memory-forensics

por wshobson

La skill memory-forensics sirve para captura de RAM y análisis de volcados con Volatility 3. Cubre el contexto de instalación, flujos de uso, extracción de artefactos y triage de incidentes en Windows, Linux, macOS y memoria de VM.

Estrellas32.6k

Favoritos0

Comentarios0

Agregado30 mar 2026

CategoríaIncident Triage

Comando de instalación

npx skills add wshobson/agents --skill memory-forensics

Puntuación editorial

Esta skill obtiene una puntuación de 76/100, lo que la convierte en una opción sólida dentro del directorio para quienes buscan un playbook reutilizable de forensia de memoria y no solo un prompt genérico. El repositorio ofrece un contexto de activación claro y contenido amplio, orientado a comandos, para adquisición y análisis con Volatility, pero conviene contar con una guía solo documental, con parte de la configuración y de las decisiones todavía en manos del usuario.

76/100

Puntos fuertes

Activación clara desde el frontmatter: indica explícitamente que debe usarse para volcados de memoria, investigaciones de incidentes y análisis de malware a partir de capturas de RAM.
Contenido operativo sustancial: la skill incluye comandos concretos de adquisición para Windows, Linux, macOS y fuentes de memoria de VM, además de guía de instalación y configuración de Volatility 3.
Buen aprovechamiento por parte del agente como referencia de flujo de trabajo: el documento es extenso y está estructurado en varias áreas de análisis, en lugar de ser un marcador de posición o una demo mínima.

Puntos a tener en cuenta

Skill solo documental: no hay scripts, archivos de referencia, reglas ni recursos auxiliares, por lo que la ejecución depende de que el agente o el usuario ya sepan cómo aplicar los comandos de forma segura.
La claridad de instalación y adopción es solo moderada: no hay un comando de instalación en SKILL.md y las señales estructurales muestran limitaciones en las restricciones explícitas y en la orientación práctica.

Reverse Engineering Security Monitoring Python Cli

Resumen

Visión general de la skill memory-forensics

Qué hace la skill memory-forensics

La skill memory-forensics ayuda a un agente a trabajar con adquisición de RAM y análisis de volcados de memoria usando herramientas consolidadas como Volatility 3 y utilidades de captura habituales. Está pensada para flujos de respuesta a incidentes, triaje de malware e investigación de equipos donde los artefactos en disco por sí solos no bastan.

Para quién encaja mejor esta skill

Esta skill memory-forensics encaja especialmente bien para:

equipos de respuesta que gestionan una posible intrusión en Windows, Linux o macOS
analistas que examinan una imagen de memoria capturada o un archivo de memoria de máquina virtual
usuarios que necesitan una estructura práctica para empezar con análisis de procesos, red y artefactos
equipos que hacen memory-forensics para Incident Triage, y no tanto investigación profunda de kernel

Resulta menos útil si todavía no tienes una imagen de memoria, no puedes obtenerla de forma legal o segura, o solo necesitas una revisión básica de logs.

La necesidad real que resuelve

La mayoría de los usuarios no necesitan una lección histórica sobre análisis de memoria. Necesitan ayuda para responder preguntas como:

¿cuál es la forma más segura de capturar RAM en este sistema?
¿cómo analizo el volcado con la herramienta y los símbolos correctos?
¿qué procesos, código inyectado, credenciales, sockets y pistas de persistencia debería revisar primero?
¿cómo convierto una sospecha general en una guía repetible de memory-forensics?

Esta skill aporta valor porque agrupa esas tareas en un flujo utilizable, en lugar de dejar al agente improvisar desde un prompt vacío.

Qué diferencia a esta skill

Su principal diferencial es la amplitud a lo largo de todo el recorrido de memory-forensics: opciones de adquisición, captura en VM, configuración de Volatility, y categorías de investigación como procesos, DLLs, red, datos del registro, indicadores de malware y extracción. Es más operativa que un prompt genérico del tipo “analiza este dump”, especialmente cuando necesitas que el agente sugiera el siguiente paso forense, no solo que enumere herramientas.

