analyzing-mft-for-deleted-file-recovery

von mukul975

analyzing-mft-for-deleted-file-recovery hilft dabei, Metadaten gelöschter Dateien sowie mögliche Spuren zu Pfad oder Inhalt zu rekonstruieren, indem NTFS-$MFT-Einträge, $LogFile, $UsnJrnl und MFT-Slackspace analysiert werden. Entwickelt für DFIR- und Security-Audit-Workflows mit MFTECmd, analyzeMFT und X-Ways Forensics.

Stars0

Favoriten0

Kommentare0

Hinzugefügt9. Mai 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-mft-for-deleted-file-recovery

Kurationswert

Dieser Skill erreicht 78/100 und ist damit eine solide Kandidatur für das Verzeichnis bei Nutzern, die an forensischer NTFS-Wiederherstellung arbeiten. Das Repository liefert genug konkrete Workflows, Referenzmaterial und unterstützende Skripte, damit ein Agent die Aufgabe mit weniger Rätselraten ausführen und anstoßen kann als bei einem generischen Prompt. Allerdings bleibt eine gewisse Hürde bei der Einführung, da der Installationsweg nicht explizit beschrieben ist.

78/100

Stärken

Starke fachliche Ausrichtung: Das Frontmatter zielt klar auf NTFS-MFT-Analyse zur Wiederherstellung gelöschter Dateien ab, inklusive relevanter Tags und NIST-CSF-Zuordnungen.
Es gibt operative Unterstützung: Zwei Skripte sowie Workflow- und Referenzdokumente decken das Parsen von MFT-Ausgaben, das Filtern gelöschter Datensätze, die Rekonstruktion von Zeitachsen und die Wiederherstellung aus Slackspace ab.
Guter Mehrwert für die Installationsentscheidung: Das Repo enthält Standards, technische Referenzen und eine Berichtsvorlage, sodass Nutzer die Eignung für DFIR-Workflows besser einschätzen können.

Hinweise

In SKILL.md gibt es keinen Installationsbefehl und keine expliziten Setup-Anweisungen, daher müssen Agents die Ausführung möglicherweise mit zusätzlichem Aufwand verdrahten.
Einige Hinweise deuten auf die Nutzung externer Tools wie MFTECmd und analyzeMFT hin. Der Skill ist also von einer breiteren Forensik-Toolchain abhängig und nicht vollständig eigenständig.

Forensics Incident Response Ntfs Mft Dfir File System Forensics Deleted Files File Recovery

Überblick

Überblick über den Skill „analyzing-mft-for-deleted-file-recovery“

Was dieser Skill macht

Der Skill analyzing-mft-for-deleted-file-recovery hilft Ihnen bei der Analyse der NTFS Master File Table ($MFT), um Metadaten gelöschter Dateien und, wenn möglich, Hinweise auf Inhalts- oder Pfadhistorien wiederherzustellen. Er ist für DFIR-Arbeiten gedacht, bei denen es nicht nur darum geht, „gelöschte Dateien zu finden“, sondern nachzuvollziehen, was existierte, wann sich etwas geändert hat und ob Zeitstempel oder Metadaten manipuliert wurden.

Für wen sich die Installation lohnt

Installieren Sie den Skill analyzing-mft-for-deleted-file-recovery, wenn Sie Incident Response, forensische Triage oder Security-Audit-Arbeiten auf NTFS-Volumes durchführen und dafür einen strukturierten Workflow zur Wiederherstellung gelöschter Dateien brauchen. Er passt besonders gut, wenn Sie bereits ein Image, eine rohe $MFT oder MFTECmd-Ausgabe haben und wiederholbare Analyse statt eines generischen Prompts benötigen.

Warum er nützlich ist

Der wichtigste Nutzen liegt in der praktischen Workflow-Unterstützung: Der Skill konzentriert sich auf gelöschte Datensätze, Zeitstempel, $UsnJrnl, $LogFile und den MFT-Slackspace. Diese Kombination liefert mehr Informationsgewinn als ein einfacher „Parse die MFT“-Prompt, weil sie zur Korrelation anregt und nicht nur zur Auflistung von Datensätzen.

