analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Estrellas6.2k

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaMalware Analysis

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-bootkit-and-rootkit-samples

Puntuación editorial

Esta skill obtiene 84/100, lo que la convierte en una candidata sólida para usuarios que necesitan orientación especializada para analizar bootkits y rootkits. El repositorio ofrece suficientes señales de activación, referencias operativas y un script de agente real para que un agente empiece con menos improvisación que con un prompt genérico de malware, aunque todavía deja implícitos algunos detalles de adopción.

84/100

Puntos fuertes

Alta capacidad de activación para casos de malware previo al sistema operativo: el frontmatter y la sección "When to Use" cubren explícitamente persistencia en MBR/VBR/UEFI, problemas de integridad de Secure Boot e indicadores de procesos ocultos/rootkit.
Buena especificidad operativa: el repo incluye referencias concretas a herramientas y comandos para `dd`, `ndisasm`, `UEFITool` y `chipsec`, lo que da a los agentes una base de flujo de trabajo útil.
Soporte de implementación real: `scripts/agent.py` y `references/api-reference.md` indican que esto es más que una guía en texto y que puede apoyar pasos de análisis estructurados.

Puntos a tener en cuenta

No hay comando de instalación en `SKILL.md`, así que puede que los usuarios tengan que configurar por su cuenta la activación y el entorno de ejecución.
El extracto muestra parte del flujo de trabajo, pero no un runbook completo de principio a fin; aún puede requerir criterio para elegir el caso y ejecutar las herramientas con detalle.

Malware Rootkit Bootkit Uefi Mbr Chipsec Forensics

Resumen

Descripción general de analyzing-bootkit-and-rootkit-skill

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para casos en los que la intrusión empieza antes del sistema operativo: código MBR/VBR infectado, persistencia en UEFI y comportamiento de rootkit que se oculta a las herramientas de seguridad normales. Úsala cuando necesites inspeccionar sectores de arranque, módulos de firmware o indicadores anti-rootkit, en lugar de analizar un payload típico en modo usuario.

Esta skill analyzing-bootkit-and-rootkit-samples es ideal para equipos de respuesta a incidentes, reverse engineers y threat hunters que ya sospechan de persistencia por debajo de la capa del sistema operativo. Su objetivo principal es convertir evidencia bruta de disco, firmware o memoria en una evaluación sólida de si hay un bootkit o rootkit presente, cómo persiste y qué conviene revisar después.

Para qué sirve esta skill

La skill se centra en el análisis de malware previo al arranque dentro de flujos de trabajo de Malware Analysis: extracción de MBR, revisión de VBR, inspección de UEFI, comprobaciones de Secure Boot y triaje orientado a rootkits. Es útil cuando el antivirus o el EDR normal no detectan el problema, cuando reinstalar no elimina la intrusión o cuando la integridad del firmware parece sospechosa.

En qué se diferencia esta skill

A diferencia de un prompt genérico, analyzing-bootkit-and-rootkit-samples te da un flujo de trabajo pensado para los artefactos que importan: sectores de disco, volúmenes de firmware y herramientas de inspección de bajo nivel. Por eso encaja mejor en investigaciones con persistencia que los prompts amplios de malware que asumen ejecutables y sandboxing.

Para quién encaja mejor

Elige esta skill si necesitas una guía práctica para analizar analyzing-bootkit-and-rootkit-samples, no una explicación teórica. Está pensada para analistas que pueden recopilar imágenes o volcados, revisar desensamblado y comparar hallazgos con patrones conocidos de sectores de arranque y firmware.

Cómo usar analyzing-bootkit-and-rootkit-skill

Instálala en tu conjunto de skills

Usa el flujo de instalación del repositorio para la instalación de analyzing-bootkit-and-rootkit-samples y después apunta tu agente a la ruta de la skill en skills/analyzing-bootkit-and-rootkit-samples. Empieza cargando la definición de la skill y los archivos de referencia de apoyo para que el flujo, los comandos y las suposiciones sobre herramientas queden alineados.

Lee primero estos archivos

Empieza con SKILL.md y después revisa references/api-reference.md y scripts/agent.py. SKILL.md indica cuándo debe activarse la skill; references/api-reference.md muestra los comandos concretos de análisis; scripts/agent.py revela qué espera la skill que se analice o automatice. Si necesitas información de licencia o procedencia, revisa también LICENSE.

Qué poner en tu prompt

Un prompt sólido para usar analyzing-bootkit-and-rootkit-samples debe nombrar el artefacto, la plataforma y el objetivo. Por ejemplo: “Analiza este volcado de MBR en busca de indicadores de bootkit, compáralo con un MBR limpio de Windows y explica si la tabla de particiones y la firma de arranque parecen normales”. Si tienes firmware, incluye el origen del volcado, el fabricante y si intervino Secure Boot o acceso SPI.

Flujo de trabajo que da mejores resultados

Dale a la skill un tipo de evidencia cada vez: primero MBR/VBR, luego firmware y después trazas de memoria. Pide salidas específicas como el mecanismo de persistencia sospechoso, offsets anómalos y pasos de validación. Así mantienes el análisis enfocado y el resultado es más fácil de comprobar con tus propias herramientas.

Preguntas frecuentes sobre analyzing-bootkit-and-rootkit-skill

¿analyzing-bootkit-and-rootkit-samples es solo para casos avanzados?

