analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaDigital Forensics

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-linux-kernel-rootkits

Puntuación editorial

Este skill obtiene una puntuación de 79/100 porque ofrece contenido de flujo de trabajo real y accionable para analizar rootkits del kernel de Linux, y está lo bastante claro como para que los agentes lo activen sin demasiadas dudas. Para quienes usan el directorio, eso significa que merece la pena instalarlo si necesitan un flujo forense centrado, aunque sigue siendo más especializado que un skill generalista de respuesta a incidentes.

79/100

Puntos fuertes

El disparador y el alcance están claros: en la descripción y la visión general se indica de forma explícita la detección de rootkits a nivel de kernel en volcados de memoria y sistemas en vivo de Linux.
La guía operativa es concreta: el archivo de referencia incluye comandos de plugins de Volatility3, opciones de adquisición de memoria y ejemplos de uso de rkhunter.
El aprovechamiento por parte de agentes es alto: el script incluido muestra una automatización estructurada alrededor de la ejecución de plugins de Volatility3 y el análisis de JSON.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que los usuarios deben inferir los pasos de configuración en lugar de seguir un flujo de incorporación empaquetado.
El skill está muy enfocado en análisis forense y de rootkits, por lo que resulta menos útil fuera de escenarios de volcados de memoria de Linux y escaneo de hosts.

Rootkit Linux Memory Forensics Volatility3 Forensics Security

Resumen

Panorama general de la skill analyzing-linux-kernel-rootkits

analyzing-linux-kernel-rootkits es una skill forense especializada para detectar rootkits de kernel en Linux mediante análisis de memoria, comprobaciones cruzadas y escaneos ligeros del sistema anfitrión. Es ideal para responders de incidentes, analistas DFIR y threat hunters que necesitan decidir si un sistema Linux comprometido está ocultando procesos, módulos, syscalls o credenciales en ring 0. Si estás evaluando analyzing-linux-kernel-rootkits para Digital Forensics, su valor principal no es solo la salida de detección, sino una forma repetible de pasar de la sospecha a la evidencia.

En qué destaca esta skill

La skill se centra en plugins de Volatility3 para Linux como check_syscall, lsmod, hidden_modules, check_idt, pslist, pstree, check_creds y sockstat. También incluye comprobaciones del host basadas en rkhunter y análisis de discrepancias entre /proc y /sys, lo que ayuda a detectar desajustes que las herramientas normales de userland suelen pasar por alto.

Cuándo encaja mejor

Úsala cuando tengas un volcado de memoria de Linux, un sistema en vivo que puedas analizar, o ambos, y necesites una ruta estructurada de triage de rootkits. Es especialmente útil cuando sospechas técnicas sigilosas como syscalls enganchadas, módulos del kernel ocultos o estructuras del kernel manipuladas.

Qué esperar del flujo de trabajo

La skill analyzing-linux-kernel-rootkits está orientada a la evidencia, no a la conversación: debes esperar comandos, selección de plugins e interpretación de discrepancias. Da mejores resultados cuando ya tienes el formato del volcado, la versión del kernel objetivo y una pregunta clara como “¿este host está ocultando actividad?”.

Cómo usar la skill analyzing-linux-kernel-rootkits

Instala y abre primero los archivos correctos

Instala con npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-linux-kernel-rootkits. Luego lee primero SKILL.md, después references/api-reference.md para los patrones de comandos y scripts/agent.py para la lógica de automatización. Si estás decidiendo si ejecutar la skill, esos archivos muestran mejor la ruta real de análisis que una revisión rápida del repo.

Dale a la skill el contexto mínimo útil

Para un uso sólido de analyzing-linux-kernel-rootkits, proporciona: el tipo de adquisición (.lime, raw o volcado parcial), la distro/kernel de destino si se conoce, si el sistema está en vivo u offline, y la sospecha concreta. Buenos ejemplos son: “Analiza este volcado LiME de Ubuntu 22.04 para módulos ocultos y hooks de syscall” o “Comprueba un host Debian en vivo en busca de indicadores de rootkit de kernel usando rkhunter y comprobaciones cruzadas”.

Empieza con comprobaciones cruzadas y luego acota

Una guía práctica de analyzing-linux-kernel-rootkits consiste en comparar vistas antes de sacar conclusiones: lsmod frente a hidden_modules, pslist frente a pstree, /proc frente a /sys, y luego check_syscall y check_idt para buscar evidencia de hooks. Usa rkhunter como corroboración en el host, no como veredicto independiente. Las salidas más útiles son las inconsistencias, no las alertas aisladas.

Vigila las principales limitaciones

Volatility3 depende de una tabla de símbolos del kernel compatible, así que un archivo ISF incorrecto o ausente debilitará los resultados. Los volcados de memoria también pueden ser parciales, estar comprimidos o haberse adquirido de un modo que limite la cobertura de los plugins. Si no puedes hacer una buena coincidencia con el kernel, dilo en el prompt; la skill es más fuerte identificando lagunas sospechosas que fingiendo certeza.

