analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Étoiles6.2k

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieMalware Analysis

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-bootkit-and-rootkit-samples

Score éditorial

Cette skill obtient 84/100, ce qui en fait une bonne candidate pour les utilisateurs qui ont besoin d’un cadre spécialisé pour analyser des bootkits et des rootkits. Le dépôt fournit suffisamment d’indices de déclenchement, de références opérationnelles et un véritable script d’agent pour aider à démarrer avec moins d’hésitation qu’avec un prompt générique de malware, même si certains détails d’adoption restent implicites.

84/100

Points forts

Forte capacité de déclenchement pour les cas de malware pré-OS : le frontmatter et la section "When to Use" couvrent explicitement la persistance MBR/VBR/UEFI, les problèmes d’intégrité Secure Boot et les indicateurs de processus cachés/rootkit.
Bonne précision opérationnelle : le dépôt inclut des références d’outils et des commandes concrètes pour dd, ndisasm, UEFITool et chipsec, ce qui fournit aux agents une base de workflow exploitable.
Un vrai support d’implémentation : scripts/agent.py et references/api-reference.md montrent qu’il ne s’agit pas seulement d’un guide en prose, et que la skill peut prendre en charge des étapes d’analyse structurées.

Points de vigilance

Aucune commande d’installation dans SKILL.md, donc les utilisateurs devront peut-être configurer eux-mêmes l’activation et l’environnement d’exécution.
L’extrait montre une partie du workflow, mais pas un runbook complet de bout en bout ; les agents peuvent encore avoir besoin de discernement pour le choix des cas et le détail de l’exécution des outils.

Malware Rootkit Bootkit Uefi Mbr Chipsec Forensics

Vue d’ensemble

Aperçu de analyzing-bootkit-and-rootkit-skill

analyzing-bootkit-and-rootkit-samples est un skill d’analyse de malware destiné aux cas où la compromission commence avant le système d’exploitation : code MBR/VBR infecté, persistance UEFI et comportement de rootkit qui se cache aux outils de sécurité classiques. Utilisez-le lorsque vous devez inspecter des secteurs de boot, des modules firmware ou des indicateurs anti-rootkit, plutôt que d’analyser un payload classique en user mode.

Ce skill analyzing-bootkit-and-rootkit-samples convient surtout aux intervenants incident response, aux reverse engineers et aux threat hunters qui soupçonnent déjà une persistance sous la couche OS. Son objectif principal est de transformer des preuves brutes provenant du disque, du firmware ou de la mémoire en une évaluation solide de la présence éventuelle d’un bootkit ou d’un rootkit, de son mode de persistance et des vérifications à mener ensuite.

À quoi sert ce skill

Le skill se concentre sur l’analyse de malware avant démarrage du système pour des workflows de Malware Analysis : extraction MBR, examen VBR, inspection UEFI, vérifications Secure Boot et triage orienté rootkit. Il est utile quand l’antivirus ou l’EDR ne voit rien, quand la réinstallation ne nettoie pas la compromission ou quand l’intégrité du firmware paraît suspecte.

En quoi ce skill est différent

Contrairement à un prompt générique, analyzing-bootkit-and-rootkit-samples vous donne un workflow centré sur les artefacts qui comptent : secteurs de disque, volumes firmware et outils d’inspection bas niveau. Il est donc mieux adapté aux investigations à forte persistance qu’aux prompts généraux de malware qui partent du principe qu’on a des exécutables et qu’on travaille en sandbox.

Pour quels lecteurs il est le plus adapté

Choisissez ce skill si vous avez besoin d’un guide pratique pour analyser analyzing-bootkit-and-rootkit-samples, pas d’une vue théorique. Il convient aux analystes capables de collecter des images ou des dumps, de lire du désassemblage et de comparer les résultats à des schémas connus de boot sector et de firmware.

Comment utiliser analyzing-bootkit-and-rootkit-skill

Installez-le dans votre ensemble de skills

Suivez le flux d’installation du repository pour l’installation de analyzing-bootkit-and-rootkit-samples, puis pointez votre agent vers le chemin du skill sous skills/analyzing-bootkit-and-rootkit-samples. Commencez par charger la définition du skill et les fichiers de référence associés afin que le workflow, les commandes et les hypothèses sur les outils restent cohérents.

