memory-forensics

von wshobson

Das memory-forensics Skill unterstützt bei RAM-Erfassung und Dump-Analyse mit Volatility 3. Behandelt Installationskontext, typische Arbeitsabläufe, Artefakt-Extraktion und Incident-Triage für Windows-, Linux-, macOS- und VM-Speicher.

Stars32.6k

Favoriten0

Kommentare0

Hinzugefügt30. März 2026

KategorieIncident Triage

Installationsbefehl

npx skills add wshobson/agents --skill memory-forensics

Kurationswert

Dieses Skill erreicht 76/100 und ist damit ein solider Verzeichniseintrag für Nutzer, die ein wiederverwendbares Playbook für Memory Forensics suchen statt nur eines generischen Prompts. Das Repository liefert klaren Einsatzkontext und umfangreiche, befehlsorientierte Inhalte zu Erfassung und Volatility-basierter Analyse. Nutzer sollten jedoch mit reiner Dokumentationshilfe rechnen, bei der ein Teil von Setup und Entscheidungsfindung weiterhin bei ihnen selbst liegt.

76/100

Stärken

Klare Auslösbarkeit über das Frontmatter: Es wird ausdrücklich angegeben, dass das Skill für Memory Dumps, Incident-Untersuchungen und Malware-Analysen aus RAM-Erfassungen gedacht ist.
Substanzieller operativer Inhalt: Das Skill enthält konkrete Erfassungsbefehle für Windows-, Linux-, macOS- und VM-Speicherquellen sowie Hinweise zu Installation und Einrichtung von Volatility 3.
Gute Hebelwirkung für Agents als Workflow-Referenz: Das Dokument ist umfangreich und entlang mehrerer Analysebereiche strukturiert, statt nur ein Platzhalter oder eine dünne Demo zu sein.

Hinweise

Reines Dokumentations-Skill: Es gibt keine Skripte, Referenzdateien, Regeln oder Hilfsressourcen; die Ausführung hängt also davon ab, dass Agent oder Nutzer bereits wissen, wie die Befehle sicher anzuwenden sind.
Die Klarheit bei Installation und Einführung ist nur mittel: In `SKILL.md` gibt es keinen Installationsbefehl, und die strukturellen Signale zeigen nur begrenzt explizite Einschränkungen oder praxisnahe Anleitung.

Reverse Engineering Security Monitoring Python Cli

Überblick

Überblick zum memory-forensics-Skill

Was der memory-forensics-Skill leistet

Der memory-forensics-Skill unterstützt einen Agenten dabei, RAM-Erfassung und Speicherabbildanalyse mit etablierten Tools wie Volatility 3 und gängigen Capture-Utilities strukturiert durchzuführen. Er ist für Incident Response, Malware-Triage und Host-Untersuchungen gedacht, wenn Artefakte auf dem Datenträger allein nicht ausreichen.

Für wen dieser Skill am besten geeignet ist

Dieser memory-forensics-Skill passt besonders gut für:

Responders, die einen vermuteten Kompromittierungsfall unter Windows, Linux oder macOS bearbeiten
Analysten, die ein erfasstes Memory Image oder eine VM-Speicherdatei untersuchen
Nutzer, die eine praxisnahe Ausgangsstruktur für Prozess-, Netzwerk- und Artefaktanalyse brauchen
Teams, die memory-forensics für Incident Triage einsetzen und nicht für tiefgehende Kernel-Forschung

Weniger sinnvoll ist er, wenn Sie noch kein Memory Image haben, keines rechtlich oder sicher erfassen können oder nur eine einfache Log-Auswertung benötigen.

Der eigentliche Job-to-be-done

Die meisten Nutzer brauchen keine Geschichtsstunde zur Speicheranalyse. Sie wollen Antworten auf Fragen wie:

Was ist die sicherste Methode, RAM auf diesem System zu erfassen?
Wie analysiere ich den Dump mit dem richtigen Tool und den passenden Symbolen?
Welche Prozesse, welcher injizierte Code, welche Zugangsdaten, Sockets und Persistenzhinweise sollten zuerst geprüft werden?
Wie mache ich aus einem vagen Verdacht einen wiederholbaren memory-forensics-Leitfaden?

