detecting-process-hollowing-technique
von mukul975detecting-process-hollowing-technique hilft dabei, Process Hollowing (T1055.012) in Windows-Telemetrie aufzuspüren, indem es Suspend-Starts, Speicher-Manipulation, Anomalien in Parent-Child-Beziehungen und API-Hinweise miteinander korreliert. Entwickelt für Threat Hunter, Detection Engineers und Incident Responder, die einen praxisnahen detecting-process-hollowing-technique für den Threat-Hunting-Workflow brauchen.
Dieser Skill erreicht 81/100 und ist damit ein solides Verzeichnis-Listing für Nutzer, die Process Hollowing (T1055.012) aufspüren. Das Repository liefert genug operative Details, damit ein Agent erkennt, wann der Skill eingesetzt werden sollte, einem Detection-Workflow folgen kann und unterstützende Skripte sowie Referenzen mit vergleichsweise wenig Rätselraten nutzt. Er ist jedoch eher auf Detection als auf eine vollständig schlüsselfertige Nutzung ausgelegt.
- Starker Auslösewert: Die SKILL.md zielt klar auf die Erkennung von Process Hollowing und nennt konkrete Anwendungsfälle wie EDR-Alerts, Memory-Threats und Purple-Team-Validierung.
- Gute operative Struktur: Das Repo enthält einen mehrphasigen Workflow sowie unterstützende Referenzen für Sysmon, MDE/KQL, Splunk SPL und API-Sequenz-Kontext.
- Nützliche Unterstützung für Agents: Skripte und Vorlagen bieten ausführbare Ausgangspunkte für die Analyse von Sysmon-Logs und die Dokumentation von Hunts statt nur narrativer Anleitung.
- In SKILL.md gibt es keinen Installationsbefehl, daher müssen Nutzer die Operationalisierung der Skripte und Abhängigkeiten möglicherweise selbst ableiten.
- Teile des Workflow-Inhalts sind in den Belegen abgeschnitten, und der Skill ist klar auf Windows-Telemetrie ausgerichtet, was den Einsatz außerhalb dieser Umgebung einschränkt.
Überblick über die Skill detecting-process-hollowing-technique
Die Skill detecting-process-hollowing-technique hilft Ihnen dabei, Process Hollowing (MITRE ATT&CK T1055.012) in Windows-Telemetrie aufzuspüren, indem sie Prozessstarts, Speicher-Manipulationen und Auffälligkeiten in Parent-Child-Beziehungen miteinander korreliert. Sie eignet sich vor allem für Threat Hunter, Detection Engineers und Incident Responder, die einen praktischen Workflow für detecting-process-hollowing-technique for Threat Hunting brauchen und keine generische Erklärung von Process Injection.
Wofür diese Skill gedacht ist
Nutzen Sie diese Skill, wenn Sie entscheiden müssen, ob ein verdächtiger Prozess tatsächlich gehollowt wurde und nicht nur ungewöhnlich wirkt. Im Fokus stehen die operativ relevanten Signale: ein Prozessstart im Suspended-Zustand, ein Image-Mismatch, Remote Memory Writes und ein abnormales Ausführungsverhalten nach dem Wiederaufnehmen des Threads.
Warum sie in realen Hunts nützlich ist
Der Hauptwert der detecting-process-hollowing-technique skill liegt in der Struktur. Statt von einem einzelnen Alarm aus zu jagen, bekommen Sie eine Abfolge: Kandidatenprozesse identifizieren, gegen erwartete Windows-Parent-Child-Beziehungen prüfen und dann mit Speicher- und API-Belegen bestätigen. Das reduziert False Positives durch legitimes Service-Verhalten und hilft, „seltsam“ von „bösartig“ zu trennen.
Was sie unterscheidet
Diese Skill spielt ihre Stärke aus, wenn Sie EDR- oder Sysmon-Telemetrie haben und einen detectionsorientierten Workflow brauchen. Sie ist nützlicher als ein Einzeiler-Prompt, weil sie die übliche Hollowing-Kette und den typischen Trade-off bereits abbildet: Mehr Sicherheit gibt es nur mit besserer Prozess- und Speichertransparenz. Wenn Ihnen nur Netzwerkdaten vorliegen, liefert diese Skill nicht genug Belege.
So verwenden Sie die Skill detecting-process-hollowing-technique
Installieren und laden
Installieren Sie sie mit:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique
Öffnen Sie danach zuerst skills/detecting-process-hollowing-technique/SKILL.md. Wenn Sie den operativen Kontext hinter der Hunting-Logik verstehen wollen, lesen Sie außerdem references/standards.md und references/workflows.md, bevor Sie die Skill in Ihrer eigenen Umgebung einsetzen.
Mit dem richtigen Input starten
Die Skill funktioniert am besten, wenn Ihr Prompt die Telemetriequelle, eine kurze Verdachtsbeschreibung und das Zeitfenster enthält. Zum Beispiel: „Analysiere Sysmon Event IDs 1, 8, 10 und 25 von Host X auf Anzeichen von Process Hollowing nach einem verdächtigen svchost.exe-Start um 14:30 UTC.“ Das ist besser als „Prüfe auf Malware“, weil es dem Modell ein konkretes Hunt-Ziel und einen klaren Prüfpfad gibt.