So verwenden Sie den Skill „analyzing-mft-for-deleted-file-recovery“

Installieren und die richtigen Dateien prüfen

Verwenden Sie den im Repo dokumentierten Installationspfad: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-mft-for-deleted-file-recovery. Lesen Sie nach der Installation zuerst SKILL.md, dann references/workflows.md, references/api-reference.md und references/standards.md. Wenn Sie die Ausgabequalität oder die Form des Berichts prüfen wollen, öffnen Sie früh assets/template.md, damit Ihre Prompts zum erwarteten Deliverable passen.

Geben Sie dem Skill einsatzfähige Eingaben

Die Nutzung von analyzing-mft-for-deleted-file-recovery funktioniert am besten, wenn Sie drei Dinge direkt mitgeben: die Beweisquelle, die Fragestellung und die Einschränkung. Zum Beispiel: „Analysiere dieses MFTECmd-CSV aus C:\Users\...\NTFS, um gelöschte Dateien, den wahrscheinlichen Löschzeitpunkt und Hinweise auf Timestomping zu identifizieren; gib eine knappe Security-Audit-Zusammenfassung zurück.“ Das ist stärker als „hilf mir, gelöschte Dateien wiederherzustellen“, weil der Skill dadurch weiß, worauf er die Ausgabe priorisieren soll.

Folgen Sie der Reihenfolge des Repository-Workflows

Ein praxisnaher analyzing-mft-for-deleted-file-recovery guide ist: $MFT extrahieren oder bereitstellen, mit MFTECmd oder analyzeMFT parsen, nach gelöschten Datensätzen filtern (InUse = False), $SI- und $FN-Zeitstempel vergleichen und anschließend $UsnJrnl sowie $LogFile für Reihenfolge und Löschkontext heranziehen. Wenn Sie eine teilweise Wiederherstellung vermuten, prüfen Sie nach dem Haupt-Parse den MFT-Slackspace, damit keine Restdaten aus Attributen übersehen werden.

Verbessern Sie die Prompt-Qualität mit Ausgabevorgaben

Wenn Sie eine Analyse anfordern, geben Sie das gewünschte Format vor: Tabelle, Timeline, Triage-Notizen oder Security-Audit-taugliche Zusammenfassung. Nennen Sie auch, ob Sie nur gelöschte Datensätze, nur Timestomping-Kandidaten oder eine vollständig zusammengeführte Timeline möchten. Für analyzing-mft-for-deleted-file-recovery for Security Audit sollten Sie explizite Befunde, Vertrauenshinweise und eventuelle Evidenzlücken anfordern, damit das Ergebnis in einem Review-Paket verwendbar ist.

Häufige Fragen zum Skill „analyzing-mft-for-deleted-file-recovery“

Ist das nur für die Wiederherstellung gelöschter Dateien gedacht?

Nein. Der Skill ist zwar auf die Wiederherstellung gelöschter Dateien ausgerichtet, unterstützt aber auch Timeline-Rekonstruktion und die Prüfung auf Anti-Forensik. Wenn Ihre eigentliche Aufgabe eine breite NTFS-Triage ohne konkreten Bezug zu gelöschten Dateien ist, kann ein allgemeinerer Prompt für Dateisystem-Forensik ausreichen.

Brauche ich MFTECmd, um den Skill gut zu nutzen?

MFTECmd ist der naheliegendste Eingabepfad, aber nicht der einzige. Der Skill passt auch zu analyzeMFT und zur manuellen Prüfung der rohen MFT. Wenn Sie nur ein Disk-Image und keine geparste Ausgabe haben, bekommen Sie bessere Ergebnisse, nachdem Sie $MFT extrahiert oder zunächst eine CSV erzeugt haben.

Ist der Skill für Einsteiger geeignet?