Preguntas frecuentes sobre la skill analyzing-linux-kernel-rootkits

¿Solo sirve para análisis forense de memoria?

No. La skill está pensada para análisis forense de memoria en Linux, pero también admite escaneo de sistemas en vivo con rkhunter y comprobaciones de discrepancias entre vistas en tiempo de ejecución. Para analyzing-linux-kernel-rootkits en Digital Forensics, el análisis de memoria suele ser el camino más sólido, mientras que las comprobaciones en vivo funcionan mejor como corroboración.

¿Necesito ser experto en Volatility3?

No, pero sí necesitas saber qué artefacto tienes. Los principiantes pueden usar la skill si pueden indicar el tipo de volcado y la pregunta que quieren responder. La skill encaja peor si buscas una respuesta genérica de “escanea mi servidor” sin artefactos de evidencia.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele pedir “detección de rootkits” en abstracto. Esta skill es más accionable porque te lleva a plugins concretos de Linux, pasos de correlación y tipos de discrepancias esperables. Eso reduce las conjeturas al analizar analyzing-linux-kernel-rootkits en un flujo real de incidentes.

¿Cuándo no debería usarla?

No te fíes de ella si solo tienes una sospecha vaga y no tienes acceso al host, ni volcado, ni contexto del kernel. Tampoco es una buena opción para sistemas que no sean Linux o para casos en los que necesites más ingeniería inversa de malware que análisis de integridad del kernel.

Cómo mejorar la skill analyzing-linux-kernel-rootkits

Aporta evidencias más precisas

La mayor mejora de calidad llega al dar el artefacto exacto y la pregunta exacta. En lugar de “revisa este sistema”, di “compara pslist y pstree con /proc en esta imagen de memoria de Fedora 38 y luego inspecciona hooks de syscall”. Eso hace que la salida de analyzing-linux-kernel-rootkits sea más específica y más fácil de verificar.

Pide correlación, no solo detección

El trabajo contra rootkits falla cuando el analista se queda en un solo plugin. Pide a la skill que reconcilie resultados entre hidden_modules, check_syscall, check_idt y los listados de procesos, y que luego explique qué hallazgos están corroborados y cuáles son débiles. Ese enfoque es especialmente importante en el uso de la skill analyzing-linux-kernel-rootkits, porque los falsos positivos suelen venir de contexto incompleto.

Mejora el contexto de adquisición y símbolos

Si puedes, proporciona la versión del kernel, la distro, el método de adquisición y la fuente de la tabla de símbolos que coincide. Un mejor contexto de símbolos implica una interpretación de plugins más fiable y menos callejones sin salida. Si tienes un volcado parcial, dilo desde el principio para que el análisis priorice lo que siga siendo fiable.

Itera después de la primera pasada

Usa la primera salida para afinar la siguiente pregunta: pide una búsqueda más estrecha, como solo módulos ocultos, o una validación de una entrada concreta de syscall sospechosa. En analyzing-linux-kernel-rootkits, el acotamiento iterativo suele dar mejores decisiones forenses que una sola petición amplia.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

Digital Forensics

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

deobfuscating-javascript-malware ayuda a los analistas a convertir JavaScript malicioso fuertemente ofuscado en código legible para análisis de malware, páginas de phishing, skimmers web, droppers y cargas útiles entregadas por el navegador. Usa esta skill de deobfuscating-javascript-malware para desofuscación estructurada, seguimiento de decodificación y revisión controlada cuando el problema no es una simple minimización.

Malware Analysis

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

Malware Analysis

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extraer, enriquecer, puntuar y exportar IOCs a partir de evidencia de incidentes. Úsala para flujos de trabajo de Security Audit, intercambio de inteligencia de amenazas y salida en STIX 2.1 cuando necesites una guía práctica de collecting-indicators-of-compromise en lugar de un prompt genérico de respuesta a incidentes.

Security Audit

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

Security Audit

Favoritos 0GitHub 0

building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ayuda a equipos DFIR a crear líneas de tiempo colaborativas de incidentes en Timesketch mediante la ingesta de evidencias en Plaso, CSV o JSONL, la normalización de marcas de tiempo, la correlación de eventos y la documentación de cadenas de ataque para la triage y la elaboración de informes de incidentes.

Incident Triage

Favoritos 0GitHub 6.1k

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

Malware Analysis

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

hunting-advanced-persistent-threats

por mukul975

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

Threat Hunting

Favoritos 0GitHub 0

extracting-windows-event-logs-artifacts

por mukul975

extracting-windows-event-logs-artifacts te ayuda a extraer, analizar y examinar Windows Event Logs (EVTX) para forense digital, respuesta a incidentes y threat hunting. Permite revisar de forma estructurada inicios de sesión, creación de procesos, instalaciones de servicios, tareas programadas, cambios de privilegios y borrado de registros con Chainsaw, Hayabusa y EvtxECmd.

Digital Forensics

Favoritos 0GitHub 0