analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieDigital Forensics

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-linux-kernel-rootkits

Score éditorial

Cette compétence obtient 79/100 parce qu’elle fournit un contenu de workflow réel et exploitable pour l’analyse des rootkits du noyau Linux, tout en restant assez claire pour être déclenchée par des agents sans trop d’hésitation. Pour les utilisateurs du répertoire, cela signifie qu’elle vaut la peine d’être installée s’ils ont besoin d’un workflow forensique ciblé, même si elle reste plus spécialisée qu’une compétence générale de réponse à incident.

79/100

Points forts

Déclenchement et périmètre explicites : la détection de rootkits au niveau du noyau dans les dumps mémoire Linux et sur les systèmes en direct est clairement indiquée dans la description et la vue d’ensemble.
Les indications opérationnelles sont concrètes : le fichier de référence inclut des commandes de plugins Volatility3, des options de capture mémoire et des exemples d’utilisation de rkhunter.
Le potentiel d’automatisation pour les agents est élevé : le script inclus montre une automatisation structurée de l’exécution des plugins Volatility3 et de l’analyse JSON.

Points de vigilance

Aucune commande d’installation n’apparaît dans SKILL.md ; les utilisateurs doivent donc déduire les étapes de configuration au lieu de suivre un parcours d’onboarding packagé.
La compétence est très ciblée sur l’analyse forensique et les rootkits, donc elle est moins utile en dehors des scénarios de dump mémoire Linux et de scan d’hôtes.

Rootkit Linux Memory Forensics Volatility3 Forensics Security

Vue d’ensemble

Vue d’ensemble de la compétence analyzing-linux-kernel-rootkits

analyzing-linux-kernel-rootkits est une compétence d’investigation ciblée pour repérer les rootkits du noyau Linux grâce à l’analyse mémoire, aux contrôles croisés et à une vérification légère côté hôte. Elle convient particulièrement aux intervenants en réponse à incident, aux analystes DFIR et aux threat hunters qui doivent déterminer si un système Linux compromis masque des processus, des modules, des syscalls ou des identifiants au niveau ring 0. Si vous évaluez analyzing-linux-kernel-rootkits pour la digital forensics, sa vraie valeur ne se limite pas à produire une alerte : il offre surtout une méthode reproductible pour passer du soupçon à la preuve.

Ce que cette compétence fait le mieux

La compétence s’appuie principalement sur les plugins Linux de Volatility3, notamment check_syscall, lsmod, hidden_modules, check_idt, pslist, pstree, check_creds et sockstat. Elle inclut aussi des vérifications hôte basées sur rkhunter et l’analyse des écarts entre /proc et /sys, ce qui aide à détecter des incohérences que les outils classiques en espace utilisateur ne voient pas.

Quand c’est le bon choix

Utilisez-la si vous disposez d’un dump mémoire Linux, d’un système en direct que vous pouvez analyser, ou des deux, et que vous avez besoin d’un parcours de triage rootkit structuré. Elle est particulièrement utile lorsque vous soupçonnez des techniques furtives comme des syscalls détournés, des modules noyau masqués ou des structures du noyau altérées.

À quoi s’attendre dans le workflow

La compétence analyzing-linux-kernel-rootkits est orientée preuves plutôt que conversation : attendez-vous à des commandes, à une sélection de plugins et à une interprétation des incohérences. Elle est surtout efficace si vous avez déjà un format de dump, une version de noyau cible et une question claire, par exemple : « ce hôte masque-t-il des activités ? »

Comment utiliser la compétence analyzing-linux-kernel-rootkits

Installer et ouvrir d’abord les bons fichiers

Installez-la avec npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-linux-kernel-rootkits. Lisez ensuite d’abord SKILL.md, puis references/api-reference.md pour les modèles de commandes et scripts/agent.py pour la logique d’automatisation. Si vous cherchez à décider si cette compétence vaut le coup, ces fichiers montrent mieux le vrai chemin d’analyse qu’un simple survol du dépôt.