Empfohlener Workflow
- Nutzen Sie die Skill, um Kandidatenprozesse aus Sysmon oder EDR einzugrenzen.
- Prüfen Sie die Parent-Child-Beziehung gegen die Windows-Baseline.
- Suchen Sie nach Hollowing-Indikatoren: Suspended Start, Unmap/Write/Redirect-Sequenz und Manipulationsereignisse.
- Bestätigen Sie das Ergebnis, wenn möglich, mit Speicherbelegen.
- Überführen Sie das Ergebnis in eine Hunt-Notiz oder Detection-Regel und nutzen Sie
assets/template.mdals Form für die Dokumentation.
Zuerst zu lesende Dateien
Für die detecting-process-hollowing-technique usage sollten Sie zuerst diese Dateien priorisieren:
SKILL.mdfür die Hunting-Logik und Voraussetzungenreferences/api-reference.mdfür die API-Abfolge und die Beispiel-Splunk-Queryreferences/workflows.mdfür Sysmon- und MDE-Beispieleassets/template.mdfür die klare Dokumentation der Findingsscripts/agent.pyundscripts/process.py, wenn Sie Event-Parsing oder Triage automatisieren wollen
FAQ zur Skill detecting-process-hollowing-technique
Ist das nur für erfahrene Analysten?
Nein. Der detecting-process-hollowing-technique guide ist auch für Einsteiger zugänglich, die grundlegende Windows-Prozesskonzepte bereits kennen. Sie brauchen genug Kontext, um normales Service-Verhalten von verdächtigen Injection-Mustern zu unterscheiden, aber die Skill liefert Ihnen einen brauchbaren Hunting-Pfad, statt tiefes Reverse-Engineering vorauszusetzen.
Brauche ich EDR oder Sysmon?
Idealerweise ja. Die Skill ist mit Sysmon- und EDR-Telemetrie am stärksten, weil Process Hollowing in einfachen Endpoint-Logs oft unsichtbar bleibt. Ohne Prozessstart-, Manipulations- oder speicherbezogene Telemetrie bekommen Sie womöglich nur einen schwachen Verdacht statt einer belastbaren Schlussfolgerung.
Worin unterscheidet sie sich von einem normalen Prompt?
Ein normaler Prompt beschreibt Process Hollowing oft nur allgemein. Diese Skill ist stärker auf Entscheidungen ausgerichtet: Sie lenkt Sie zu konkreten Prüfungen, erwarteten Parent-Child-Baselines und Belegen, die T1055.012 stützen oder widerlegen. Das führt in der Regel zu besserem Triage-Output und weniger vagen Antworten.
Wann sollte ich sie nicht verwenden?
Verwenden Sie detecting-process-hollowing-technique nicht, wenn es in Ihrem Fall vor allem um Browser-Exploitation, Makro-Malware oder generische Persistenz ohne Hinweise auf Process Injection geht. Sie ist auch ungeeignet, wenn Ihnen Endpoint-Telemetrie fehlt und Sie nur eine grobe Incident-Zusammenfassung brauchen.
So verbessern Sie die Skill detecting-process-hollowing-technique
Mehr Telemetrie-Kontext liefern
Den größten Qualitätsgewinn bringt bessere Eingabedaten. Geben Sie OS-Version, Logging-Quelle, Event-IDs und ein oder zwei verdächtige Prozessnamen an. Zum Beispiel: „Windows 11, Sysmon 13, Event 1 und 25, svchost.exe wurde von cmd.exe gestartet, danach Tampering-Alarm um 14:31.“ So kann das Modell den richtigen Detection-Pfad sauber einordnen.
Nach einem Befund plus Belegen fragen
Wenn Sie nützliche Ergebnisse wollen, verlangen Sie sowohl eine Schlussfolgerung als auch die Beweiskette. Eine gute Anfrage ist: „Bewerte die Wahrscheinlichkeit von Process Hollowing, liste unterstützende Indikatoren auf und nenne, welche Belege noch fehlen.“ So trennt das Ergebnis bestätigte Beobachtungen von Annahmen.
Häufige Fehlermuster im Blick behalten
Der häufigste Fehler ist, Process Hollowing allein aus einer abweichenden Parent-Child-Beziehung abzuleiten. Ein anderer ist, jeden Suspended Process automatisch als bösartig zu behandeln. Verbessern Sie das Ergebnis, indem Sie Baseline-Erwartungen für Parent-Child-Beziehungen, bekannte legitime Admin-Aktivitäten und die Frage mitgeben, ob Speicherbelege oder nur Event-Logs vorliegen.
Nach dem ersten Durchlauf nachschärfen
Nutzen Sie die erste Antwort, um fehlende Informationen zu erkennen, und starten Sie die Skill dann mit diesen Lücken erneut. Wenn die Ausgabe noch unentschieden ist, ergänzen Sie Prozess-Hashes, Command Lines, geladene Module und die Zeitabstände zwischen CreateProcess, WriteProcessMemory und ResumeThread. So wird aus einer generischen detecting-process-hollowing-technique skill-Antwort eine deutlich belastbarere Detection oder Hunt-Notiz.