Qué conviene saber antes de instalarla

Esta ruta del repositorio contiene un único SKILL.md con la guía. En la carpeta de la skill no hay scripts auxiliares, símbolos empaquetados, reglas de automatización ni datasets de ejemplo. Eso hace que la instalación de memory-forensics sea ligera, pero la calidad del resultado depende mucho de los detalles que aportes: sistema operativo, método de captura, formato del archivo, amenaza sospechada y la pregunta exacta que necesitas resolver.

Cómo usar la skill memory-forensics

Contexto de instalación de la skill memory-forensics

Instala la skill desde el repositorio y úsala cuando tu tarea implique captura de memoria, análisis basado en Volatility o extracción de artefactos desde RAM.

npx skills add https://github.com/wshobson/agents --skill memory-forensics

Como la carpeta de la skill solo expone SKILL.md, hay muy poco comportamiento oculto. Lo que obtienes es una guía estructurada, no un pipeline forense listo para usar.

Lee primero este archivo

Empieza por:

plugins/reverse-engineering/skills/memory-forensics/SKILL.md

Como no hay scripts ni referencias complementarias en la carpeta, leer SKILL.md equivale en la práctica a recorrer por completo el contenido relevante del repositorio para esta skill.

Qué información necesita la skill para rendir bien

La skill memory-forensics funciona mejor cuando le das contexto forense concreto. Incluye:

sistema operativo objetivo y versión, si se conocen
ruta y formato de la imagen de memoria, como .raw, .lime, .elf o memoria de VM
si la imagen procede de una captura en vivo, un snapshot del hipervisor o una herramienta de endpoint
objetivo del análisis: triaje, confirmación de malware, robo de credenciales, código inyectado, actividad de red sospechosa
cualquier indicador conocido: hostname, nombres de usuario, nombres de procesos, hashes, IPs, dominios, marcas de tiempo
herramientas disponibles: vol, python, paquetes de símbolos, reglas YARA, strings, grep

Sin esto, el agente tenderá a ofrecer un plan de uso genérico de memory-forensics en lugar de una investigación enfocada.

Cómo convertir un objetivo difuso en un buen prompt

Prompt débil:

“Analyze this memory dump.”

Prompt más sólido:

“Use the memory-forensics skill to triage a Windows 10 memory image at evidence/win10.raw. Prioritize suspicious processes, network connections, DLL injection, LSASS access, persistence clues, and files worth extracting. Assume I have Volatility 3 installed but not Windows symbols. Give me a step-by-step command sequence and explain what findings would be high priority for incident triage.”

La segunda versión mejora los resultados porque da a la skill una plataforma, un archivo, un objetivo y expectativas claras sobre la salida.

Prompt de ejemplo de memory-forensics para Incident Triage

Usa un prompt como este cuando la velocidad importe:

Use the memory-forensics skill for Incident Triage on a Linux memory image captured with LiME. I need a prioritized workflow: identify suspicious processes, loaded modules, open sockets, shell history or credentials in memory if feasible, and anything that suggests rootkit or malware activity. Recommend Volatility 3 commands, note any plugin limitations, and tell me what to extract for follow-up.

Así mantienes la salida práctica y orientada al triaje, en vez de dejar que derive hacia teoría demasiado amplia.

Flujo de trabajo habitual que soporta la skill

Un buen patrón de uso sería:

Identificar el origen y el formato de la imagen de memoria.
Confirmar la plataforma y elegir el tratamiento específico según el método de adquisición.
Configurar Volatility 3 y los símbolos necesarios, si aplica.
Ejecutar una enumeración base de procesos, líneas de comandos, conexiones de red, módulos y handles.
Profundizar en artefactos sospechosos: código inyectado, material de credenciales, datos del registro, rastros del navegador o pistas de desempaquetado de malware.
Extraer artefactos de alto valor para revisión offline.
Resumir hallazgos con niveles de confianza y siguientes pasos.

