detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique

Puntuación editorial

Esta skill obtiene 81/100, así que es una ficha sólida para quienes buscan process hollowing (T1055.012). El repositorio aporta suficiente detalle operativo para que un agente reconozca cuándo usarla, siga un flujo de detección y aproveche scripts y referencias de apoyo con relativamente poca incertidumbre, aunque sigue orientada más a la detección que a un uso totalmente listo para ejecutar.

81/100

Puntos fuertes

Alta capacidad de activación: SKILL.md apunta con claridad a la detección de process hollowing y menciona casos de uso concretos como alertas de EDR, amenazas en memoria y validación purple team.
Buen armazón operativo: el repositorio incluye un flujo de varias fases junto con referencias de apoyo para Sysmon, MDE/KQL, Splunk SPL y contexto de secuencias de API.
Aporta valor a agentes: los scripts y plantillas ofrecen puntos de partida ejecutables para analizar logs de Sysmon y documentar hunting, en lugar de limitarse a orientación narrativa.

Puntos a tener en cuenta

SKILL.md no incluye un comando de instalación, así que es posible que los usuarios deban inferir por su cuenta cómo operacionalizar los scripts y dependencias.
Parte del contenido del flujo está truncada en la evidencia, y la skill parece centrarse en telemetría de Windows, lo que limita su encaje fuera de ese entorno.

Mitre Attack Malware Analysis Process Hollowing Edr Sysmon Windows T1055

Resumen

Resumen general de la habilidad detecting-process-hollowing-technique

La habilidad detecting-process-hollowing-technique te ayuda a cazar process hollowing (MITRE ATT&CK T1055.012) en telemetría de Windows correlacionando creación de procesos, manipulación de memoria y anomalías entre proceso padre e hijo. Es ideal para threat hunters, detection engineers y incident responders que necesitan un flujo práctico de detecting-process-hollowing-technique for Threat Hunting, no una explicación genérica sobre inyección de procesos.

Para qué sirve esta habilidad

Usa esta habilidad cuando necesites decidir si un proceso sospechoso está realmente hollowed, y no solo si es inusual. Se centra en las señales que importan operativamente: creación de procesos en estado suspended, desajuste de imagen, escrituras remotas en memoria y flujo de ejecución anómalo después de reanudar el hilo.

Por qué es útil en cacerías reales

El principal valor de detecting-process-hollowing-technique skill es su estructura. En lugar de buscar a partir de una sola alerta, te propone una secuencia: identificar procesos candidatos, validarlos frente a las relaciones padre-hijo esperadas en Windows y luego confirmarlos con evidencia de memoria y de API. Eso reduce los falsos positivos derivados del comportamiento benigno de servicios y ayuda a separar lo “extraño” de lo “malicioso”.

Qué lo diferencia

Esta habilidad rinde mejor cuando tienes telemetría de EDR o Sysmon y necesitas un flujo de trabajo orientado a detección. Es más útil que un prompt de una sola línea porque ya incorpora la cadena habitual del hollowing y la compensación común: para ganar confianza, necesitas mejor visibilidad del proceso y de la memoria. Si solo cuentas con registros de red, esta habilidad no te dará evidencia suficiente.

Cómo usar la habilidad detecting-process-hollowing-technique

Instálala y cárgala

Instálala con:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique

Después abre primero skills/detecting-process-hollowing-technique/SKILL.md. Si quieres el contexto operativo detrás de la lógica de búsqueda, lee también references/standards.md y references/workflows.md antes de ejecutar la habilidad en tu propio entorno.

Empieza con la entrada adecuada

La habilidad funciona mejor cuando tu prompt incluye la fuente de telemetría, una breve hipótesis de sospecha y la ventana temporal. Por ejemplo: “Analiza Sysmon Event IDs 1, 8, 10 y 25 del host X en busca de signos de process hollowing después de un inicio sospechoso de svchost.exe a las 14:30 UTC.” Eso es mejor que “busca malware”, porque le da al modelo un objetivo concreto de caza y una ruta de verificación.

