analyzing-linux-kernel-rootkits

von mukul975

analyzing-linux-kernel-rootkits unterstützt DFIR- und Threat-Hunting-Workflows dabei, Linux-Kernel-Rootkits mit Volatility3 Cross-View-Prüfungen, rkhunter-Scans und /proc-vs-/sys-Analysen aufzudecken – etwa versteckte Module, gehookte Syscalls und manipulierte Kernel-Strukturen. Es ist ein praxisnaher Leitfaden zu analyzing-linux-kernel-rootkits für die forensische Triage.

Stars0

Favoriten0

Kommentare0

Hinzugefügt11. Mai 2026

KategorieDigital Forensics

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-linux-kernel-rootkits

Kurationswert

Dieses Skill erreicht 79/100, weil es echte, direkt anwendbare Workflow-Inhalte für die Analyse von Linux-Kernel-Rootkits bietet und klar genug formuliert ist, damit Agents es ohne viel Rätselraten auslösen können. Für Nutzer des Verzeichnisses heißt das: Eine Installation lohnt sich, wenn ein fokussierter forensischer Workflow gefragt ist – es ist jedoch weiterhin spezialisierter als ein allgemeines Incident-Response-Skill.

79/100

Stärken

Klarer Trigger und klarer Umfang: Das Erkennen von Rootkits auf Kernel-Ebene in Linux-Memory-Dumps und auf Live-Systemen wird in Beschreibung und Überblick eindeutig genannt.
Die operative Anleitung ist konkret: Die Referenzdatei enthält Volatility3-Plugin-Befehle, Optionen zur Speichergewinnung und rkhunter-Beispiele.
Hohe Agenten-Tauglichkeit: Das enthaltene Skript zeigt strukturierte Automatisierung rund um die Ausführung von Volatility3-Plugins und JSON-Parsing.

Hinweise

Kein Installationsbefehl in SKILL.md, daher müssen Nutzer die Einrichtungsschritte ableiten, statt einem fertigen Onboarding zu folgen.
Das Skill ist eng auf forensische Rootkit-Analyse ausgerichtet und daher außerhalb von Linux-Memory-Dumps und Host-Scanning-Szenarien weniger nützlich.

Rootkit Linux Memory Forensics Volatility3 Forensics Security

Überblick

Überblick über die Skill „analyzing-linux-kernel-rootkits“

analyzing-linux-kernel-rootkits ist eine fokussierte Forensik-Skill für das Aufspüren von Linux-Kernel-Rootkits über Speicheranalyse, Cross-View-Prüfungen und leichtgewichtige Host-Scans. Sie eignet sich besonders für Incident Responder, DFIR-Analysten und Threat Hunter, die entscheiden müssen, ob ein kompromittiertes Linux-System Prozesse, Module, Syscalls oder Credentials auf ring 0 verbirgt. Wenn Sie analyzing-linux-kernel-rootkits für Digital Forensics bewerten, liegt der Hauptnutzen nicht nur in der Erkennung, sondern in einem wiederholbaren Weg von der Vermutung zum belastbaren Befund.

Worin diese Skill besonders stark ist

Die Skill konzentriert sich auf Volatility3-Linux-Plugins wie check_syscall, lsmod, hidden_modules, check_idt, pslist, pstree, check_creds und sockstat. Zusätzlich umfasst sie rkhunter-basierte Host-Prüfungen sowie den Abgleich von /proc und /sys, womit sich Abweichungen aufdecken lassen, die normale Userland-Tools häufig übersehen.

Wann sie die richtige Wahl ist

Nutzen Sie analyzing-linux-kernel-rootkits, wenn Ihnen ein Linux-Memory-Dump, ein live prüfbares System oder beides vorliegt und Sie einen strukturierten Triage-Pfad für Rootkits brauchen. Besonders hilfreich ist sie, wenn Sie Stealth-Techniken wie gehookte Syscalls, versteckte Kernel-Module oder manipulierte Kernel-Strukturen vermuten.