La skill es más útil cuando la pides como un flujo orientado a decisiones, no solo como una lista de plugins.

Qué cubre realmente bien esta skill

Por el contenido fuente, esta guía de memory-forensics destaca especialmente en:

opciones de adquisición en vivo para Windows, Linux y macOS
recolección de memoria en máquinas virtuales
instalación y configuración de Volatility 3
análisis de procesos y artefactos a partir de dumps
tareas de análisis y extracción de malware

Eso la hace especialmente útil si tu bloqueo está en decidir cuál es el siguiente comando o la siguiente categoría de artefactos que conviene inspeccionar.

Notas prácticas sobre instalación y entorno

La skill hace referencia a Volatility 3, así que conviene prever:

gestión del entorno de Python
disponibilidad de símbolos, especialmente en Windows
almacenamiento suficiente para imágenes de memoria grandes
adquisición sensible a permisos en sistemas en vivo
diferencias de formato entre dumps raw, capturas estilo ELF y salidas de hipervisores

En la práctica, muchos fallos en el primer intento son problemas de entorno, no de análisis. Si quieres que el agente te ayude, indícale exactamente qué falló: error de instalación, problema de símbolos, formato no soportado o incompatibilidad de plugin.

Consejos que mejoran de verdad la calidad de la salida

Para obtener un mejor uso de memory-forensics por parte del agente:

pide flujos comando por comando, no solo conceptos
pídele que separe verificaciones de “triaje primero” frente a “análisis profundo después”
facilita nombres de procesos o IPs sospechosos para que pueda construir pivots
pide salidas esperadas y cómo interpretar anomalías
pídele que marque dónde Volatility 3 puede requerir símbolos o dónde un plugin puede no encajar con tu sistema operativo

Estos prompts reducen el consejo vago y fuerzan a la skill a trabajar en modo operativo.

Qué no automatiza esta skill

No es una suite forense empaquetada. La skill memory-forensics no incluye:

binarios de adquisición
paquetes de símbolos curados
scripts de validación
herramientas de cadena de custodia
generación de informes con un clic

Si necesitas automatización de extremo a extremo, trata esta skill como una guía de análisis y una base para comandos, no como un sustituto de tu toolkit forense.

Preguntas frecuentes sobre la skill memory-forensics

¿La skill memory-forensics es buena para principiantes?

Sí, siempre que ya entiendas el uso básico de la línea de comandos y qué es una imagen de memoria. La skill ofrece suficiente estructura para empezar, pero no elimina la necesidad de conocer tu plataforma, las herramientas disponibles y el objetivo de investigación. Los principiantes absolutos pueden seguir necesitando ayuda externa para la instalación de Volatility y el manejo de símbolos.

¿Cuándo conviene más usar la skill memory-forensics que un prompt normal?

Usa la skill memory-forensics cuando quieras que el agente se mantenga dentro de un flujo forense: adquisición, triaje, extracción de artefactos y pivots orientados a malware. Un prompt genérico puede producir recomendaciones vagas, mientras que esta skill tiene más probabilidades de sugerir herramientas, comandos y un orden de investigación realistas.

¿La instalación de memory-forensics incluye herramientas como Volatility?

No. La instalación de memory-forensics añade la guía de la skill, no los binarios forenses. Aun así, tienes que instalar y validar por tu cuenta herramientas como volatility3.

¿Puedo usarla para orientación sobre adquisición de memoria en vivo?

Sí. El contenido fuente incluye explícitamente enfoques de adquisición en vivo para Windows, Linux y macOS, además de captura de memoria de máquinas virtuales. Aun así, deberías validar el riesgo operativo antes de recolectar RAM en hosts de producción o potencialmente inestables.

¿Es adecuada para análisis de malware?