Der Skill ist wertvoll, weil er diese Aufgaben in einen nutzbaren Workflow bündelt, statt den Agenten von einem leeren Prompt aus improvisieren zu lassen.

Wodurch sich dieser Skill abhebt

Der wichtigste Unterschied ist die Breite über den gesamten memory-forensics-Ablauf hinweg: Erfassungsoptionen, VM-Capture, Volatility-Setup und Untersuchungskategorien wie Prozesse, DLLs, Netzwerk, Registry-Daten, Malware-Indikatoren und Extraktion. Er ist operativer als ein generischer Prompt wie „analyze this dump“, vor allem wenn der Agent den nächsten forensischen Schritt empfehlen soll und nicht nur Tool-Namen auflisten soll.

Was Sie vor der Installation wissen sollten

Dieser Repository-Pfad enthält eine einzelne SKILL.md mit der Anleitung. Im Skill-Ordner gibt es keine Hilfsskripte, vorgepackten Symbole, Automatisierungsregeln oder Beispieldatensätze. Die memory-forensics-Installation ist damit schlank, aber die Qualität der Ausgabe hängt stark von den Details ab, die Sie mitgeben: Betriebssystem, Erfassungsmethode, Dateiformat, vermutete Bedrohung und die konkrete Frage, die beantwortet werden soll.

So verwenden Sie den memory-forensics-Skill

Installationskontext für den memory-forensics-Skill

Installieren Sie den Skill aus dem Repository und rufen Sie ihn auf, wenn Ihre Aufgabe Memory Capture, Volatility-basierte Analyse oder Artefaktextraktion aus RAM umfasst.

npx skills add https://github.com/wshobson/agents --skill memory-forensics

Da der Skill-Ordner nur SKILL.md bereitstellt, gibt es kaum verstecktes Verhalten. Sie erhalten strukturierte Anleitung, keine sofort einsetzbare Forensik-Pipeline.

Diese Datei zuerst lesen

Beginnen Sie mit:

plugins/reverse-engineering/skills/memory-forensics/SKILL.md

Da es im Ordner keine begleitenden Skripte oder Referenzen gibt, ist das Lesen von SKILL.md praktisch der vollständige Repository-Lesepfad für diesen Skill.

Welche Eingaben der Skill braucht, um gut zu funktionieren

Der memory-forensics-Skill liefert die besten Ergebnisse, wenn Sie konkreten forensischen Kontext angeben. Dazu gehören:

Ziel-OS und Version, falls bekannt
Pfad und Format des Memory Image, etwa .raw, .lime, .elf oder VM-Speicher
ob das Image aus einem Live-Capture, einem Hypervisor-Snapshot oder einem Endpoint-Tool stammt
Analyseziel: Triage, Malware-Bestätigung, Credential Theft, injizierter Code, verdächtige Netzwerkaktivität
bekannte Indikatoren: Hostname, Benutzernamen, Prozessnamen, Hashes, IPs, Domains, Zeitstempel
verfügbare Tools: vol, python, Symbolpakete, YARA-Regeln, strings, grep

Ohne diese Angaben fällt der Agent auf einen allgemeinen memory-forensics-Nutzungsplan zurück statt auf eine gezielte Untersuchung.

Ein grobes Ziel in einen guten Prompt verwandeln

Schwacher Prompt:

„Analyze this memory dump.“

Stärkerer Prompt:

„Use the memory-forensics skill to triage a Windows 10 memory image at evidence/win10.raw. Prioritize suspicious processes, network connections, DLL injection, LSASS access, persistence clues, and files worth extracting. Assume I have Volatility 3 installed but not Windows symbols. Give me a step-by-step command sequence and explain what findings would be high priority for incident triage.”

Die stärkere Variante verbessert die Ergebnisse, weil sie dem Skill eine Plattform, eine Datei, ein Ziel und klare Erwartungen an die Ausgabe vorgibt.

Beispiel-Prompt für memory-forensics bei Incident Triage

Nutzen Sie einen Prompt wie diesen, wenn Geschwindigkeit wichtig ist:

Use the memory-forensics skill for Incident Triage on a Linux memory image captured with LiME. I need a prioritized workflow: identify suspicious processes, loaded modules, open sockets, shell history or credentials in memory if feasible, and anything that suggests rootkit or malware activity. Recommend Volatility 3 commands, note any plugin limitations, and tell me what to extract for follow-up.

