analyzing-malware-sandbox-evasion-techniques

von mukul975

analyzing-malware-sandbox-evasion-techniques unterstützt Malware-Analysten dabei, Cuckoo- und AnyRun-Verhalten auf Timing-Checks, VM-Artefakt-Abfragen, User-Interaction-Gates und Sleep Inflation zu prüfen. Es ist für einen gezielten analyzing-malware-sandbox-evasion-techniques-Workflow in Malware-Analysis-Pipelines ausgelegt, um schnell zu triagieren, ob ein Sample sich vor der Sandbox verbirgt.

Stars0

Favoriten0

Kommentare0

Hinzugefügt12. Mai 2026

KategorieMalware Analysis

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-malware-sandbox-evasion-techniques

Kurationswert

Dieses Skill erreicht 78/100 und ist damit eine solide Kandidatenliste für Nutzer, die einen fokussierten Workflow zum Erkennen von Sandbox-Evasion bei Malware in Cuckoo-/AnyRun-Reports benötigen. Das Repository liefert genug konkrete Analyse-Struktur und Erkennungslogik, sodass ein Agent es mit weniger Rätselraten einsetzen kann als einen generischen Prompt; als vollständig ausgereiftes End-to-End-Skill-Paket wirkt es jedoch noch nicht.

78/100

Stärken

Expliziter Malware-Analyse-Trigger mit Fokus auf Sandbox-Evasion-Indikatoren wie Timing-Checks, VM-Artefakte und User-Interaction-Tests.
Praktische Unterstützung durch ein Python-Skript sowie eine API-Referenz mit Cuckoo-Report-Struktur und Indikator-Tabellen.
Hohe Domänenspezifität in den SKILL.md-Metadaten und Verweise auf T1497-Subtechniken, was das Targeting für Agents und den Installationsentscheid verbessert.

Hinweise

Im Repo fehlt ein Installationsbefehl, und die Begleitdokumentation ist begrenzt; Nutzer müssen daher unter Umständen selbst ableiten, wie das Skript aufzurufen ist.
Der Skill-Text ist im Auszug etwas gekürzt und wirkt eher als Analyse-/Referenzmaterial denn als vollständig geführter Schritt-für-Schritt-Workflow, was die sofortige Einsetzbarkeit einschränken kann.

Sandbox Behavioral Analysis Cuckoo Anyrun Mitre Attack Security Analysis

Überblick

Überblick über die Skill „analyzing-malware-sandbox-evasion-techniques“

Die Skill analyzing-malware-sandbox-evasion-techniques hilft dabei zu erkennen, wenn Malware versucht, eine Sandbox oder eine virtualisierte Analyseumgebung zu erkennen und ihr Verhalten anzupassen, um sich zu verbergen. Sie ist besonders nützlich für Malware-Analysten, SOC-Analysten und Threat Hunter, die einen fokussierten Workflow für analyzing-malware-sandbox-evasion-techniques for Malware Analysis brauchen statt eines generischen Prompts.

Worauf es Nutzer meist wirklich ankommt, ist nicht die Theorie, sondern die Frage, ob ein Sample „sauber wirkt“, weil es eine Analyse erkennt. Genau darauf ist diese Skill ausgerichtet: Verhaltensberichte aus Cuckoo Sandbox oder AnyRun auswerten, Timing-Checks, VM-Artefakt-Abfragen, User-Interaction-Gates und Sleep-Inflation-Muster erkennen und dann entscheiden, ob das Sample eine tiefere manuelle Analyse verdient.

Worin diese Skill am besten ist

analyzing-malware-sandbox-evasion-techniques ist am stärksten, wenn bereits ein Verhaltensbericht vorliegt und strukturierte Triage gefragt ist. Sie hilft dabei, Indikatoren wie GetTickCount, QueryPerformanceCounter, Registry-Abfragen nach VMware oder VirtualBox, VM-Prozessnamen sowie Input-Checks wie Maus- oder Tastaturaktivität zu identifizieren.

Wo sie in einen Analyse-Workflow passt

Nutzen Sie sie nach der ersten Ausführung oder nach dem Sammeln des Reports, nicht davor. Wenn Sie nur ein Roh-Binary ohne Sandbox-Output haben, ist die Skill erst dann wirklich hilfreich, wenn Sie Verhaltens-Telemetrie erzeugen können. Wenn bereits Cuckoo- oder AnyRun-Ergebnisse vorliegen, ist sie meist der bessere Weg als Calls Zeile für Zeile zu lesen.