Sí. La skill encaja bien cuando el malware puede ser visible solo en memoria, mediante código inyectado, payloads desempaquetados, módulos sospechosos o artefactos de procesos en ejecución. Resulta especialmente útil cuando los análisis basados en disco son incompletos.

¿Cuándo no debería usar esta skill?

Omite esta guía de memory-forensics si:

no tienes una imagen de memoria y no puedes capturar una
tu tarea es puramente forense de disco o revisión de SIEM
necesitas documentación de procedimientos apta para sede judicial más que guía analítica
esperas parsing automatizado sin preparar herramientas ni aportar contexto operativo

¿Sirve solo para análisis en Windows?

No. La skill cubre rutas de captura de memoria para Windows, Linux, macOS y VM. Aun así, la profundidad práctica suele ser mayor allí donde tus herramientas y símbolos sean más sólidos, así que conviene indicar al agente la plataforma objetivo desde el principio.

Cómo mejorar la skill memory-forensics

Da al agente mejor contexto forense

La forma más rápida de mejorar la salida de memory-forensics es aportar mejores evidencias desde el inicio. Incluye:

nombre exacto del archivo y formato
origen de la captura
familia del sistema operativo
comportamiento sospechoso
IOCs conocidos
lo que ya has probado

Esto ayuda al agente a elegir los plugins, la secuencia y los pivots adecuados en lugar de generar un checklist genérico.

Pide análisis priorizado, no exhaustivo

Un fallo habitual es recibir una lista enorme de comprobaciones posibles sin orden de triaje. Pide a la skill memory-forensics que clasifique los pasos como:

triaje inmediato
seguimiento de alto valor
análisis profundo opcional

Ese formato es mucho más útil durante una respuesta a incidentes.

Obliga a interpretar la salida de los comandos

No pidas solo comandos. Pide también cómo sería una salida sospechosa. Por ejemplo:

cadenas inusuales de procesos padre-hijo
procesos ocultos o terminados pero aún residentes
listeners de red anómalos
evidencias de acceso a LSASS
módulos sin firma o ubicados en rutas extrañas

La guía de interpretación es donde esta skill aporta más valor que una lista cruda de comandos.

Mejora los prompts con límites de alcance

Los buenos prompts definen restricciones como:

“Windows only”
“Volatility 3 only”
“No internet access for symbol downloads”
“Need findings in under 30 minutes”
“Focus on credential theft and C2”

Estas restricciones hacen que las recomendaciones de memory-forensics sean más realistas y más fáciles de ejecutar.

Itera después de la primera respuesta

Tras la primera respuesta, devuelve al agente hallazgos reales:

PIDs sospechosos
nombres de módulos
direcciones IP
líneas de comando de procesos
nombres de archivos extraídos
errores de plugins

Después, pídele los siguientes pivots. La skill memory-forensics se vuelve mucho más útil cuando puede pasar de un triaje amplio a un seguimiento guiado por evidencias.

Vigila los modos de fallo más comunes

Los problemas típicos incluyen:

suposiciones erróneas sobre el perfil de SO o los símbolos
recomendar pasos de adquisición cuando ya existe un dump
priorizar en exceso una enumeración exhaustiva por encima del triaje
dar plugins sin explicar por qué importan
ignorar el formato del archivo o el contexto del hipervisor

Puedes reducir estos fallos indicando con claridad en qué fase estás: adquisición, preparación, triaje base, búsqueda de malware o extracción.