Was Sie vom Workflow erwarten können

Die analyzing-linux-kernel-rootkits Skill ist evidenzgetrieben und nicht gesprächig: Sie sollten mit konkreten Befehlen, Plugin-Auswahl und der Interpretation von Abweichungen rechnen. Am meisten hilft sie, wenn Sie bereits ein Dump-Format, eine Ziel-Kernel-Version und eine klare Frage haben, etwa: „Verbirgt dieser Host Aktivitäten?“

So verwenden Sie die Skill „analyzing-linux-kernel-rootkits“

Zuerst die richtigen Dateien installieren und öffnen

Installieren Sie mit npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-linux-kernel-rootkits. Lesen Sie dann zuerst SKILL.md, anschließend references/api-reference.md für Befehlsmuster und scripts/agent.py für die Automatisierungslogik. Wenn Sie gerade entscheiden, ob sich die Skill lohnt, zeigen Ihnen diese Dateien den eigentlichen Analysepfad deutlich besser als ein flüchtiger Blick ins Repo.

Geben Sie der Skill nur den nötigen Kontext

Für eine starke Nutzung von analyzing-linux-kernel-rootkits sollten Sie Folgendes mitgeben: den Art der Sicherung (.lime, raw oder partial dump), die Ziel-Distribution bzw. den Kernel, falls bekannt, ob das System live oder offline ist, und den konkreten Verdacht. Gute Eingaben sind zum Beispiel: „Analysiere diesen Ubuntu-22.04-LiME-Dump auf versteckte Module und Syscall-Hooks“ oder „Prüfe einen live laufenden Debian-Host mit rkhunter und Cross-View-Checks auf Kernel-Rootkit-Indikatoren.“

Erst Cross-View prüfen, dann eingrenzen

Ein praxistauglicher analyzing-linux-kernel-rootkits Leitfaden ist, die Ansichten zu vergleichen, bevor man Schlussfolgerungen zieht: lsmod gegen hidden_modules, pslist gegen pstree, /proc gegen /sys, danach check_syscall und check_idt als Hinweis auf Hooks. Verwenden Sie rkhunter zur Bestätigung auf Host-Seite, nicht als alleinige Beweisgrundlage. Am aussagekräftigsten sind Inkonsistenzen, nicht einzelne Warnmeldungen.

Die wichtigsten Grenzen im Blick behalten

Volatility3 ist auf eine passende Kernel-Symboltabelle angewiesen; eine fehlerhafte oder fehlende ISF-Datei verschlechtert die Ergebnisse. Speicherabbilder können außerdem unvollständig, komprimiert oder so erfasst sein, dass der Plugin-Umfang eingeschränkt ist. Wenn Sie den Kernel nicht sauber zuordnen können, sagen Sie das im Prompt; die Skill ist stärker darin, verdächtige Lücken zu identifizieren, als falsche Sicherheit vorzutäuschen.

FAQ zur Skill „analyzing-linux-kernel-rootkits“

Ist das nur für Memory Forensics?

Nein. Die Skill ist für Linux-Memory-Forensics gebaut, unterstützt aber auch Scans auf Live-Systemen mit rkhunter und Abweichungsprüfungen zwischen Laufzeitansichten. Für analyzing-linux-kernel-rootkits im Kontext von Digital Forensics ist die Speicheranalyse meist der stärkere Weg, während Live-Prüfungen vor allem zur Bestätigung dienen.

Muss ich Volatility3 im Detail beherrschen?

Nein, aber Sie sollten wissen, welches Artefakt Sie haben. Einsteiger können die Skill gut nutzen, wenn sie den Dump-Typ und die zu beantwortende Frage benennen. Weniger geeignet ist sie, wenn Sie nur eine generische „Scan meinen Server“-Antwort ohne Beweisartefakte möchten.

Worin unterscheidet sich das von einem normalen Prompt?

Ein normaler Prompt fragt oft abstrakt nach „Rootkit-Erkennung“. Diese Skill ist deutlich handlungsorientierter, weil sie auf konkrete Linux-Plugins, Abgleichsschritte und typische Arten von Abweichungen verweist. Das reduziert den Interpretationsaufwand bei analyzing-linux-kernel-rootkits im echten Incident-Workflow.

Wann sollte ich sie nicht verwenden?