Lisez d’abord ces fichiers

Commencez par SKILL.md, puis examinez references/api-reference.md et scripts/agent.py. SKILL.md indique quand le skill doit s’activer ; references/api-reference.md présente les commandes d’analyse concrètes ; scripts/agent.py montre ce que le skill s’attend à parser ou automatiser. Si vous avez besoin d’éléments de licence ou de provenance, consultez aussi LICENSE.

Ce qu’il faut fournir dans votre prompt

Un bon prompt d’utilisation de analyzing-bootkit-and-rootkit-samples doit nommer l’artefact, la plateforme et l’objectif. Par exemple : « Analysez ce dump MBR pour détecter des indices de bootkit, comparez-le à un MBR Windows sain et dites si la table des partitions et la signature de boot semblent normales. » Si vous avez du firmware, précisez la source du dump, le fournisseur et si Secure Boot ou un accès SPI étaient impliqués.

Workflow qui donne de meilleurs résultats

Donnez au skill un seul type de preuve à la fois : d’abord MBR/VBR, puis firmware, puis traces mémoire. Demandez des sorties précises, comme le mécanisme de persistance suspecté, les offsets suspects et les étapes de validation. Cela garde l’analyse focalisée et rend le résultat plus facile à vérifier avec vos propres outils.

FAQ sur analyzing-bootkit-and-rootkit-skill

analyzing-bootkit-and-rootkit-samples est-il réservé aux cas avancés ?

Dans l’ensemble, oui. Il est conçu pour les malwares avant démarrage du système et la persistance de rootkit ; ce n’est donc pas le choix par défaut pour les chevaux de Troie ordinaires, les scripts ou les malwares de navigateur. Si la compromission survit à une réinstallation, se cache des scanners ou modifie l’état du firmware, c’est le bon choix.

En quoi diffère-t-il d’un prompt malware générique ?

Un prompt générique suppose généralement des fichiers que l’on peut charger et inspecter dans une sandbox. analyzing-bootkit-and-rootkit-samples part au contraire de preuves bas niveau comme les secteurs de disque, le code de boot, les modules UEFI et les vérifications de sécurité matérielle. Cette différence compte, car la voie d’analyse, les outils et les points de validation sont complètement différents.

Faut-il des outils spécialisés pour en tirer profit ?

Oui, vous obtiendrez les meilleurs résultats si vous pouvez utiliser des outils comme dd, ndisasm, les outils UEFI et chipsec. Le skill reste utile pour préparer l’investigation et interpréter les résultats même si vous n’exécutez pas chaque commande directement, mais il est nettement plus efficace lorsqu’il est associé à de vraies données de disque ou de firmware.

Ce skill convient-il aux débutants en Malware Analysis ?

Il peut être utilisé par des débutants qui comprennent déjà les bases du malware, mais il n’est pas pensé pour un niveau débutant au sens « sans contexte ». Si vous débutez, commencez par collecter un artefact propre, puis demandez au skill d’expliquer chaque constat en termes de persistance, de camouflage et de validation.

Comment améliorer analyzing-bootkit-and-rootkit-skill

Donnez au skill de meilleures preuves

Le plus gros gain de qualité vient d’entrées précises : image exacte du périphérique, fournisseur du firmware, version de l’OS, point d’infection suspecté et anomalies observées. Pour analyzing-bootkit-and-rootkit-samples dans un contexte de Malware Analysis, un bon prompt inclut les hash, les offsets, l’état de la signature de boot, l’état de Secure Boot et la question de savoir si le problème touche le MBR, le VBR ou l’UEFI.

Demandez des comparaisons, pas seulement des conclusions

Ne demandez pas seulement « est-ce malveillant ? ». Demandez une comparaison avec une base saine, des plages d’octets suspectes et les raisons pour lesquelles un secteur de boot ou un module paraît modifié. Cela incite le skill à expliquer le constat d’une manière que vous pouvez vérifier par désassemblage ou extraction du firmware.