So bleibt die Ausgabe praxisnah und auf Triage ausgerichtet, statt in allgemeine Theorie abzudriften.

Typischer Workflow, den der Skill unterstützt

Ein gutes Nutzungsmuster ist:

Quelle und Format des Memory Image bestimmen.
Plattform bestätigen und die passende, erfassungsspezifische Behandlung wählen.
Volatility 3 und gegebenenfalls benötigte Symbole einrichten.
Eine Basisenumeration für Prozesse, Command Lines, Netzwerkverbindungen, Module und Handles durchführen.
In verdächtige Artefakte hineinzoomen: injizierter Code, Credential-Material, Registry-Daten, Browser-Spuren oder Hinweise auf Malware-Unpacking.
Hochwertige Artefakte zur Offline-Prüfung extrahieren.
Ergebnisse mit Vertrauensgrad und nächsten Schritten zusammenfassen.

Am hilfreichsten ist der Skill, wenn Sie ihn als entscheidungsorientierten Workflow anfordern und nicht nur als Liste von Plugins.

Was der Skill tatsächlich gut abdeckt

Aus dem Quellinhalt geht hervor, dass dieser memory-forensics-Leitfaden besonders stark ist bei:

Live-Erfassungsoptionen für Windows, Linux und macOS
Sammlung von VM-Speicher
Installation und Einrichtung von Volatility 3
Prozess- und Artefaktanalyse aus Dumps
Malware-Analyse und Extraktionsaufgaben

Das macht ihn besonders nützlich, wenn Ihr Engpass die Wahl des nächsten Befehls oder der nächsten Artefaktkategorie zur Prüfung ist.

Praktische Hinweise zu Installation und Umgebung

Der Skill verweist auf Volatility 3; planen Sie daher ein:

Management der Python-Umgebung
Verfügbarkeit von Symbolen, insbesondere unter Windows
ausreichend Speicherplatz für große Memory Images
berechtigungssensible Erfassung auf Live-Systemen
Formatunterschiede zwischen Raw-Dumps, ELF-artigen Captures und Hypervisor-Ausgaben

In der Praxis sind viele fehlgeschlagene erste Durchläufe eher Umgebungsprobleme als Analyseprobleme. Wenn der Agent helfen soll, sagen Sie genau, was fehlgeschlagen ist: Installationsfehler, Symbolproblem, nicht unterstütztes Format oder Plugin-Mismatch.

Tipps, die die Ausgabequalität spürbar verbessern

Für bessere memory-forensics-Ergebnisse mit dem Agenten:

verlangen Sie Workflows Befehl für Befehl statt nur Konzepte
bitten Sie um eine Trennung zwischen „Triage zuerst“ und „Deep Dive später“
geben Sie bekannte verdächtige Prozessnamen oder IPs an, damit der Agent sinnvolle Pivots bilden kann
fragen Sie nach erwarteten Ausgaben und wie Anomalien zu interpretieren sind
bitten Sie darum, Stellen zu markieren, an denen Volatility 3 Symbole braucht oder ein Plugin nicht zu Ihrem OS passt

Solche Prompts reduzieren vage Ratschläge und zwingen den Skill in einen operativen Modus.

Was dieser Skill nicht automatisiert

Dies ist keine verpackte Forensik-Suite. Der memory-forensics-Skill liefert nicht:

Acquisition-Binaries
kuratierte Symbol-Bundles
Validierungsskripte
Chain-of-Custody-Tooling
One-Click-Report-Erstellung

Wenn Sie End-to-End-Automatisierung brauchen, behandeln Sie diesen Skill als Analyseanleitung und Befehlsgerüst, nicht als Ersatz für Ihr Forensik-Toolkit.

FAQ zum memory-forensics-Skill

Ist dieser memory-forensics-Skill für Einsteiger geeignet?

Ja, sofern Sie die grundlegende Arbeit auf der Kommandozeile verstehen und wissen, was ein Memory Image ist. Der Skill gibt genug Struktur für den Einstieg, nimmt Ihnen aber nicht das Wissen über Plattform, verfügbare Tools und Untersuchungsziel ab. Absolute Einsteiger brauchen für die Volatility-Installation und den Umgang mit Symbolen unter Umständen trotzdem zusätzliche Hilfe.