Verlassen Sie sich nicht darauf, wenn Sie nur einen vagen Verdacht haben und weder Host-Zugriff noch Dump noch Kernel-Kontext besitzen. Sie ist auch keine gute Wahl für Nicht-Linux-Systeme oder für Fälle, in denen Malware-Reverse-Engineering wichtiger ist als Kernel-Integritätsanalyse.

So verbessern Sie die Skill „analyzing-linux-kernel-rootkits“

Präzisere Belegeingaben liefern

Der größte Qualitätssprung entsteht, wenn Sie das exakte Artefakt und die konkrete Frage angeben. Statt „prüf dieses System“ schreiben Sie besser: „Vergleiche pslist und pstree mit /proc auf diesem Fedora-38-Speicherabbild und untersuche anschließend Syscall-Hooks.“ Dadurch wird die Ausgabe von analyzing-linux-kernel-rootkits gezielter und leichter überprüfbar.

Nach Korrelation fragen, nicht nur nach Erkennung

Rootkit-Arbeit scheitert oft daran, dass Analysten bei einem einzelnen Plugin stehen bleiben. Bitten Sie die Skill, Ergebnisse aus hidden_modules, check_syscall, check_idt und den Prozesslisten gegeneinander abzugleichen und dann zu erklären, welche Befunde bestätigt und welche schwach sind. Das ist bei analyzing-linux-kernel-rootkits besonders wichtig, weil Fehlalarme häufig aus unvollständigem Kontext entstehen.

Erfassungs- und Symbolkontext verbessern

Wenn möglich, geben Sie Kernel-Version, Distribution, Erfassungsmethode und die Quelle der passenden Symboltabelle an. Ein besserer Symbolkontext bedeutet bessere Plugin-Interpretation und weniger Sackgassen. Wenn Ihnen nur ein Teildump vorliegt, sagen Sie das von Anfang an, damit die Analyse priorisiert, was noch zuverlässig auswertbar ist.

Nach dem ersten Durchlauf nachschärfen

Nutzen Sie die erste Ausgabe, um die nächste Frage enger zu stellen: etwa nur nach versteckten Modulen oder nach einer Validierung eines bestimmten verdächtigen Syscall-Eintrags. Für analyzing-linux-kernel-rootkits führt iteratives Eingrenzen in der Regel zu besseren forensischen Entscheidungen als eine einzige breit angelegte Anfrage.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

conducting-malware-incident-response

von mukul975

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

Incident Response

Favoriten 0GitHub 0

analyzing-usb-device-connection-history

von mukul975

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

Digital Forensics

Favoriten 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

von mukul975

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Malware Analysis

Favoriten 0GitHub 6.2k

extracting-browser-history-artifacts

von mukul975

extracting-browser-history-artifacts ist ein Digital-Forensics-Skill zum Extrahieren von Browserverlauf, Cookies, Cache, Downloads und Lesezeichen aus Chrome, Firefox und Edge. Nutzen Sie ihn, um Browser-Profildateien mit einem wiederholbaren, fallorientierten Workflow in zeitleistenfähige Beweise zu überführen.

Digital Forensics

Favoriten 0GitHub 0

analyzing-network-traffic-for-incidents

von mukul975

analyzing-network-traffic-for-incidents hilft Incident Respondern dabei, PCAPs, Flow-Logs und Paketmitschnitte zu analysieren, um C2, laterale Bewegung, Exfiltration und Exploit-Versuche zu bestätigen. Entwickelt für analyzing-network-traffic-for-incidents im Incident Response mit Wireshark, Zeek und NetFlow-ähnlicher Analyse.

Incident Response

Favoriten 0GitHub 0

deobfuscating-javascript-malware

von mukul975

deobfuscating-javascript-malware hilft Analysten dabei, stark obfuskiertes bösartiges JavaScript in lesbaren Code für die Malware-Analyse zu überführen – etwa bei Phishing-Seiten, Web-Skimmern, Droppern und per Browser ausgelieferten Payloads. Verwenden Sie diesen deobfuscating-javascript-malware Skill für strukturierte Deobfuskation, nachvollziehbares Entschlüsseln und kontrollierte Prüfung, wenn es nicht nur um simples Minifizieren geht.