Surveillez les modes d’échec fréquents

L’erreur la plus courante consiste à envoyer une demande vague du type « vérifiez ce malware » alors que le problème relève en réalité d’une persistance sur disque ou dans le firmware. Un autre mode d’échec consiste à mélanger, dans un seul prompt, des preuves provenant de plusieurs couches, ce qui rend l’identification de la cause racine plus difficile. Séparez le travail en analyses distinctes lorsque c’est nécessaire.

Itérez après le premier passage

Servez-vous du premier résultat pour affiner la demande suivante : demandez un désassemblage plus poussé, une revue UEFI module par module ou une checklist pour confirmer un rootkit suspecté. Si la sortie reste incertaine, fournissez davantage de contexte brut et demandez au skill quel artefact supplémentaire permettrait de confirmer ou d’invalider le constat.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

deobfuscating-javascript-malware

par mukul975

deobfuscating-javascript-malware aide les analystes à transformer du JavaScript malveillant fortement obfusqué en code lisible pour l’analyse de malwares, les pages de phishing, les web skimmers, les droppers et les charges utiles livrées via le navigateur. Utilisez ce skill de déobfuscation de malware JavaScript pour une déobfuscation structurée, le suivi des décodages et une revue contrôlée lorsque le simple minification n’est pas le problème.

Malware Analysis

Favoris 0GitHub 0

analyzing-powershell-empire-artifacts

par mukul975

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Security Audit

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

analyzing-macro-malware-in-office-documents

par mukul975

analyzing-macro-malware-in-office-documents aide les analystes malware à examiner du VBA malveillant dans des fichiers Word, Excel et PowerPoint, à décoder l’obfuscation et à extraire des IOC, les chemins d’exécution et la logique de préparation des charges utiles pour le triage de phishing, la réponse à incident et l’analyse de documents malveillants.

Malware Analysis

Favoris 0GitHub 0

analyzing-golang-malware-with-ghidra

par mukul975

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

Security Audit

Favoris 0GitHub 0

analyzing-supply-chain-malware-artifacts

par mukul975

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

Malware Analysis

Favoris 0GitHub 6.1k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

detecting-rootkit-activity

par mukul975

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-mobile-malware-behavior

par mukul975

La skill detecting-mobile-malware-behavior analyse les applications Android et iOS suspectes pour repérer les abus de permissions, l’activité à l’exécution, les indicateurs réseau et les schémas de type malware. Utilisez-la pour le triage, la réponse à incident et la détection du comportement des malwares mobiles dans des workflows d’audit de sécurité, avec une analyse mobile étayée par des preuves.

Security Audit

Favoris 0GitHub 6.1k

analyzing-ransomware-payment-wallets

par mukul975

analyzing-ransomware-payment-wallets est une compétence de blockchain forensics en lecture seule pour retracer les portefeuilles de paiement ransomware, suivre les mouvements de fonds et regrouper les adresses associées pour les audits de sécurité et la réponse aux incidents. Utilisez-la si vous disposez d’une adresse BTC, d’un hash de transaction ou d’un portefeuille suspect et que vous avez besoin d’un appui à l’attribution fondé sur des preuves.

Security Audit

Favoris 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

par mukul975

Compétence d’analyse de malware dédiée à l’examen des mécanismes de chiffrement des ransomwares : identification du chiffrement, gestion des clés et faisabilité du déchiffrement. Utilisez-la pour inspecter AES, RSA, ChaCha20, les schémas hybrides et les failles d’implémentation susceptibles de permettre une récupération.

Malware Analysis

Favoris 0GitHub 6.1k

extracting-iocs-from-malware-samples

par mukul975

Guide du skill extracting-iocs-from-malware-samples pour l’analyse de malwares : extraire les hashes, IP, domaines, URLs, artefacts hôte et indices de validation à partir d’échantillons pour la threat intelligence et la détection.

Malware Analysis

Favoris 0GitHub 0

extracting-config-from-agent-tesla-rat

par mukul975

Compétence « extracting-config-from-agent-tesla-rat » pour l’analyse de malware : extraire la configuration .NET d’Agent Tesla, les identifiants SMTP/FTP/Telegram, les réglages du keylogger et les points de terminaison C2 avec un workflow reproductible.

Malware Analysis

Favoris 0GitHub 0