Ja, sofern die Person Beweise und eine klare Fragestellung liefern kann. Für Einsteiger ist der Skill nützlicher als ein leerer Prompt, weil er auf die richtigen Artefakte und Prüfungen hinweist. Weniger geeignet ist er, wenn jemand ein NTFS-Volume nicht von einer generischen Dateiliste unterscheiden kann.

Wann sollte ich ihn nicht verwenden?

Verwenden Sie analyzing-mft-for-deleted-file-recovery nicht, wenn das Dateisystem nicht NTFS ist, wenn es im Fall keine Lösch- oder Zeitstempelproblematik gibt oder wenn Sie vollständiges Content-Carving statt metadatenbasierter Wiederherstellung benötigen. In solchen Fällen ist ein anderer forensischer Workflow schneller.

So verbessern Sie den Skill „analyzing-mft-for-deleted-file-recovery“

Füttern Sie ihn mit besserer Evidenz, nicht nur mit einem Ziel

Bessere Eingaben benennen Quelle und Umfang: „MFTECmd-CSV von einem einzelnen Arbeitsplatzrechner, Fokus auf gelöschte Dokumente in Downloads, einschließlich Parent-Pfad und Löschindikatoren.“ Das ist besser als „analysiere die MFT“, weil der Skill dann relevante Zeilen priorisieren kann, statt alles zusammenzufassen.

Fordern Sie die richtigen forensischen Vergleiche an

Der wichtigste Qualitätshebel ist der Vergleich zwischen $SI, $FN, $UsnJrnl und $LogFile. Wenn Ihnen die Ausgabequalität von analyzing-mft-for-deleted-file-recovery skill wichtig ist, lassen Sie das Modell Abweichungen erklären und nicht nur Zeitstempel auflisten. So lassen sich Timestomping, Umbenennungshistorien und Fälle erkennen, in denen der gelöschte Datensatz noch brauchbare Pfadmetadaten enthält.

Achten Sie auf typische Fehlerbilder

Der häufigste Fehler ist eine zu starke Behauptung von Wiederherstellungssicherheit auf Basis unvollständiger Metadaten. Ein gelöschter MFT-Datensatz kann Dateinamen und Zeitstempel bewahren, ohne den Dateiinhalt zu bewahren. Ein weiterer Fehler ist, das Risiko einer Neuverwendung zu übersehen: Wenn der Datensatz bereits überschrieben wurde, können wiederhergestellte Details nur teilweise oder irreführend sein. Weisen Sie den Skill an, bestätigte Fakten von abgeleiteten Annahmen zu trennen.

Arbeiten Sie mit einem engeren zweiten Durchgang

Verfeinern Sie nach der ersten Ausgabe mit einem engeren Prompt: „Führe die Analyse nur für gelöschte Datensätze mit abweichenden Erstellungszeiten in $SI und $FN erneut aus; gib eine kurze Befundtabelle und eine einparagraphige Security-Audit-Schlussfolgerung zurück.“ Das erhöht das Signal, weil der Skill dadurch Belege gewichten muss, statt sie nur zu wiederholen.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-threat-model

von openai

Repository-basiertes security-threat-model für AppSec-Threat-Modeling. Es überführt Vertrauensgrenzen, Assets, Angreiferziele, Missbrauchspfade und Gegenmaßnahmen in ein kompaktes Markdown-Threat-Model. Nutzen Sie es, wenn Sie security-threat-model für Threat Modeling in einem konkreten Repo oder Pfad brauchen, nicht für eine generische Architekturprüfung oder Codeanalyse.

Threat Modeling

Favoriten 0GitHub 0

solana-vulnerability-scanner

von trailofbits

solana-vulnerability-scanner ist ein fokussierter Solana-Security-Audit-Skill für native Rust- und Anchor-Programme. Er hilft dabei, CPI-Logik, PDA-Validierung, Signer- und Ownership-Prüfungen sowie Sysvar-Spoofing zu überprüfen, um sechs kritische Solana-spezifische Schwachstellen vor dem Deployment zu erkennen.