Wann ist der memory-forensics-Skill die bessere Wahl als ein normaler Prompt?

Verwenden Sie den memory-forensics-Skill, wenn der Agent innerhalb eines forensischen Workflows bleiben soll: Erfassung, Triage, Artefaktextraktion und malware-orientierte Pivots. Ein generischer Prompt liefert oft vage Hinweise, während dieser Skill eher realistische Tools, Befehle und eine sinnvolle Untersuchungsreihenfolge vorschlägt.

Enthält die memory-forensics-Installation Tools wie Volatility?

Nein. Die memory-forensics-Installation fügt die Skill-Anleitung hinzu, nicht die Forensik-Binaries. Tools wie volatility3 müssen Sie weiterhin selbst installieren und validieren.

Kann ich ihn für Anleitung zur Live-RAM-Erfassung nutzen?

Ja. Der Quellinhalt umfasst ausdrücklich Live-Erfassungsansätze für Windows, Linux und macOS sowie die Erfassung von VM-Speicher. Dennoch sollten Sie das operative Risiko prüfen, bevor Sie RAM auf Produktivsystemen oder potenziell instabilen Hosts erfassen.

Eignet er sich für Malware-Analyse?

Ja. Der Skill passt gut, wenn Malware nur im Speicher sichtbar sein könnte, etwa über injizierten Code, entpackte Payloads, verdächtige Module oder Artefakte laufender Prozesse. Besonders nützlich ist er, wenn datenträgerbasierte Scans kein vollständiges Bild liefern.

Wann sollte ich diesen Skill nicht verwenden?

Überspringen Sie diesen memory-forensics-Leitfaden, wenn:

Sie kein Memory Image haben und keines erfassen können
Ihre Aufgabe reine Disk-Forensik oder SIEM-Auswertung ist
Sie eher gerichtsfeste Verfahrensdokumentation als analytische Anleitung brauchen
Sie automatisierte Auswertung ohne Tool-Setup oder Operator-Eingaben erwarten

Passt er nur für Windows-Analysen?

Nein. Der Skill deckt Windows, Linux, macOS und VM-Memory-Capture-Pfade ab. Die praktische Tiefe ist aber meist dort am höchsten, wo Ihre Tools und Symbole am besten sind; nennen Sie dem Agenten Ihre Zielplattform deshalb frühzeitig.

So verbessern Sie den memory-forensics-Skill

Geben Sie dem Agenten besseren forensischen Kontext

Der schnellste Weg zu besseren memory-forensics-Ergebnissen ist stärkeres Beweismaterial von Anfang an. Geben Sie an:

exakten Dateinamen und das genaue Format
Erfassungsquelle
OS-Familie
vermutetes Verhalten
bekannte IOCs
was Sie bereits ausprobiert haben

So kann der Agent die richtigen Plugins, die passende Reihenfolge und sinnvolle Pivots wählen, statt nur eine generische Checkliste zu erzeugen.

Verlangen Sie priorisierte statt erschöpfende Analyse

Ein häufiger Fehler ist eine riesige Liste möglicher Prüfungen ohne Triage-Reihenfolge. Bitten Sie den memory-forensics-Skill, Schritte so zu priorisieren:

sofortige Triage
hochwertige Nachverfolgung
optionale Tiefenanalyse

Dieses Format ist im Incident Response-Alltag deutlich nützlicher.

Erzwingen Sie die Interpretation der Befehlsausgabe

Fragen Sie nicht nur nach Befehlen. Fragen Sie auch, wie verdächtige Ausgabe aussehen würde. Zum Beispiel:

ungewöhnliche Parent-Child-Prozessketten
versteckte oder beendete, aber noch residente Prozesse
auffällige Netzwerk-Listener
Hinweise auf LSASS-Zugriffe
unsignierte oder ungewöhnlich platzierte Module

Gerade bei der Interpretation liefert dieser Skill mehr Mehrwert als reine Befehlslisten.

Verbessern Sie Prompts mit klaren Scope-Grenzen

Gute Prompts definieren Einschränkungen wie:

„Windows only“
„Volatility 3 only“
„No internet access for symbol downloads“
„Need findings in under 30 minutes“
„Focus on credential theft and C2“

Solche Grenzen machen memory-forensics-Empfehlungen realistischer und leichter umsetzbar.