Malware Analysis

Favoriten 0GitHub 0

detecting-process-injection-techniques

von mukul975

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

analyzing-macro-malware-in-office-documents

von mukul975

analyzing-macro-malware-in-office-documents hilft Malware-Analysten dabei, bösartiges VBA in Word-, Excel- und PowerPoint-Dateien zu untersuchen, Obfuskierung zu entschlüsseln und IOCs, Ausführungspfade sowie die Logik zur Payload-Vorbereitung für Phishing-Triage, Incident Response und die Analyse von Dokument-Malware zu extrahieren.

Malware Analysis

Favoriten 0GitHub 0

collecting-indicators-of-compromise

von mukul975

collecting-indicators-of-compromise Skill zum Extrahieren, Anreichern, Bewerten und Exportieren von IOCs aus Incident-Evidence. Geeignet für Security-Audit-Workflows, Threat-Intel-Sharing und STIX-2.1-Output, wenn Sie eine praxisnahe collecting-indicators-of-compromise-Anleitung statt eines generischen Incident-Response-Prompts suchen.

Security Audit

Favoriten 0GitHub 0

analyzing-golang-malware-with-ghidra

von mukul975

analyzing-golang-malware-with-ghidra hilft Analysten dabei, mit Ghidra in Go kompilierte Malware zu reverse engineeren – mit Workflows für Funktionswiederherstellung, String-Extraktion, Build-Metadaten und Abhängigkeitsanalyse. Der Skill analyzing-golang-malware-with-ghidra ist besonders nützlich für Malware-Triage, Incident Response und Security-Audit-Aufgaben, die praxisnahe, Go-spezifische Analyseschritte erfordern.

Security Audit

Favoriten 0GitHub 0

building-incident-timeline-with-timesketch

von mukul975

building-incident-timeline-with-timesketch hilft DFIR-Teams dabei, in Timesketch kollaborative Incident-Timelines aufzubauen, indem Plaso-, CSV- oder JSONL-Beweise eingelesen, Zeitstempel normalisiert, Ereignisse miteinander korreliert und Angriffsketten für Triage und Reporting dokumentiert werden.

Incident Triage

Favoriten 0GitHub 6.1k

detecting-mimikatz-execution-patterns

von mukul975

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Security Audit

Favoriten 0GitHub 0

detecting-rootkit-activity

von mukul975

detecting-rootkit-activity ist eine Malware-Analysis-Skill zum Aufspüren von Rootkit-Indizien wie versteckten Prozessen, gehookten Systemaufrufen, veränderten Kernel-Strukturen, verborgenen Modulen und verdeckten Netzwerkspuren. Sie nutzt Cross-View-Vergleiche und Integritätsprüfungen, um verdächtige Hosts zu verifizieren, wenn Standard-Tools zu unterschiedlichen Ergebnissen kommen.

Malware Analysis

Favoriten 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

von mukul975

analyzing-browser-forensics-with-hindsight unterstützt Digital-Forensics-Teams dabei, Chromium-Browser-Artefakte mit Hindsight zu analysieren – darunter Verlauf, Downloads, Cookies, Autofill, Lesezeichen, Metadaten gespeicherter Anmeldedaten, Cache und Erweiterungen. Nutzen Sie es, um Webaktivitäten zu rekonstruieren, Zeitachsen auszuwerten und Profile aus Chrome, Edge, Brave und Opera zu untersuchen.

Digital Forensics

Favoriten 0GitHub 6.2k

hunting-advanced-persistent-threats

von mukul975

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

Threat Hunting

Favoriten 0GitHub 0

extracting-windows-event-logs-artifacts

von mukul975

extracting-windows-event-logs-artifacts hilft Ihnen beim Extrahieren, Parsen und Analysieren von Windows Event Logs (EVTX) für Digital Forensics, Incident Response und Threat Hunting. Der Skill unterstützt die strukturierte Auswertung von Anmeldungen, Prozessstarts, Dienstinstallationen, geplanten Tasks, Rechtesänderungen und dem Löschen von Logs mit Chainsaw, Hayabusa und EvtxECmd.

Digital Forensics

Favoriten 0GitHub 0