Wichtige Entscheidungskriterien vor der Installation

Installieren Sie die analyzing-malware-sandbox-evasion-techniques skill, wenn Sie wiederholbare Erkennungslogik brauchen und nicht nur eine narrative Analyse. Lassen Sie sie weg, wenn Ihre Arbeit überwiegend aus statischem Reverse Engineering, Signaturerstellung für AV-Engines oder grober Malware-Klassifizierung ohne Sandbox-Telemetrie besteht.

So verwenden Sie die Skill analyzing-malware-sandbox-evasion-techniques

Installieren und die richtigen Dateien prüfen

Nutzen Sie in Ihrem Skills-Manager den Pfad analyzing-malware-sandbox-evasion-techniques install und prüfen Sie anschließend den Einstiegspunkt der Skill sowie das Begleitmaterial. Beginnen Sie mit SKILL.md, lesen Sie dann references/api-reference.md für die Indikator-Mapping-Tabelle und scripts/agent.py für die Erkennungslogik und die Feldnamen, die das Skript erwartet.

Mit report-typischen Eingaben arbeiten

Die Skill funktioniert am besten, wenn Ihr Prompt die Sandbox-Quelle, den Namen des Samples und das Analyseziel enthält. Gute Eingaben sehen so aus: „Analysiere dieses Cuckoo-JSON auf Sandbox-Evasion-Indikatoren, priorisiere Timing-Checks und VM-Artefakt-Abfragen und sag mir, ob dieses Sample die Payload-Ausführung wahrscheinlich unterdrückt.“ Schwache Eingaben wie „Analysiere diese Malware“ lassen zu viel Spielraum.

Einen Report-first-Workflow verwenden

Ein praxistauglicher Ablauf für analyzing-malware-sandbox-evasion-techniques usage ist: Verhaltensbericht einsammeln, verdächtige API-Calls extrahieren, sie Timing-, VM- und User-Interaction-Kategorien zuordnen und dann die Evasionsabsicht sowie die wahrscheinlich nächsten Schritte zusammenfassen. Wenn die Skill ein Skript wie scripts/agent.py bereitstellt, nutzen Sie es, um offensichtliche Indikatoren vorzufiltern, bevor Sie nach einer Interpretation fragen.

Die Support-Dateien in dieser Reihenfolge lesen

Für einen schnellen Einstieg lesen Sie zuerst SKILL.md, dann references/api-reference.md und anschließend scripts/agent.py. Diese Reihenfolge zeigt den vorgesehenen Analyseumfang, die exakten Indikator-Familien und die Art, wie das Repository sie operationalisiert. Wenn Ihre Umgebung von den Annahmen im Repository abweicht, passen Sie die Indikator-Schwellen und tool-spezifischen JSON-Felder an, statt sie blind zu übernehmen.

FAQ zur Skill analyzing-malware-sandbox-evasion-techniques

Ist das nur für Cuckoo und AnyRun?

Nein. Das sind die im Repo am klarsten adressierten Ziele, aber die zugrunde liegende Logik gilt für jeden Verhaltensbericht, der API-Calls, Prozessnamen, Registry-Zugriffe und Timing-Daten erfasst. Wenn Ihre Sandbox ähnliche Telemetrie exportiert, passt die Skill trotzdem.

Muss ich Erfahrung in der Malware-Analyse mitbringen?

Grundlegende Vertrautheit hilft, aber die Skill ist anfängerfreundlich für Analysten, die Sandbox-Output lesen können. Sie müssen kein Reverse Engineer sein, um analyzing-malware-sandbox-evasion-techniques zu nutzen, aber Sie sollten erkennen können, ob ein Report Verhalten zeigt oder nur statische Metadaten enthält.

Warum das statt eines normalen Prompts?

Ein normaler Prompt kann einen Report zusammenfassen, aber Inhalte zum analyzing-malware-sandbox-evasion-techniques guide geben Ihnen eine engere Checkliste für evasion-spezifische Indikatoren. Das bedeutet meist weniger übersehene VM-Artefakte, bessere Timing-Analyse und ein belastbareres Triage-Ergebnis.

Wann ist das das falsche Werkzeug?

Nutzen Sie es nicht, wenn Ihre Frage hauptsächlich Exploit-Entwicklung, Phishing-Analyse oder die reine IOC-Extraktion für Signaturen betrifft. Es ist auch ungeeignet, wenn der Sandbox-Report zu spärlich ist, um API-Aktivität oder Umgebungsprüfungen zu zeigen.