Iterieren Sie nach der ersten Ausgabe

Nach der ersten Antwort sollten Sie dem Agenten echte Funde zurückgeben:

verdächtige PIDs
Modulnamen
IP-Adressen
Prozess-Command-Lines
extrahierte Dateinamen
Plugin-Fehler

Bitten Sie dann um die nächsten Pivots. Der memory-forensics-Skill wird deutlich nützlicher, sobald er sich von einer breiten Triage auf evidenzgetriebene Nachverfolgung verengen kann.

Achten Sie auf typische Fehlerbilder

Typische Probleme sind:

falsche Annahmen über OS-Profil oder Symbole
Empfehlungen für Erfassungsschritte, obwohl bereits ein Dump vorliegt
zu starke Gewichtung vollständiger Enumeration statt Triage
Plugins ohne Erklärung, warum sie relevant sind
ignorierter Dateiformat- oder Hypervisor-Kontext

Sie können das reduzieren, indem Sie Ihre aktuelle Phase klar benennen: Erfassung, Setup, Baseline-Triage, Malware-Hunt oder Extraktion.

Nutzen Sie den Skill als Workflow-Vorlage

Eine der besten Möglichkeiten, diesen memory-forensics-Leitfaden praktisch aufzuwerten, ist seine Struktur fallübergreifend wiederzuverwenden. Bitten Sie den Agenten, den Skill umzuwandeln in:

eine Triage-Checkliste
ein fallspezifisches Runbook
eine wiederverwendbare Prompt-Vorlage für Ihr Team
einen Befehlsplan mit Platzhaltern für Image-Pfad, Host und IOC-Set

So wird aus einer einmaligen Antwort ein wiederverwendbares Asset für die Incident Response.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

conducting-malware-incident-response

von mukul975

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

Incident Response

Favoriten 0GitHub 0

detecting-lateral-movement-with-zeek

von mukul975

detecting-lateral-movement-with-zeek ist eine Zeek-basierte Cybersecurity-Skill für Threat Hunting und Incident Response. Sie hilft dabei, SMB-Zugriffe auf Admin-Freigaben, DCE/RPC-Dienst-Erstellungen, NTLM-Spraying, Kerberos-Anomalien und verdächtige interne Übertragungen zu erkennen – mit Zeek-Logs wie `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` und `kerberos.log`.

Threat Hunting

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

detecting-privilege-escalation-attempts

von mukul975

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

Threat Hunting

Favoriten 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

von mukul975

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

Threat Hunting

Favoriten 0GitHub 0

analyzing-network-traffic-for-incidents

von mukul975

analyzing-network-traffic-for-incidents hilft Incident Respondern dabei, PCAPs, Flow-Logs und Paketmitschnitte zu analysieren, um C2, laterale Bewegung, Exfiltration und Exploit-Versuche zu bestätigen. Entwickelt für analyzing-network-traffic-for-incidents im Incident Response mit Wireshark, Zeek und NetFlow-ähnlicher Analyse.

Incident Response

Favoriten 0GitHub 0

detecting-insider-threat-behaviors

von mukul975

detecting-insider-threat-behaviors hilft Analysten dabei, Insider-Risikosignale wie ungewöhnlichen Datenzugriff, Aktivitäten außerhalb der Arbeitszeiten, Massendownloads, Missbrauch von Berechtigungen und an Kündigung gekoppelte Datendiebstähle aufzuspüren. Nutzen Sie diesen detecting-insider-threat-behaviors-Guide für Threat Hunting, UEBA-ähnliches Triage und Threat Modeling mit Workflow-Vorlagen, SIEM-Abfragebeispielen und Risikogewichtungen.

Threat Modeling

Favoriten 0GitHub 0

detecting-command-and-control-over-dns

von mukul975

detecting-command-and-control-over-dns ist eine Cybersecurity-Skill für das Erkennen von C2 über DNS, einschließlich Tunneling, Beaconing, DGA-Domains und Missbrauch von TXT/CNAME. Sie unterstützt SOC-Analysten, Threat Hunter und Security Audits mit Entropieprüfungen, passiver DNS-Korrelation und Erkennungs-Workflows im Stil von Zeek oder Suricata.

