gehookten Systemaufrufen, veränderten Kernel-Strukturen, verborgenen Modulen und verdeckten Netzwerkspuren. Sie nutzt Cross-View-Vergleiche und Integritätsprüfungen, um verdächtige Hosts zu verifizieren, wenn Standard-Tools zu unterschiedlichen Ergebnissen kommen.

Malware Analysis

Favoriten 0GitHub 6.2k

detecting-mobile-malware-behavior

von mukul975

Die Skill „detecting-mobile-malware-behavior“ analysiert verdächtige Android- und iOS-Apps auf missbräuchliche Berechtigungen, Laufzeitverhalten, Netzwerkindikatoren und malwareähnliche Muster. Nutzen Sie sie für Triage, Incident Response und detecting-mobile-malware-behavior in Security-Audit-Workflows mit evidenzgestützter mobiler Analyse.

Security Audit

Favoriten 0GitHub 6.1k

analyzing-ransomware-payment-wallets

von mukul975

analyzing-ransomware-payment-wallets ist eine Read-only-Blockchain-Forensik-Fähigkeit zum Nachverfolgen von Ransomware-Zahlungs-Wallets, zum Verfolgen von Geldflüssen und zum Clustern zusammengehöriger Adressen für Security Audits und Incident Response. Verwenden Sie sie, wenn Sie eine BTC-Adresse, einen Tx-Hash oder eine verdächtige Wallet haben und belastbare Attribution als Beleg benötigen.

Security Audit

Favoriten 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

von mukul975

Skill zu analyzing-ransomware-encryption-mechanisms für Malware-Analyse mit Fokus auf die Erkennung von Ransomware-Verschlüsselung, Schlüsselverwaltung und der Frage, ob eine Entschlüsselung möglich ist. Geeignet, um AES-, RSA-, ChaCha20- und hybride Verfahren sowie Implementierungsfehler zu untersuchen, die eine Wiederherstellung unterstützen können.

Malware Analysis

Favoriten 0GitHub 6.1k

extracting-iocs-from-malware-samples

von mukul975

Skill-Guide zum Extrahieren von IOCs aus Malware-Samples für die Malwareanalyse: Hashes, IPs, Domains, URLs, Host-Artefakte und Validierungshinweise aus Samples für Threat Intelligence und Detection gewinnen.

Malware Analysis

Favoriten 0GitHub 0

extracting-config-from-agent-tesla-rat

von mukul975

extracting-config-from-agent-tesla-rat für Malware-Analyse: extrahiert Agent Tesla .NET-Konfigurationen, SMTP/FTP/Telegram-Anmeldedaten, Keylogger-Einstellungen und C2-Endpunkte mit einem reproduzierbaren Workflow.

Malware Analysis

Favoriten 0GitHub 0