So verbessern Sie die Skill analyzing-malware-sandbox-evasion-techniques

Die richtigen Belege bereitstellen

Den größten Qualitätssprung erreichen Sie, wenn Sie den eigentlichen Reportinhalt teilen und nicht nur eine Zusammenfassung davon. Fügen Sie Prozessnamen, verdächtige API-Calls, Registry-Pfade, MAC-Adressen, Timing-Werte und alle Prüfungen zur User-Interaction hinzu. Diese Eingaben helfen analyzing-malware-sandbox-evasion-techniques, echte Evasion von normalem Umgebungs-Scanning zu unterscheiden.

Die Analysefrage präzise formulieren

Fragen Sie immer nur eine Entscheidung auf einmal ab: „Nutzen dieses Samples Sandbox-Evasion?“, „Welche T1497-Subtechnik ist am wahrscheinlichsten?“ oder „Was sollte ich als Nächstes prüfen?“ Das liefert bessere Ergebnisse als eine breite Malware-Zusammenfassung, weil die Skill auf konkrete Verhaltenssignale ausgelegt ist.

Häufige Fehlerbilder im Blick behalten

Der häufigste Fehler ist, harmlose Prüfungen vorschnell als Evasion zu werten. Ein Prozess, der Systeminformationen abfragt, ist nicht automatisch bösartig; aussagekräftig wird das Signal erst in Kombination mit kurzen Uptime-Checks, Sleep-Manipulation, VM-Artefakten oder ausbleibendem Payload-Verhalten. Ein weiteres Fehlerbild ist, die Grenzen der Sandbox zu ignorieren, wodurch genau die Interaktions- oder Timing-Belege verdeckt sein können, auf die die Skill angewiesen ist.

Nach dem ersten Durchlauf nachschärfen

Ergänzen Sie nach der ersten Antwort fehlenden Kontext: Sandbox-Typ, Sample-Familie, Ausführungsdauer oder ob User-Interaktion simuliert wurde. Wenn das Ergebnis grenzwertig ist, bitten Sie um einen zweiten Durchlauf mit Fokus auf eine einzelne Kategorie, etwa timing-basierte Evasion oder VM-Erkennung, statt sofort eine komplette Neuanalyse anzufordern.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

conducting-malware-incident-response

von mukul975

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

Incident Response

Favoriten 0GitHub 0

analyzing-bootkit-and-rootkit-samples

von mukul975

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Malware Analysis

Favoriten 0GitHub 6.2k

detecting-ransomware-encryption-behavior

von mukul975

detecting-ransomware-encryption-behavior hilft Verteidigern, ransomwareähnliche Verschlüsselung mithilfe von Entropieanalyse, File-I/O-Überwachung und Verhaltensheuristiken zu erkennen. Der Skill eignet sich für Incident Response, SOC-Tuning und Red-Team-Validierung, wenn massenhafte Dateiveränderungen, plötzliche Umbenennungswellen und verdächtige Prozessaktivitäten schnell erkannt werden müssen.

Incident Response

Favoriten 0GitHub 0

deobfuscating-javascript-malware

von mukul975

deobfuscating-javascript-malware hilft Analysten dabei, stark obfuskiertes bösartiges JavaScript in lesbaren Code für die Malware-Analyse zu überführen – etwa bei Phishing-Seiten, Web-Skimmern, Droppern und per Browser ausgelieferten Payloads. Verwenden Sie diesen deobfuscating-javascript-malware Skill für strukturierte Deobfuskation, nachvollziehbares Entschlüsseln und kontrollierte Prüfung, wenn es nicht nur um simples Minifizieren geht.

Malware Analysis

Favoriten 0GitHub 0

analyzing-powershell-empire-artifacts

von mukul975

Die Fähigkeit analyzing-powershell-empire-artifacts unterstützt Security-Audit-Teams dabei, PowerShell-Empire-Artefakte in Windows-Protokollen zu erkennen – mit Script Block Logging, Base64-Launcher-Mustern, Stager-IOCs, Modulsignaturen und Erkennungsreferenzen für Triage und Regelentwicklung.

Security Audit

Favoriten 0GitHub 0

detecting-process-injection-techniques

von mukul975

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

analyzing-macro-malware-in-office-documents

von mukul975

analyzing-macro-malware-in-office-documents hilft Malware-Analysten dabei, bösartiges VBA in Word-, Excel- und PowerPoint-Dateien zu untersuchen, Obfuskierung zu entschlüsseln und IOCs, Ausführungspfade sowie die Logik zur Payload-Vorbereitung für Phishing-Triage, Incident Response und die Analyse von Dokument-Malware zu extrahieren.