Security Audit

Favoriten 0GitHub 4.9k

azure-ai-contentsafety-ts

von microsoft

azure-ai-contentsafety-ts hilft dabei, Text und Bilder mit Azure AI Content Safety in TypeScript auf schädliche Inhalte zu prüfen. Nutzen Sie diese Skill für Moderations-Workflows, Blocklists und Sicherheitsprüfungen von Hassrede, Gewalt, sexuellen Inhalten und Selbstverletzung. Außerdem werden das Einrichten von Azure-Endpunkt und Authentifizierung abgedeckt.

Security Audit

Favoriten 0GitHub 2.3k

sharp-edges

von trailofbits

Die sharp-edges-Skill hilft dir, APIs, Konfigurationen und Schnittstellen zu finden, bei denen der naheliegende Weg zu unsicherer Nutzung führt. Nutze sie, um Authentifizierungsflüsse, kryptografische Wrapper, gefährliche Standardwerte, Null- oder Zero-Semantik und anfällige Designentscheidungen zu prüfen. Sie passt besonders gut für sharp-edges bei Security-Audit-Arbeiten, wenn du konkrete Fallstricke brauchst und keine allgemeinen Sicherheitsvermutungen.

Security Audit

Favoriten 0GitHub 5k

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

von mukul975

Das Skill „exploiting-insecure-data-storage-in-mobile“ unterstützt bei der Bewertung und Extraktion von Beweismitteln aus unsicherem lokalem Speicher in Android- und iOS-Apps. Es behandelt SharedPreferences, SQLite-Datenbanken, plist-Dateien, weltweit lesbare Dateien, Backup-Offenlegung sowie schwache Keychain-/Keystore-Verarbeitung für Mobile-Pentesting und Security-Audit-Workflows.

Security Audit

Favoriten 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

building-patch-tuesday-response-process

von mukul975

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

Project Management

Favoriten 0GitHub 6.1k

ossfuzz

von trailofbits

Lerne die ossfuzz-Skill für Continuous Fuzzing-Setup, Projektanmeldung, Harness-Planung und die Prüfung des Build-Workflows kennen. Dieser Leitfaden hilft Security Engineers und Maintainers dabei, die Einsatzbereitschaft einzuschätzen, Build-Blocker zu erkennen und einen praktischen Weg vom Source Tree zu OSS-Fuzz oder einer privaten Fuzzing-Infrastruktur vorzubereiten.

Security Audit

Favoriten 0GitHub 5k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

semgrep-rule-creator

von trailofbits

semgrep-rule-creator erstellt Semgrep-Regeln in Produktionsqualität für Sicherheitslücken, Bug-Muster, Taint-Flow-Erkennungen und Coding-Standards. Verwenden Sie den semgrep-rule-creator Skill für Security-Audit-Aufgaben, wenn Sie präzise Regeln, Testfälle und Validierung statt eines generischen Entwurfs brauchen.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

constant-time-analysis

von trailofbits

constant-time-analysis ist eine Security-Audit-Skill zum Finden von Timing-Side-Channel-Risiken in kryptografischem Code, bevor sie zu ausnutzbaren Bugs werden. Nutze sie, um geheimnisabhängige Mathematik, Verzweigungen, Vergleiche und kompilierten Output zu prüfen, wenn du C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python oder Ruby analysierst.

Security Audit

Favoriten 0GitHub 5k

secure-workflow-guide

von trailofbits

secure-workflow-guide führt durch einen 5-stufigen Solidity-Security-Workflow: Slither-Triage, funktionsspezifische Checks, visuelle Prüfung, Notizen zu Security-Properties und manuelle Review. Die Skill ist für Smart-Contract-Teams, Auditoren und Entwickler gedacht, die vor Deployment oder Release einen wiederholbaren secure-workflow-guide benötigen.

Security Audit

Favoriten 0GitHub 4.9k