En su mayoría, sí. Está diseñada para malware previo al arranque y persistencia de rootkits, así que no es la opción adecuada por defecto para troyanos comunes, scripts o malware de navegador. Si la intrusión sobrevive a una reinstalación, se oculta de los escáneres o modifica el estado del firmware, esta es la opción correcta.

¿En qué se diferencia de un prompt genérico de malware?

Un prompt genérico suele asumir que puedes subir archivos e inspeccionarlos en una sandbox. analyzing-bootkit-and-rootkit-samples, en cambio, parte de evidencia de bajo nivel como sectores de disco, código de arranque, módulos UEFI y comprobaciones de seguridad de hardware. Esa diferencia importa porque la ruta de análisis, las herramientas y los puntos de validación son totalmente distintos.

¿Necesito herramientas especializadas para aprovecharla?

Sí, obtendrás mejores resultados si puedes usar herramientas como dd, ndisasm, herramientas de UEFI y chipsec. La skill sigue siendo útil para planificar e interpretar incluso si no ejecutas todos los comandos directamente, pero rinde más cuando la acompañas con datos reales de disco o firmware.

¿Sirve para principiantes en Malware Analysis?

Puede usarla alguien que empieza y ya entiende conceptos básicos de malware, pero no es amigable para principiantes en el sentido de “sin contexto”. Si eres nuevo, empieza con una recopilación limpia del artefacto y pide a la skill que explique cada hallazgo en términos de persistencia, ocultación y validación.

Cómo mejorar analyzing-bootkit-and-rootkit-skill

Dale mejores evidencias a la skill

La mayor mejora de calidad viene de entradas precisas: imagen exacta del dispositivo, fabricante del firmware, versión del sistema operativo, punto de infección sospechado y cualquier anomalía observada. Para analyzing-bootkit-and-rootkit-samples en Malware Analysis, un buen prompt incluye hashes, offsets, estado de la firma de arranque, estado de Secure Boot y si el problema afecta a MBR, VBR o UEFI.

Pide comparaciones, no solo conclusiones

No preguntes solo “¿esto es malicioso?”. Pide una comparación contra una línea base limpia, rangos de bytes sospechosos y por qué un sector de arranque o un módulo parece alterado. Eso anima a la skill a explicar el hallazgo de una forma que puedas verificar con desensamblado o extracción de firmware.

Vigila los fallos más comunes

El error más frecuente es enviar una petición vaga tipo “revisa este malware” cuando en realidad se trata de persistencia en disco o firmware. Otro fallo habitual es mezclar evidencias de varias capas en un solo prompt, lo que dificulta aislar la causa raíz. Si hace falta, divide la tarea en análisis separados.

Itera después de la primera pasada

Usa el primer resultado para acotar la siguiente petición: pide un desensamblado más profundo, una revisión UEFI módulo por módulo o una lista de comprobación para confirmar un rootkit sospechado. Si la salida es incierta, aporta más contexto bruto y pide a la skill que indique qué artefacto adicional confirmaría o descartaría el hallazgo.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

deobfuscating-javascript-malware ayuda a los analistas a convertir JavaScript malicioso fuertemente ofuscado en código legible para análisis de malware, páginas de phishing, skimmers web, droppers y cargas útiles entregadas por el navegador. Usa esta skill de deobfuscating-javascript-malware para desofuscación estructurada, seguimiento de decodificación y revisión controlada cuando el problema no es una simple minimización.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

Security Audit

Favoritos 0GitHub 0

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts es una skill de análisis de malware para rastrear actualizaciones troyanizadas, dependencias envenenadas y manipulación de canales de compilación. Úsala para comparar artefactos confiables y no confiables, extraer indicadores, evaluar el alcance de la intrusión y redactar hallazgos con menos conjeturas.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-mobile-malware-behavior

por mukul975

La skill de detección de comportamiento de malware móvil analiza apps sospechosas de Android e iOS para detectar abuso de permisos, actividad en tiempo de ejecución, indicadores de red y patrones propios de malware. Úsala para triaje, respuesta a incidentes y detección de comportamiento de malware móvil en flujos de trabajo de auditoría de seguridad, con análisis móviles respaldados por evidencia.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets es una skill de análisis forense blockchain en modo solo lectura para rastrear wallets de pago de ransomware, seguir el movimiento de fondos y agrupar direcciones relacionadas para auditorías de seguridad y respuesta a incidentes. Úsala cuando tengas una dirección BTC, un hash de transacción o una wallet sospechosa y necesites apoyo de atribución con base en evidencia.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

por mukul975

Skill de analyzing-ransomware-encryption-mechanisms para análisis de malware, centrado en identificar el cifrado de ransomware, el manejo de claves y la viabilidad de descifrado. Úsalo para revisar AES, RSA, ChaCha20, esquemas híbridos y fallos de implementación que puedan ayudar a la recuperación.

Malware Analysis

Favoritos 0GitHub 6.1k

extracting-iocs-from-malware-samples

por mukul975

Guía de la skill extracting-iocs-from-malware-samples para análisis de malware: extrae hashes, IP, dominios, URLs, artefactos del host y señales de validación de muestras para threat intel y detección.

Malware Analysis

Favoritos 0GitHub 0

extracting-config-from-agent-tesla-rat

por mukul975

Skill de extracting-config-from-agent-tesla-rat para análisis de malware: extrae la configuración .NET de Agent Tesla, credenciales SMTP/FTP/Telegram, ajustes del keylogger y endpoints de C2 con una guía de trabajo repetible.

Malware Analysis

Favoritos 0GitHub 0