detecting-rootkit-activity

por mukul975

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

Estrellas6.2k

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaMalware Analysis

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity

Puntuación editorial

Esta skill obtiene 78/100, así que es una ficha sólida pero no de primer nivel: ofrece a los usuarios del directorio un flujo de trabajo creíble para detección de rootkits, con suficiente detalle operativo como para justificar la instalación, aunque conviene esperar cierta dependencia de configuración con herramientas forenses externas y la ausencia de un comando de instalación dentro de la skill.

78/100

Puntos fuertes

Activación clara para detección de rootkits, descubrimiento de procesos ocultos, comprobaciones de integridad del kernel y análisis de hooks en llamadas al sistema.
Contenido operativo sustancial: pasos de detección entre vistas, comandos de Volatility 3 y cobertura de herramientas para Linux/Windows que respaldan una ejecución real por parte de agentes.
El repositorio incluye un script con aspecto funcional y un archivo de referencia, lo que aporta más valor que una skill basada solo en Markdown.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que puede que los usuarios tengan que configurar manualmente la ejecución y las dependencias.
La herramienta depende de recursos externos (Volatility 3, GMER, rkhunter, chkrootkit), por lo que su utilidad depende del sistema operativo objetivo y del entorno del analista.

Rootkit Memory Forensics Behavioral Analysis Volatility3 Windows Security Linux Sysinternals

Resumen

Descripción general de la skill detecting-rootkit-activity

Qué hace detecting-rootkit-activity

La skill detecting-rootkit-activity te ayuda a investigar si un sistema comprometido está ocultando actividad a nivel de kernel o de controlador. Se centra en indicadores de rootkit como procesos ocultos, rutas de system call alteradas, estructuras del kernel modificadas, módulos ocultos y artefactos de red encubiertos. No es una petición genérica sobre malware; es una skill de detecting-rootkit-activity para Malware Analysis cuando las herramientas normales no coinciden con lo que revelan la memoria o las comprobaciones de integridad.

Quién debería usarla

Usa esta skill si haces respuesta a incidentes, triaje forense, validación de EDR o limpieza poscompromiso y necesitas una forma estructurada de confirmar comportamiento sigiloso. Es especialmente útil cuando Task Manager, ps, netstat o los análisis AV estándar parecen limpios, pero el host sigue mostrando comportamientos sospechosos.

Por qué es diferente

El valor principal de detecting-rootkit-activity es la comparación entre vistas: contrasta lo que informan las herramientas en modo usuario con lo que todavía pueden ver el análisis de memoria y las comprobaciones de integridad. Eso la hace más útil para tomar decisiones que una petición amplia de “buscar malware”, sobre todo en sistemas donde el ocultamiento es el problema central.

Cómo usar la skill detecting-rootkit-activity

Instala y carga la skill

Sigue el flujo de instalación del repositorio para el paso detecting-rootkit-activity install y luego apunta tu agente a la ruta de la skill en skills/detecting-rootkit-activity. Un comando de instalación típico en este repo es:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity

Después de instalarla, asegúrate de que la skill se active solo cuando la tarea trate sobre procesos ocultos, manipulación del kernel o verificación de rootkits.

Empieza con los inputs correctos

El patrón de uso de detecting-rootkit-activity funciona mejor cuando proporcionas:

sistema operativo y versión
sistema en vivo vs. imagen de memoria
resumen de síntomas, como “el proceso desaparece de pslist pero aparece en psscan”
herramientas ya ejecutadas y su salida
si necesitas triaje, confirmación o informe

Una petición débil es: “Busca rootkits.”
Una más sólida es: “Analiza este volcado de memoria de Windows para detectar procesos ocultos y hooks de SSDT. Tengo salida de pslist y psscan, además de nombres de controladores sospechosos.”

Lee primero estos archivos

Para incorporarte rápido, revisa:

SKILL.md para el alcance de activación y el flujo de trabajo
references/api-reference.md para comandos de Volatility 3 y pasos de comparación entre vistas
scripts/agent.py para la lógica de automatización y la forma de la salida

Es la ruta más corta para entender cómo piensa la skill antes de confiar en ella en un caso.

Usa un flujo de trabajo de comparación entre vistas

El patrón más sólido del repositorio es comparar varias vistas en lugar de confiar en una sola herramienta:

Enumerar procesos con pslist
Analizar la memoria con psscan
Comparar PIDs para detectar entradas ocultas
Ampliar a ssdt, modules, driverirp, callbacks o idt si se confirma el ocultamiento

Ese flujo importa porque los rootkits suelen derrotar una interfaz, pero no todas.

Preguntas frecuentes sobre la skill detecting-rootkit-activity

¿detecting-rootkit-activity es buena para principiantes?

Sí, si ya conoces los fundamentos del triaje de malware. Es menos adecuada si todavía estás aprendiendo la diferencia entre las herramientas de respuesta en vivo y el análisis forense de memoria. La skill funciona mejor cuando puedes aportar una imagen concreta del host, salida de comandos o un comportamiento sospechoso de ocultamiento.

¿En qué se diferencia de una petición normal?

