extracting-memory-artifacts-with-rekall

por mukul975

Guía de extracting-memory-artifacts-with-rekall para analizar imágenes de memoria de Windows con Rekall. Aprende patrones de instalación y uso para detectar procesos ocultos, código inyectado, VAD sospechosos, DLL cargadas y actividad de red en tareas de informática forense digital.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaDigital Forensics

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall

Puntuación editorial

Esta skill obtiene 78/100, así que es una candidata sólida para usuarios del directorio que necesitan ayuda con forense de memoria basado en Rekall. El repositorio ofrece un flujo de trabajo real, cobertura concreta de plugins y un script ejecutable, por lo que permite evaluar su encaje y activarla con menos dudas que una solicitud genérica, aunque la guía de instalación y uso no está completamente pulida.

78/100

Puntos fuertes

Caso de uso claro para respuesta a incidentes al extraer artefactos de memoria de imágenes de Windows, con plugins específicos de Rekall mencionados en la descripción y la documentación de referencia.
Incluye artefactos operativos: un script `agent.py` y una referencia de API que muestra creación de sesiones, detección de procesos ocultos y ejemplos de línea de comandos.
El frontmatter es válido e incluye etiquetas de dominio, subdominio, versión, licencia y NIST CSF, lo que mejora la claridad de la decisión de instalación y la confianza.

Puntos a tener en cuenta

No hay comando de instalación en `SKILL.md`, así que puede que los usuarios tengan que deducir cómo conectar las dependencias y configurar el entorno de ejecución.
La documentación ayuda, pero no cubre todo de extremo a extremo; la estructura de archivos sugiere un flujo estrecho centrado en análisis de memoria con Rekall, más que una cobertura amplia de respuesta a incidentes.

Memory Forensics Rekall Windows Artifacts Malware Analysis Reverse Engineering Forensics Security Operations

Resumen

Descripción general de la skill extracting-memory-artifacts-with-rekall

La skill extracting-memory-artifacts-with-rekall te ayuda a analizar imágenes de memoria de Windows con Rekall para identificar artefactos clave en respuesta a incidentes: procesos ocultos, código inyectado, regiones VAD sospechosas, DLL cargadas y actividad de red. Es especialmente útil para analistas que buscan extracting-memory-artifacts-with-rekall for Digital Forensics y prefieren un flujo de trabajo guiado y repetible en lugar de improvisar comandos de Rekall por su cuenta.

Para qué sirve esta skill

Usa esta skill cuando el objetivo sea convertir un volcado de memoria en hallazgos defendibles: qué está ejecutándose, qué está oculto, qué parece inyectado y qué evidencia respalda esa conclusión. Su valor real está en la rapidez con estructura, no solo en ejecutar pslist una vez.

Quién debería usarla

Encaja bien para analistas de SOC, personal DFIR, threat hunters y red teamers que validan lógica de detección en un laboratorio. Es menos útil si solo necesitas un resumen amplio de triage de malware o si tu evidencia no es una imagen de memoria de Windows.

Qué la hace distinta

La skill se centra en plugins de Rekall y patrones de análisis que exponen artefactos que viven solo en memoria, especialmente comparaciones entre pslist y psscan, y comprobaciones con malfind y vadinfo. Eso la hace más sólida para responder preguntas sobre ocultación de procesos e inyección de código que un prompt genérico que solo pide “ayuda con memoria forense”.

Cómo usar la skill extracting-memory-artifacts-with-rekall

Instala la skill y ubica el flujo de trabajo

Instálala con npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall. Para validar extracting-memory-artifacts-with-rekall install, abre primero skills/extracting-memory-artifacts-with-rekall/SKILL.md y luego revisa references/api-reference.md para los comandos y scripts/agent.py para el patrón de ejecución. Esos archivos muestran el flujo de trabajo con mucha más claridad que un vistazo rápido al repositorio.

Dale a la skill la entrada correcta

Para un buen extracting-memory-artifacts-with-rekall usage, indícale: la ruta de la imagen, el tipo de captura si lo conoces, la versión de Windows o la fuente probable del profile, y la pregunta que necesitas responder. Una entrada sólida suena así: “Analiza memory.raw para detectar procesos ocultos, inyección de código y conexiones de red sospechosas; prioriza los artefactos que sirvan para un informe de incidente.” Una entrada débil como “revisa este volcado” obliga al modelo a adivinar demasiado.

Usa una secuencia de análisis enfocada

Empieza por lo general con pslist, psscan y netscan, y después afina con malfind, vadinfo, dlllist y handles sobre los PIDs sospechosos. Compara los procesos activos con los escaneados para detectar ocultación, y luego revisa los permisos de VAD y los módulos cargados para confirmar si un proceso parece inyectado o hollowed. Si ya conoces el PID sospechoso, pide un análisis centrado en ese PID en lugar de un barrido completo del volcado.

