Dfir

building-incident-timeline-with-timesketch hilft DFIR-Teams dabei, in Timesketch kollaborative Incident-Timelines aufzubauen, indem Plaso-, CSV- oder JSONL-Beweise eingelesen, Zeitstempel normalisiert, Ereignisse miteinander korreliert und Angriffsketten für Triage und Reporting dokumentiert werden.

eradicating-malware-from-infected-systems ist eine Skill für die Cybersecurity-Vorfallsreaktion zur Entfernung von Malware, Backdoors und Persistenzmechanismen nach der Eindämmung. Sie bietet Workflow-Hinweise, Referenzdateien und Skripte für die Bereinigung von Windows- und Linux-Systemen, das Rotieren von Anmeldedaten, die Behebung der Ursache und die Validierung.

Die Skill "detecting-wmi-persistence" hilft Threat Huntern und DFIR-Analysten dabei, WMI-Ereignisabonnement-Persistenz in Windows-Telemetrie mit den Sysmon-Ereignis-IDs 19, 20 und 21 zu erkennen. Nutzen Sie sie, um bösartige Aktivitäten von EventFilter, EventConsumer und FilterToConsumerBinding zu identifizieren, Funde zu validieren und Angreifer-Persistenz von legitimer Admin-Automatisierung zu unterscheiden.

analyzing-malicious-pdf-with-peepdf ist eine Skill für statische Malware-Analyse verdächtiger PDFs. Verwende peepdf, pdfid und pdf-parser, um Phishing-Anhänge zu sichten, Objekte zu prüfen, eingebettetes JavaScript oder Shellcode zu extrahieren und verdächtige Streams sicher ohne Ausführung zu untersuchen.

conducting-memory-forensics-with-volatility hilft dir, RAM-Dumps mit Volatility 3 zu analysieren, um eingeschleusten Code, verdächtige Prozesse, Netzwerkverbindungen, Credential-Diebstahl und versteckte Kernel-Aktivität zu finden. Es ist ein praktischer conducting-memory-forensics-with-volatility-Skill für Digital Forensics und Incident-Response-Triage.

analyzing-windows-prefetch-with-python analysiert Windows-Prefetch-Dateien (.pf) mit windowsprefetch, um Ausführungsverläufe zu rekonstruieren, umbenannte oder getarnte Binärdateien zu erkennen und Triage sowie Malware-Analyse zu unterstützen.

Das Skill „analyzing-windows-amcache-artifacts“ wertet Windows-Amcache.hve-Daten aus, um Hinweise auf Programmausführung, installierte Software, Geräteaktivität und das Laden von Treibern für DFIR- und Security-Audit-Workflows zu gewinnen. Es nutzt AmcacheParser sowie regipy-basierte Hinweise, um die Extraktion von Artefakten, die SHA-1-Korrelation und die Auswertung von Zeitachsen zu unterstützen.

analyzing-mft-for-deleted-file-recovery hilft dabei, Metadaten gelöschter Dateien sowie mögliche Spuren zu Pfad oder Inhalt zu rekonstruieren, indem NTFS-$MFT-Einträge, $LogFile, $UsnJrnl und MFT-Slackspace analysiert werden. Entwickelt für DFIR- und Security-Audit-Workflows mit MFTECmd, analyzeMFT und X-Ways Forensics.