Una petición normal puede dar consejos genéricos como “ejecuta el antivirus e inspecciona los procesos”. La skill detecting-rootkit-activity es más concreta y operativa: te empuja hacia comprobaciones entre vistas, validación de integridad y artefactos específicos de rootkit. Eso la hace mejor para el uso de detecting-rootkit-activity en investigaciones reales.

¿Cuándo no debería usarla?

No la uses como primer paso en cada infección. Si el problema es un malware de phishing evidente, adware común o una simple comprobación de persistencia, esta skill probablemente sea demasiado especializada. Úsala cuando la pregunta real sea si hay sigilo, manipulación del kernel o comportamiento oculto.

¿Funciona en Windows y Linux?

Sí, pero las herramientas cambian. El repositorio pone el foco en Volatility 3 para el análisis de memoria, junto con comprobaciones orientadas a Windows como ssdt, callbacks y modules, además de herramientas de Linux como rkhunter, chkrootkit y unhide. Elige la rama que encaje con el host y con las evidencias que realmente tienes.

Cómo mejorar la skill detecting-rootkit-activity

Dale evidencia a la skill, no solo sospechas

La mejor forma de mejorar los resultados de detecting-rootkit-activity es aportar artefactos: rutas de volcados de memoria, salida de comandos, hashes, nombres de controladores y una breve línea temporal. Cuanto más pueda comparar el modelo, menos tendrá que adivinar. Un buen seguimiento sería: “psscan muestra el PID 4120, pero pslist no; aquí está la salida completa y la lista de controladores sospechosos.”

Formula la pregunta exacta que necesitas resolver

Esta skill funciona mejor cuando defines el objetivo final:

“¿Este proceso está oculto?”
“¿Hay un hook en la SSDT?”
“¿Qué controlador es probablemente el responsable?”
“¿Puedo confiar lo suficiente en este host como para reinstalarlo?”

Eso mantiene la salida práctica en lugar de amplia.

Vigila los fallos más comunes

El fallo principal es concluir demasiado rápido que hay un rootkit a partir de una sola anomalía. Los artefactos ocultos también pueden deberse a memoria obsoleta, restos de un crash, interferencia de EDR o una adquisición incompleta. Pide a la skill que distinga entre “probable rootkit”, “inconcluso” y “hace falta más evidencia” para que no fuerce una respuesta binaria demasiado pronto.

Itera después de la primera pasada

Si el primer resultado es parcial, devuelve la vista concreta que falta. Por ejemplo, si sospechas ocultamiento de procesos, añade salidas de módulos, callbacks e IRP; si sospechas ocultamiento de red, añade análisis de sockets y puertos. Esa es la forma más eficaz de mejorar la calidad de salida de detecting-rootkit-activity skill sin cambiar el flujo de trabajo.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

deobfuscating-javascript-malware ayuda a los analistas a convertir JavaScript malicioso fuertemente ofuscado en código legible para análisis de malware, páginas de phishing, skimmers web, droppers y cargas útiles entregadas por el navegador. Usa esta skill de deobfuscating-javascript-malware para desofuscación estructurada, seguimiento de decodificación y revisión controlada cuando el problema no es una simple minimización.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

Security Audit

Favoritos 0GitHub 0

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts es una skill de análisis de malware para rastrear actualizaciones troyanizadas, dependencias envenenadas y manipulación de canales de compilación. Úsala para comparar artefactos confiables y no confiables, extraer indicadores, evaluar el alcance de la intrusión y redactar hallazgos con menos conjeturas.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

detecting-mobile-malware-behavior

por mukul975

La skill de detección de comportamiento de malware móvil analiza apps sospechosas de Android e iOS para detectar abuso de permisos, actividad en tiempo de ejecución, indicadores de red y patrones propios de malware. Úsala para triaje, respuesta a incidentes y detección de comportamiento de malware móvil en flujos de trabajo de auditoría de seguridad, con análisis móviles respaldados por evidencia.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets es una skill de análisis forense blockchain en modo solo lectura para rastrear wallets de pago de ransomware, seguir el movimiento de fondos y agrupar direcciones relacionadas para auditorías de seguridad y respuesta a incidentes. Úsala cuando tengas una dirección BTC, un hash de transacción o una wallet sospechosa y necesites apoyo de atribución con base en evidencia.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

por mukul975

Skill de analyzing-ransomware-encryption-mechanisms para análisis de malware, centrado en identificar el cifrado de ransomware, el manejo de claves y la viabilidad de descifrado. Úsalo para revisar AES, RSA, ChaCha20, esquemas híbridos y fallos de implementación que puedan ayudar a la recuperación.

Malware Analysis

Favoritos 0GitHub 6.1k

extracting-iocs-from-malware-samples

por mukul975

Guía de la skill extracting-iocs-from-malware-samples para análisis de malware: extrae hashes, IP, dominios, URLs, artefactos del host y señales de validación de muestras para threat intel y detección.

Malware Analysis

Favoritos 0GitHub 0

extracting-config-from-agent-tesla-rat

por mukul975

Skill de extracting-config-from-agent-tesla-rat para análisis de malware: extrae la configuración .NET de Agent Tesla, credenciales SMTP/FTP/Telegram, ajustes del keylogger y endpoints de C2 con una guía de trabajo repetible.

Malware Analysis

Favoritos 0GitHub 0