Security Audit

Favoriten 0GitHub 0

deploying-osquery-for-endpoint-monitoring

von mukul975

Leitfaden zu deploying-osquery-for-endpoint-monitoring für die Bereitstellung und Konfiguration von osquery für Endpoint-Transparenz, flächendeckendes Monitoring und SQL-gestütztes Threat Hunting. Nutzen Sie ihn, um die Installation zu planen, den Workflow und die API-Referenzen nachzuvollziehen und geplante Abfragen, Log-Erfassung sowie die zentrale Auswertung auf Windows-, macOS- und Linux-Endpoints zu operationalisieren.

Monitoring

Favoriten 0GitHub 0

correlating-security-events-in-qradar

von mukul975

correlating-security-events-in-qradar unterstützt SOC- und Detection-Teams dabei, IBM QRadar Offenses mit AQL, Offense-Kontext, Custom Rules und Referenzdaten zu korrelieren. Nutzen Sie diesen Leitfaden, um Vorfälle zu untersuchen, False Positives zu reduzieren und stärkere Korrelationslogik für Incident Response aufzubauen.

Incident Response

Favoriten 0GitHub 0

analyzing-windows-event-logs-in-splunk

von mukul975

Die Skill "analyzing-windows-event-logs-in-splunk" hilft SOC-Analysten dabei, Windows-Sicherheits-, System- und Sysmon-Logs in Splunk auf Authentifizierungsangriffe, Privilegieneskalation, Persistenz und laterale Bewegung zu untersuchen. Nutzen Sie sie für Incident-Triage, Detection Engineering und Zeitachsenanalysen mit zugeordneten SPL-Mustern und Hinweisen zu Event-IDs.

Incident Triage

Favoriten 0GitHub 0

analyzing-windows-amcache-artifacts

von mukul975

Das Skill „analyzing-windows-amcache-artifacts“ wertet Windows-Amcache.hve-Daten aus, um Hinweise auf Programmausführung, installierte Software, Geräteaktivität und das Laden von Treibern für DFIR- und Security-Audit-Workflows zu gewinnen. Es nutzt AmcacheParser sowie regipy-basierte Hinweise, um die Extraktion von Artefakten, die SHA-1-Korrelation und die Auswertung von Zeitachsen zu unterstützen.

Security Audit

Favoriten 0GitHub 0

analyzing-powershell-empire-artifacts

von mukul975

Die Fähigkeit analyzing-powershell-empire-artifacts unterstützt Security-Audit-Teams dabei, PowerShell-Empire-Artefakte in Windows-Protokollen zu erkennen – mit Script Block Logging, Base64-Launcher-Mustern, Stager-IOCs, Modulsignaturen und Erkennungsreferenzen für Triage und Regelentwicklung.

Security Audit

Favoriten 0GitHub 0

analyzing-network-traffic-of-malware

von mukul975

analyzing-network-traffic-of-malware hilft dabei, PCAPs und Telemetrie aus Sandbox-Läufen oder der Incident Response auszuwerten, um C2, Exfiltration, Payload-Downloads, DNS-Tunneling und Ansatzpunkte für Detektionen zu finden. Es ist ein praktischer Leitfaden zu analyzing-network-traffic-of-malware für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

analyzing-linux-system-artifacts

von mukul975

analyzing-linux-system-artifacts hilft dabei, Linux-Hosts auf Kompromittierung zu untersuchen, indem Auth-Logs, Shell-Historie, Cron-Jobs, systemd-Services, SSH-Keys und andere Persistenzspuren geprüft werden. Diese Anleitung zu analyzing-linux-system-artifacts eignet sich für Security-Audits, Incident Response und forensische Triage. Sie enthält praxisnahe Hinweise zu Installation und Nutzung.

Security Audit

Favoriten 0GitHub 0

analyzing-indicators-of-compromise

von mukul975

Analyzing Indicators of Compromise hilft bei der Triage von IOCs wie IPs, Domains, URLs, Dateihashes und E-Mail-Artefakten. Es unterstützt Threat-Intelligence-Workflows für Enrichment, Vertrauensbewertung und Block-/Monitor-/Whitelist-Entscheidungen mithilfe quellengestützter Prüfungen und klarem Analystenkontext.

Threat Intelligence

Favoriten 0GitHub 0