Usa la skill como plantilla de flujo de trabajo

Una de las mejores maneras de mejorar esta guía de memory-forensics en la práctica es reutilizar su estructura entre casos. Pide al agente que convierta la skill en:

un checklist de triaje
un runbook específico para el caso
una plantilla de prompt reutilizable para tu equipo
un plan de comandos con marcadores para ruta de imagen, host y conjunto de IOC

Así conviertes una respuesta puntual en un activo reutilizable para la respuesta a incidentes.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

detecting-lateral-movement-with-zeek

por mukul975

detecting-lateral-movement-with-zeek es una habilidad de ciberseguridad basada en Zeek para threat hunting y respuesta a incidentes. Ayuda a detectar acceso a recursos compartidos de administración SMB, creación de servicios DCE/RPC, spray de NTLM, anomalías de Kerberos y transferencias internas sospechosas usando logs de Zeek como conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log y kerberos.log.

Threat Hunting

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

Threat Modeling

Favoritos 0GitHub 0

detecting-command-and-control-over-dns

por mukul975

detecting-command-and-control-over-dns es una skill de ciberseguridad para detectar C2 sobre DNS, incluidos tunneling, beaconing, dominios DGA y abuso de TXT/CNAME. Ayuda a analistas SOC, threat hunters y auditorías de seguridad con comprobaciones de entropía, correlación con passive DNS y flujos de detección al estilo Zeek o Suricata.

Security Audit

Favoritos 0GitHub 0

deploying-osquery-for-endpoint-monitoring

por mukul975

Guía de deploying-osquery-for-endpoint-monitoring para desplegar y configurar osquery con visibilidad de endpoints, monitorización de toda la flota e investigación de amenazas basada en SQL. Úsala para planificar la instalación, revisar el flujo de trabajo y las referencias de API, y poner en marcha consultas programadas, recopilación de logs y revisión centralizada en endpoints Windows, macOS y Linux.

Monitoring

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

Incident Response

Favoritos 0GitHub 0

analyzing-windows-event-logs-in-splunk

por mukul975

La skill de análisis de logs de Windows en Splunk ayuda a analistas SOC a investigar logs de Security, System y Sysmon en Splunk para detectar ataques de autenticación, escalada de privilegios, persistencia y movimiento lateral. Úsala para triage de incidentes, ingeniería de detecciones y análisis de líneas de tiempo con patrones SPL mapeados y guía de Event ID.

Incident Triage

Favoritos 0GitHub 0

analyzing-windows-amcache-artifacts

por mukul975

La skill analyzing-windows-amcache-artifacts analiza datos de Windows Amcache.hve para recuperar evidencias de ejecución de programas, software instalado, actividad de dispositivos y carga de controladores en flujos de trabajo de DFIR y auditoría de seguridad. Utiliza AmcacheParser y guías basadas en regipy para facilitar la extracción de artefactos, la correlación de SHA-1 y la revisión de líneas de tiempo.

Security Audit

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Security Audit

Favoritos 0GitHub 0

analyzing-network-traffic-of-malware

por mukul975

analyzing-network-traffic-of-malware ayuda a inspeccionar PCAPs y telemetría de ejecuciones en sandbox o de respuesta a incidentes para detectar C2, exfiltración, descargas de payloads, tunneling DNS e ideas de detección. Es una guía práctica de analyzing-network-traffic-of-malware para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-linux-system-artifacts

por mukul975

analyzing-linux-system-artifacts ayuda a investigar hosts Linux comprometidos revisando logs de autenticación, historial de shell, tareas cron, servicios systemd, claves SSH y otros puntos de persistencia. Usa esta guía de analyzing-linux-system-artifacts para auditorías de seguridad, respuesta a incidentes y triaje forense. Incluye orientación práctica de instalación y uso.

Security Audit

Favoritos 0GitHub 0

analyzing-indicators-of-compromise

por mukul975

analyzing-indicators-of-compromise ayuda a clasificar IOC como IP, dominios, URLs, hashes de archivos y artefactos de correo electrónico. Facilita flujos de trabajo de inteligencia de amenazas para enriquecer datos, asignar puntuación de confianza y decidir acciones de bloqueo, monitoreo o inclusión en lista permitida con comprobaciones respaldadas por fuentes y contexto claro para analistas.

Threat Intelligence

Favoritos 0GitHub 0