Dfir

building-incident-timeline-with-timesketch ayuda a equipos DFIR a crear líneas de tiempo colaborativas de incidentes en Timesketch mediante la ingesta de evidencias en Plaso, CSV o JSONL, la normalización de marcas de tiempo, la correlación de eventos y la documentación de cadenas de ataque para la triage y la elaboración de informes de incidentes.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

analyzing-malicious-pdf-with-peepdf es una skill de análisis estático de malware para PDFs sospechosos. Usa peepdf, pdfid y pdf-parser para clasificar adjuntos de phishing, inspeccionar objetos, extraer JavaScript o shellcode incrustado y revisar de forma segura flujos sospechosos sin ejecución.

conducting-memory-forensics-with-volatility te ayuda a analizar volcados de RAM con Volatility 3 para detectar código inyectado, procesos sospechosos, conexiones de red, robo de credenciales y actividad oculta del kernel. Es una habilidad práctica de conducting-memory-forensics-with-volatility para triaje de Forense Digital y respuesta a incidentes.

analyzing-windows-prefetch-with-python analiza archivos Windows Prefetch (.pf) con `windowsprefetch` para reconstruir el historial de ejecución, detectar binarios renombrados o que se hacen pasar por otros y apoyar el triaje de incidentes y el análisis de malware.

La skill analyzing-windows-amcache-artifacts analiza datos de Windows Amcache.hve para recuperar evidencias de ejecución de programas, software instalado, actividad de dispositivos y carga de controladores en flujos de trabajo de DFIR y auditoría de seguridad. Utiliza AmcacheParser y guías basadas en regipy para facilitar la extracción de artefactos, la correlación de SHA-1 y la revisión de líneas de tiempo.

analyzing-mft-for-deleted-file-recovery ayuda a recuperar metadatos de archivos borrados y posibles indicios de ruta o contenido mediante el análisis de registros NTFS $MFT, $LogFile, $UsnJrnl y del espacio slack del MFT. Está pensado para flujos de trabajo de DFIR y auditoría de seguridad con MFTECmd, analyzeMFT y X-Ways Forensics.