Lee el repositorio en este orden

Primero lee references/api-reference.md para ver los nombres de los plugins y ejemplos de línea de comandos, y después inspecciona scripts/agent.py para entender cómo se crea la sesión y cómo está implementada la lógica de procesos ocultos. Ese orden te ayuda a adaptar la extracting-memory-artifacts-with-rekall guide a tu propio laboratorio o pipeline de automatización sin copiar valores predeterminados frágiles.

Preguntas frecuentes de la skill extracting-memory-artifacts-with-rekall

¿Esto es solo para análisis de memoria en Windows?

En su mayor parte, sí. El repositorio está construido alrededor del análisis de imágenes de memoria con Rekall y de artefactos orientados a Windows como EPROCESS, VADs, DLLs y módulos del kernel. Si tu caso es memoria de Linux, triage solo de disco o respuesta en endpoint en vivo sin volcado, esta skill normalmente no es la herramienta adecuada.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede mencionar comandos de Rekall, pero la extracting-memory-artifacts-with-rekall skill te da una estructura más repetible: qué ejecutar primero, qué comparar y qué hallazgos importan de verdad. Eso reduce la improvisación cuando la imagen es ruidosa o cuando necesitas resultados explicables.

¿Es apta para principiantes?

Sí, puede usarla alguien que conozca conceptos básicos de respuesta a incidentes, pero el resultado es más sólido cuando el usuario sabe nombrar el artefacto que le interesa. Si todavía no entiendes procesos ocultos, anomalías en VAD o inspección de DLL, espera una curva de aprendizaje antes de que la skill se sienta precisa.

¿Cuándo no debería usarla?

No la uses si no tienes autorización, si no cuentas con una imagen de memoria válida o si la pregunta se responde mejor con telemetría de endpoint, forense de disco o escaneo con YARA. Tampoco encaja bien si necesitas un “veredicto de malware” de un solo comando sin validar artefactos.

Cómo mejorar la skill extracting-memory-artifacts-with-rekall

Aporta desde el inicio las restricciones de la evidencia

El mejor extracting-memory-artifacts-with-rekall usage empieza con restricciones claras: formato de la imagen, ventana temporal sospechada, familia del sistema operativo y qué cuenta como resultado útil. Indica si buscas indicadores de inyección de procesos, persistencia oculta o artefactos de red, porque la ruta de análisis cambia de forma material.

Pide resultados respaldados por artefactos

Solicita hallazgos vinculados a evidencia de plugins, no solo resúmenes narrativos. Por ejemplo: “Enumera los procesos ocultos encontrados por psscan pero no por pslist, luego inspecciona cada uno con malfind y dlllist, y explica qué artefactos sostienen la sospecha.” Eso hace que el resultado sea más fácil de auditar y reutilizar en un informe.

Vigila los fallos más comunes

Los fallos principales son la detección de profile sin soporte, las conclusiones demasiado seguras a partir de un solo plugin y los resultados ruidosos cuando cualquier anomalía se interpreta como maliciosa. Mejora la siguiente pasada pidiendo a la skill que separe artefactos “interesantes”, “sospechosos” y “confirmados”, y luego céntrate solo en los PIDs de mayor señal.

Itera de triage a confirmación

Un flujo de trabajo sólido es: enumeración amplia, selección de procesos sospechosos y luego confirmación con inspección dirigida y cruces de verificación. Si la primera pasada encuentra un proceso oculto, haz un seguimiento con el PID exacto, el rango VAD, el conjunto de DLLs y cualquier artefacto de red para que la extracting-memory-artifacts-with-rekall skill pueda pasar del descubrimiento a la explicación.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

Digital Forensics

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

deobfuscating-javascript-malware ayuda a los analistas a convertir JavaScript malicioso fuertemente ofuscado en código legible para análisis de malware, páginas de phishing, skimmers web, droppers y cargas útiles entregadas por el navegador. Usa esta skill de deobfuscating-javascript-malware para desofuscación estructurada, seguimiento de decodificación y revisión controlada cuando el problema no es una simple minimización.

Malware Analysis

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

Malware Analysis

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extraer, enriquecer, puntuar y exportar IOCs a partir de evidencia de incidentes. Úsala para flujos de trabajo de Security Audit, intercambio de inteligencia de amenazas y salida en STIX 2.1 cuando necesites una guía práctica de collecting-indicators-of-compromise en lugar de un prompt genérico de respuesta a incidentes.

Security Audit

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

Security Audit

Favoritos 0GitHub 0

building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ayuda a equipos DFIR a crear líneas de tiempo colaborativas de incidentes en Timesketch mediante la ingesta de evidencias en Plaso, CSV o JSONL, la normalización de marcas de tiempo, la correlación de eventos y la documentación de cadenas de ataque para la triage y la elaboración de informes de incidentes.

Incident Triage

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

Malware Analysis

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

hunting-advanced-persistent-threats

por mukul975

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

Threat Hunting

Favoritos 0GitHub 0