analyzing-uefi-bootkit-persistence

por mukul975

analyzing-uefi-bootkit-persistence ayuda a investigar la persistencia a nivel UEFI, incluidos implantes en la SPI flash, manipulación de la ESP, evasiones de Secure Boot y cambios sospechosos en variables UEFI. Está pensado para triaje de firmware, respuesta a incidentes y trabajo de Security Audit con una guía práctica, basada en evidencias, para analyzing-uefi-bootkit-persistence.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-uefi-bootkit-persistence

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una candidata sólida para usuarios del directorio que necesitan un flujo de trabajo centrado en el análisis de persistencia de bootkits UEFI. El repositorio aporta suficiente orientación concreta de análisis, referencias a herramientas y un enfoque de uso defensivo como para que un agente pueda activarla con menos ambigüedad que con un prompt genérico de ciberseguridad, aunque aun así conviene esperar cierta adaptación específica según la implementación.

78/100

Puntos fuertes

Alta activabilidad: la descripción y la sección 'When to Use' apuntan de forma explícita al análisis de malware UEFI, la investigación de persistencia en firmware, la detección de evasiones de Secure Boot y la verificación de la integridad de la cadena de arranque.
Profundidad operativa: el contenido es amplio, con flujo de trabajo orientado a tareas, ejemplos de código y un archivo de referencia para operaciones de SPI flash y variables UEFI basadas en chipsec.
Aprovechamiento para agentes: el script de análisis en Python y las firmas/IOCs conocidos de bootkits aportan artefactos concretos para triaje y detección centrados en firmware.

Puntos a tener en cuenta

No incluye comando de instalación en SKILL.md, así que los usuarios quizá tengan que integrarla manualmente en su flujo de trabajo.
El repositorio parece orientado al análisis defensivo más que a una cadena de herramientas completa de extremo a extremo, por lo que en algunos casos seguirá haciendo falta acceso externo al firmware, configurar chipsec o aplicar criterio de analista.

Security Cybersecurity Reverse Engineering Forensics Uefi Firmware Chipsec

Resumen

Descripción general de la skill analyzing-uefi-bootkit-persistence

Qué hace esta skill

La skill analyzing-uefi-bootkit-persistence te ayuda a investigar persistencia a nivel UEFI, incluidos implantes en SPI flash, manipulación de la EFI System Partition (ESP), actividad de bypass de Secure Boot y cambios sospechosos en variables UEFI. Resulta especialmente útil para equipos de respuesta a incidentes, revisores de seguridad de firmware y defensores que hacen trabajo de analyzing-uefi-bootkit-persistence for Security Audit.

Para quién encaja mejor

Usa esta skill cuando un sistema vuelve a comprometerse después de reinstalarlo, cuando el estado de Secure Boot no parece correcto o cuando sospechas de malware en fase temprana de arranque. Es una muy buena opción para triaje de firmware, revisiones de endurecimiento de endpoints y comprobaciones de integridad de la cadena de arranque, donde las señales de malware ordinario se quedan demasiado cortas.

En qué se diferencia

Esta skill de analyzing-uefi-bootkit-persistence no se limita a enumerar nombres de bootkits. Está orientada a los puntos de decisión que importan en investigaciones reales: dónde vive la persistencia, qué artefactos revisar primero y cómo verificar la integridad del firmware y de la ESP sin adivinar.

Cómo usar la skill analyzing-uefi-bootkit-persistence

Instalación y activación

Instálala con la ruta del repo de la skill: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-uefi-bootkit-persistence. Usa la skill cuando tu tarea mencione análisis de malware UEFI, integridad de la cadena de arranque, detección de bypass de Secure Boot o investigación de persistencia en firmware.

Dale a la skill las entradas correctas

El mejor uso de analyzing-uefi-bootkit-persistence empieza con contexto concreto, no con un vago “revisa esta máquina”. Incluye la plataforma, el nivel de acceso al firmware, si tienes un sistema en vivo o solo un volcado, el estado de Secure Boot, los síntomas conocidos y cualquier hash, ruta o nombre de variable que ya hayas recopilado. Cuanto mejores sean las entradas, mejor será el triaje.