Malware Analysis

Favoriten 0GitHub 0

analyzing-golang-malware-with-ghidra

von mukul975

analyzing-golang-malware-with-ghidra hilft Analysten dabei, mit Ghidra in Go kompilierte Malware zu reverse engineeren – mit Workflows für Funktionswiederherstellung, String-Extraktion, Build-Metadaten und Abhängigkeitsanalyse. Der Skill analyzing-golang-malware-with-ghidra ist besonders nützlich für Malware-Triage, Incident Response und Security-Audit-Aufgaben, die praxisnahe, Go-spezifische Analyseschritte erfordern.

Security Audit

Favoriten 0GitHub 0

analyzing-cobaltstrike-malleable-c2-profiles

von mukul975

analyzing-cobaltstrike-malleable-c2-profiles hilft dabei, Cobalt Strike Malleable C2-Profile in C2-Indikatoren, Tarnungsmerkmale und Erkennungsansätze zu zerlegen – für Malware-Analyse, Threat Hunting und Security-Audit-Workflows. Es nutzt dissect.cobaltstrike und pyMalleableC2 für die Analyse von Profilen und Beacon-Konfigurationen.

Security Audit

Favoriten 0GitHub 6.2k

analyzing-supply-chain-malware-artifacts

von mukul975

analyzing-supply-chain-malware-artifacts ist eine Malware-Analyse-Skill für das Nachverfolgen von trojanisierten Updates, kompromittierten Abhängigkeiten und Manipulationen in Build-Pipelines. Nutzen Sie sie, um vertrauenswürdige und unzuverlässige Artefakte zu vergleichen, Indikatoren zu extrahieren, den Umfang einer Kompromittierung einzuschätzen und Ergebnisse mit weniger Rätselraten zu berichten.

Malware Analysis

Favoriten 0GitHub 6.1k

analyzing-linux-kernel-rootkits

von mukul975

analyzing-linux-kernel-rootkits unterstützt DFIR- und Threat-Hunting-Workflows dabei, Linux-Kernel-Rootkits mit Volatility3 Cross-View-Prüfungen, rkhunter-Scans und /proc-vs-/sys-Analysen aufzudecken – etwa versteckte Module, gehookte Syscalls und manipulierte Kernel-Strukturen. Es ist ein praxisnaher Leitfaden zu analyzing-linux-kernel-rootkits für die forensische Triage.

Digital Forensics

Favoriten 0GitHub 0

detecting-mimikatz-execution-patterns

von mukul975

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Security Audit

Favoriten 0GitHub 0

analyzing-android-malware-with-apktool

von mukul975

analyzing-android-malware-with-apktool ist ein Skill für die statische Analyse von Android-APK-Malware. Er nutzt apktool, jadx und androguard, um Apps zu entpacken, Manifeste und Berechtigungen zu prüfen, Quellcode-ähnlichen Code wiederherzustellen und verdächtige APIs sowie IOCs für die Malware-Analyse zu extrahieren.

Malware Analysis

Favoriten 0GitHub 6.2k

detecting-rootkit-activity

von mukul975

detecting-rootkit-activity ist eine Malware-Analysis-Skill zum Aufspüren von Rootkit-Indizien wie versteckten Prozessen, gehookten Systemaufrufen, veränderten Kernel-Strukturen, verborgenen Modulen und verdeckten Netzwerkspuren. Sie nutzt Cross-View-Vergleiche und Integritätsprüfungen, um verdächtige Hosts zu verifizieren, wenn Standard-Tools zu unterschiedlichen Ergebnissen kommen.

Malware Analysis

Favoriten 0GitHub 6.2k

detecting-mobile-malware-behavior

von mukul975

Die Skill „detecting-mobile-malware-behavior“ analysiert verdächtige Android- und iOS-Apps auf missbräuchliche Berechtigungen, Laufzeitverhalten, Netzwerkindikatoren und malwareähnliche Muster. Nutzen Sie sie für Triage, Incident Response und detecting-mobile-malware-behavior in Security-Audit-Workflows mit evidenzgestützter mobiler Analyse.

Security Audit

Favoriten 0GitHub 6.1k

analyzing-ransomware-payment-wallets

von mukul975

analyzing-ransomware-payment-wallets ist eine Read-only-Blockchain-Forensik-Fähigkeit zum Nachverfolgen von Ransomware-Zahlungs-Wallets, zum Verfolgen von Geldflüssen und zum Clustern zusammengehöriger Adressen für Security Audits und Incident Response. Verwenden Sie sie, wenn Sie eine BTC-Adresse, einen Tx-Hash oder eine verdächtige Wallet haben und belastbare Attribution als Beleg benötigen.

Security Audit

Favoriten 0GitHub 6.1k