Reverse Engineering

Das memory-forensics Skill unterstützt bei RAM-Erfassung und Dump-Analyse mit Volatility 3. Behandelt Installationskontext, typische Arbeitsabläufe, Artefakt-Extraktion und Incident-Triage für Windows-, Linux-, macOS- und VM-Speicher.

protocol-reverse-engineering unterstützt Agents dabei, unbekannte Netzwerkprotokolle mit Wireshark, tshark, tcpdump und MITM-Workflows zu erfassen, zu untersuchen und zu dokumentieren. Besonders geeignet für das Debugging von benutzerdefiniertem Client-/Server-Traffic, die Analyse von PCAPs sowie das Nachvollziehen von Nachrichtenstruktur, Request-Ablauf und Feldbedeutungen.

anti-reversing-techniques ist eine Reverse-Engineering-Skill für autorisierte Malware-Analysen, CTF-Aufgaben, die Ersteinschätzung gepackter Binärdateien und Security-Audits. Sie hilft dabei, Muster für Anti-Debugging, Anti-VM, Packing und Obfuskation zu erkennen und anschließend mit der Core-Skill und der erweiterten Referenz einen praxisnahen Analyse-Workflow zu wählen.

binary-analysis-patterns ist ein Reverse-Engineering-Skill zur Interpretation von x86-64-Disassembly, Calling Conventions, Stack Frames und Control Flow, um Binary Reviews und Security Audit-Arbeiten schneller zu unterstützen.

analyzing-supply-chain-malware-artifacts ist eine Malware-Analyse-Skill für das Nachverfolgen von trojanisierten Updates, kompromittierten Abhängigkeiten und Manipulationen in Build-Pipelines. Nutzen Sie sie, um vertrauenswürdige und unzuverlässige Artefakte zu vergleichen, Indikatoren zu extrahieren, den Umfang einer Kompromittierung einzuschätzen und Ergebnisse mit weniger Rätselraten zu berichten.

Skill zu analyzing-ransomware-encryption-mechanisms für Malware-Analyse mit Fokus auf die Erkennung von Ransomware-Verschlüsselung, Schlüsselverwaltung und der Frage, ob eine Entschlüsselung möglich ist. Geeignet, um AES-, RSA-, ChaCha20- und hybride Verfahren sowie Implementierungsfehler zu untersuchen, die eine Wiederherstellung unterstützen können.

Leitfaden zu extracting-memory-artifacts-with-rekall für die Analyse von Windows-Speicherabbildern mit Rekall. Er zeigt Installations- und Nutzungsmuster, um versteckte Prozesse, injizierten Code, verdächtige VADs, geladene DLLs und Netzwerkaktivitäten für die Digitale Forensik zu finden.

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

analyzing-windows-prefetch-with-python analysiert Windows-Prefetch-Dateien (.pf) mit windowsprefetch, um Ausführungsverläufe zu rekonstruieren, umbenannte oder getarnte Binärdateien zu erkennen und Triage sowie Malware-Analyse zu unterstützen.

analyzing-uefi-bootkit-persistence hilft bei der Untersuchung von Persistenz auf UEFI-Ebene, einschließlich SPI-Flash-Implants, Manipulationen am ESP, Secure-Boot-Bypasses und verdächtigen Änderungen an UEFI-Variablen. Es ist für Firmware-Triage, Incident Response und Analyzing-UEFI-Bootkit-Persistence im Rahmen von Security-Audit-Arbeiten konzipiert und liefert praxisnahe, evidenzbasierte Orientierung.

analyzing-command-and-control-communication hilft dabei, Malware-C2-Traffic zu analysieren, Beaconing zu erkennen, Befehle zu dekodieren, Infrastruktur zuzuordnen und Security Audits, Threat Hunting sowie Malware-Triage mit PCAP-basierten Belegen und praxisnahen Workflow-Hinweisen zu unterstützen.