Digital Forensics

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

building-incident-timeline-with-timesketch ayuda a equipos DFIR a crear líneas de tiempo colaborativas de incidentes en Timesketch mediante la ingesta de evidencias en Plaso, CSV o JSONL, la normalización de marcas de tiempo, la correlación de eventos y la documentación de cadenas de ataque para la triage y la elaboración de informes de incidentes.

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

extracting-windows-event-logs-artifacts te ayuda a extraer, analizar y examinar Windows Event Logs (EVTX) para forense digital, respuesta a incidentes y threat hunting. Permite revisar de forma estructurada inicios de sesión, creación de procesos, instalaciones de servicios, tareas programadas, cambios de privilegios y borrado de registros con Chainsaw, Hayabusa y EvtxECmd.

Guía de extracting-memory-artifacts-with-rekall para analizar imágenes de memoria de Windows con Rekall. Aprende patrones de instalación y uso para detectar procesos ocultos, código inyectado, VAD sospechosos, DLL cargadas y actividad de red en tareas de informática forense digital.

La skill extracting-credentials-from-memory-dump ayuda a analizar volcados de memoria de Windows para extraer hashes NTLM, secretos de LSA, material de Kerberos y tokens mediante flujos de trabajo con Volatility 3 y pypykatz. Está pensada para análisis forense digital y respuesta a incidentes cuando necesitas evidencia sólida, evaluar el impacto en cuentas y obtener orientación de remediación a partir de un volcado válido.

Guía de la skill extracting-iocs-from-malware-samples para análisis de malware: extrae hashes, IP, dominios, URLs, artefactos del host y señales de validación de muestras para threat intel y detección.

Skill de extracting-config-from-agent-tesla-rat para análisis de malware: extrae la configuración .NET de Agent Tesla, credenciales SMTP/FTP/Telegram, ajustes del keylogger y endpoints de C2 con una guía de trabajo repetible.

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

La habilidad detecting-stuxnet-style-attacks ayuda a los defensores a detectar patrones de intrusión OT e ICS al estilo Stuxnet, incluyendo manipulación de la lógica de PLC, datos de sensores suplantados, compromiso de estaciones de trabajo de ingeniería y movimiento lateral de IT a OT. Úsala para threat hunting, triaje de incidentes y monitoreo de la integridad de procesos con evidencia de protocolos, hosts y procesos.

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

detecting-arp-poisoning-in-network-traffic ayuda a detectar ARP spoofing en tráfico en vivo o en archivos PCAP con ARPWatch, Dynamic ARP Inspection, Wireshark y comprobaciones en Python. Está pensada para respuesta a incidentes, triaje en SOC y análisis repetible de cambios IP a MAC, ARP gratuitos e indicadores de MITM.

analyzing-outlook-pst-for-email-forensics es una habilidad de análisis forense digital para examinar archivos Outlook PST y OST y revisar contenido de mensajes, encabezados, adjuntos, elementos eliminados, marcas de tiempo y metadatos. Sirve para la revisión de evidencias de correo, la reconstrucción de líneas de tiempo y flujos de trabajo de investigación sólidos y defendibles para respuesta a incidentes y casos legales.

analyzing-packed-malware-with-upx-unpacker es una skill de análisis de malware para identificar muestras empaquetadas con UPX, manejar cabeceras UPX modificadas y recuperar el ejecutable original para revisión estática en Ghidra o IDA. Úsala cuando `upx -d` falle o cuando necesites una comprobación más rápida de empaquetado UPX y un flujo de desempaquetado.

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

analyzing-memory-dumps-with-volatility es una skill de Volatility 3 para forense de memoria, triaje de malware, procesos ocultos, inyección, actividad de red y credenciales en volcados de RAM en Windows, Linux o macOS. Úsala cuando necesites una guía repetible de analyzing-memory-dumps-with-volatility para respuesta a incidentes y análisis de malware.

analyzing-malicious-pdf-with-peepdf es una skill de análisis estático de malware para PDFs sospechosos. Usa peepdf, pdfid y pdf-parser para clasificar adjuntos de phishing, inspeccionar objetos, extraer JavaScript o shellcode incrustado y revisar de forma segura flujos sospechosos sin ejecución.

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.