Flujo de trabajo que da resultados útiles

Empieza con SKILL.md para ver la secuencia operativa y después lee references/api-reference.md para los comandos disponibles de chipsec y scripts/agent.py para la lógica de detección y los indicadores de bootkit conocidos. Si vas a adaptar la skill, sigue su mismo flujo: confirma el alcance, inspecciona el firmware, revisa los artefactos de la ESP, comprueba Secure Boot y las variables UEFI, y luego compara los hallazgos con patrones conocidos de persistencia.

Formato de prompt que funciona

Un buen prompt para la guía de analyzing-uefi-bootkit-persistence es específico y acotado, por ejemplo: “Analiza este volcado SPI y esta captura de la ESP para detectar persistencia UEFI, explica si se alteraron los controles de Secure Boot y enumera los siguientes pasos de verificación para un informe de IR.” Si aún no tienes un volcado, pide primero un plan de recolección en lugar de un veredicto.

Preguntas frecuentes sobre la skill analyzing-uefi-bootkit-persistence

¿Es solo para analistas avanzados?

No. La skill analyzing-uefi-bootkit-persistence también la pueden usar principiantes si ya saben que necesitan un triaje centrado en firmware. La curva de aprendizaje principal está en el manejo de evidencias: necesitas el volcado adecuado, los datos de partición correctos y suficiente detalle del entorno para evitar conclusiones erróneas.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede describir la persistencia UEFI en términos generales. Esta skill es mejor cuando necesitas un flujo de trabajo repetible, orientación consciente de las herramientas y una lectura más precisa de artefactos como regiones de SPI flash, modificaciones de la ESP, variables de Secure Boot e indicadores de bootkit.

¿Cuándo no debería usarla?

No la uses para caza general de malware en endpoints, persistencia estándar de Windows o problemas de arranque sin señales de firmware. Si tu evidencia se limita a registros de usuario o a un solo archivo sospechoso, esta skill probablemente sea demasiado especializada.

¿Funciona bien en un flujo de trabajo de Security Audit?

Sí, especialmente cuando necesitas una revisión defendible de los controles de la cadena de arranque, las líneas base del firmware y la configuración de Secure Boot. Para analyzing-uefi-bootkit-persistence for Security Audit, aporta más valor cuando se combina con volcados de firmware, comparaciones contra una línea base y pasos de recolección documentados.

Cómo mejorar la skill analyzing-uefi-bootkit-persistence

Aporta evidencia, no solo sospechas

Los mejores resultados salen de artefactos: imágenes SPI, listados de archivos de la ESP, estado de Secure Boot, salida de variables UEFI y hashes de binarios EFI sospechosos. Si solo dices “creo que es un bootkit”, el análisis se quedará en generalidades. Si incluyes datos concretos, la skill puede acotar mejor las posibles vías de persistencia.

Indica qué cambió

Aclara si el problema apareció después de una reinstalación, un cambio de disco, una actualización de BIOS o al activar o desactivar Secure Boot. Esos detalles ayudan a distinguir la persistencia en firmware de la manipulación exclusiva del disco y hacen que la skill analyzing-uefi-bootkit-persistence sea más concluyente.

Pide un tipo de salida por vez

Si necesitas una nota de IR, una lista de verificación de validación y una explicación técnica, pídelas por separado. La skill funciona mejor cuando solicitas un único entregable por iteración y luego amplías con más evidencias.

Vigila los fallos habituales

El error principal es sobrediagnosticar persistencia con datos incompletos. Otro es tratar cualquier modificación EFI como maliciosa. Mejora la experiencia de analyzing-uefi-bootkit-persistence install y de uso pidiendo niveles de confianza, explicaciones alternativas y las comprobaciones exactas que confirmarían o descartarían una intrusión en el firmware.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k