Flujo de trabajo sugerido

Usa la habilidad para acotar procesos candidatos desde Sysmon o EDR.
Valida la relación padre-hijo contra la línea base de Windows.
Revisa indicadores de hollowing: inicio en suspended, secuencia de unmap/write/redirect y eventos de manipulación.
Confirma con evidencia de memoria si está disponible.
Convierte el resultado en una nota de hunting o una regla de detección, usando assets/template.md como formato de reporte.

Archivos que conviene leer primero

Para detecting-process-hollowing-technique usage, prioriza:

SKILL.md para la lógica de la caza y los requisitos previos
references/api-reference.md para la secuencia de API y una consulta de Splunk de ejemplo
references/workflows.md para ejemplos con Sysmon y MDE
assets/template.md para documentar los hallazgos con claridad
scripts/agent.py y scripts/process.py si quieres automatizar el parseo de eventos o el triaje

Preguntas frecuentes sobre detecting-process-hollowing-technique

¿Esto es solo para analistas avanzados?

No. La detecting-process-hollowing-technique guide es accesible para principiantes que ya conocen los conceptos básicos de procesos en Windows. Sí necesitas suficiente contexto para distinguir el comportamiento normal de servicios de los patrones sospechosos de inyección, pero la habilidad te da una ruta de caza utilizable en lugar de exigir conocimientos profundos de reverse engineering.

¿Necesito EDR o Sysmon?

Preferiblemente, sí. La habilidad es más potente con telemetría de Sysmon y EDR porque el process hollowing suele ser invisible en los registros básicos del endpoint. Sin telemetría de creación de procesos, manipulación o memoria, es posible que solo obtengas una sospecha débil y no una conclusión defendible.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede describir el process hollowing en términos generales. Esta habilidad está más orientada a la toma de decisiones: te empuja hacia comprobaciones concretas, baselines esperados de padre-hijo y evidencia que apoye o refute T1055.012. Eso suele producir mejores resultados de triaje y menos respuestas vagas.

¿Cuándo no debería usarla?

No uses detecting-process-hollowing-technique si tu caso trata principalmente de explotación de navegadores, malware basado en macros o persistencia genérica sin evidencia de inyección de procesos. También encaja mal cuando no tienes telemetría del endpoint y solo necesitas un resumen de incidente de alto nivel.

Cómo mejorar la habilidad detecting-process-hollowing-technique

Aporta más contexto de telemetría

La mayor mejora de calidad viene de mejores datos de entrada. Incluye versión del sistema operativo, fuente de registro, event IDs y uno o dos nombres de proceso sospechosos. Por ejemplo: “Windows 11, Sysmon 13, Event 1 y 25, svchost.exe iniciado por cmd.exe, luego alerta de tampering a las 14:31.” Eso ayuda al modelo a anclarse en la ruta de detección correcta.

Pide un veredicto con evidencia

Si quieres una salida útil, pide tanto una conclusión como la cadena de evidencias. Una buena solicitud sería: “Clasifica la probabilidad de process hollowing, enumera los indicadores de apoyo y señala qué evidencia falta todavía.” Eso obliga al resultado a separar hallazgos confirmados de suposiciones.

Vigila los fallos más comunes

El error más frecuente es afirmar hollowing solo por una discrepancia padre-hijo. Otro es tratar todo proceso en estado suspended como malicioso. Mejora el resultado proporcionando expectativas de referencia para padre-hijo, actividad administrativa conocida como legítima y si hay evidencia de memoria o solo registros de eventos.

Itera después de la primera pasada

Usa la primera respuesta para identificar qué falta y vuelve a ejecutar la habilidad con esas lagunas cubiertas. Si la salida es provisional, añade hashes de proceso, líneas de comando, módulos cargados y el tiempo transcurrido entre CreateProcess, WriteProcessMemory y ResumeThread. Eso convierte una respuesta genérica de detecting-process-hollowing-technique skill en una nota de detección o hunting mucho más defendible.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

detecting-network-anomalies-with-zeek

por mukul975

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

Security Audit

Favoritos 0GitHub 6.1k