Donner à la compétence le minimum de contexte utile

Pour bien utiliser analyzing-linux-kernel-rootkits, fournissez : le type d’acquisition (.lime, raw ou dump partiel), la distribution et la version du noyau si vous les connaissez, le fait que le système soit en direct ou hors ligne, et la suspicion précise. De bons exemples d’entrée : « Analyse ce dump LiME d’Ubuntu 22.04 pour détecter des modules cachés et des hooks de syscalls » ou « Vérifie un hôte Debian en direct pour des indicateurs de rootkit noyau avec rkhunter et des contrôles croisés ».

Commencer par les contrôles croisés, puis resserrer

Un guide pratique pour analyzing-linux-kernel-rootkits consiste à comparer les vues avant de tirer des conclusions : lsmod face à hidden_modules, pslist face à pstree, /proc face à /sys, puis check_syscall et check_idt pour repérer des traces de hook. Utilisez rkhunter pour corroborer côté hôte, pas comme verdict autonome. Les résultats les plus utiles sont les incohérences, pas les alertes isolées.

Surveiller les principales contraintes

Volatility3 dépend d’une table de symboles du noyau compatible, donc un fichier ISF absent ou incorrect affaiblira les résultats. Les dumps mémoire peuvent aussi être partiels, compressés ou acquis d’une manière qui limite la couverture des plugins. Si vous ne pouvez pas faire correspondre correctement le noyau, dites-le dans la demande : la compétence est plus forte pour identifier des zones suspectes que pour faire semblant d’être certaine.

FAQ sur la compétence analyzing-linux-kernel-rootkits

Est-ce réservé à l’analyse mémoire ?

Non. La compétence est pensée pour la forensic mémoire Linux, mais elle prend aussi en charge l’analyse d’un système en direct avec rkhunter et des vérifications d’écarts entre différentes vues d’exécution. Pour analyzing-linux-kernel-rootkits en digital forensics, l’analyse mémoire est en général la voie la plus solide, tandis que les vérifications en direct servent surtout à corroborer.

Faut-il être expert de Volatility3 ?

Non, mais il faut savoir de quel artefact on dispose. Un débutant peut utiliser la compétence s’il peut préciser le type de dump et la question à résoudre. Elle convient moins bien si vous voulez une réponse générique du type « scanne mon serveur » sans artefacts de preuve.

En quoi est-ce différent d’un prompt classique ?

Un prompt classique demande souvent une « détection de rootkit » de manière abstraite. Cette compétence est plus exploitable parce qu’elle oriente vers des plugins Linux précis, des étapes de corrélation et des types de divergences attendues. Cela réduit l’improvisation quand on analyse analyzing-linux-kernel-rootkits dans un vrai workflow d’incident.

Quand ne faut-il pas l’utiliser ?

Ne vous y fiez pas si vous n’avez qu’un soupçon vague, sans accès à l’hôte, sans dump et sans contexte de noyau. C’est aussi un mauvais choix pour les systèmes non Linux ou pour les cas où l’analyse inverse de malware compte davantage que l’intégrité du noyau.

Comment améliorer la compétence analyzing-linux-kernel-rootkits

Fournir des entrées de preuve plus précises

Le plus gros gain de qualité vient d’un artefact exact et d’une question précise. Au lieu de « vérifie ce système », dites plutôt « compare pslist et pstree avec /proc sur cette image mémoire Fedora 38, puis inspecte les hooks de syscalls ». Cela rend la sortie de analyzing-linux-kernel-rootkits plus ciblée et plus facile à vérifier.

Demander de la corrélation, pas seulement de la détection

Le travail sur les rootkits échoue souvent quand les analystes s’arrêtent à un seul plugin. Demandez à la compétence de réconcilier les résultats de hidden_modules, check_syscall, check_idt et des listes de processus, puis d’expliquer quels éléments sont corroborés et lesquels restent faibles. Cette approche est particulièrement importante dans l’usage de analyzing-linux-kernel-rootkits, car les faux positifs viennent souvent d’un contexte incomplet.

Améliorer le contexte d’acquisition et de symboles

Si possible, fournissez la version du noyau, la distribution, la méthode d’acquisition et la source de la table de symboles correspondante. Un meilleur contexte de symboles permet une meilleure interprétation des plugins et moins d’impasses. Si vous avez un dump partiel, indiquez-le tout de suite afin que l’analyse puisse prioriser ce qui reste fiable.

Itérer après le premier passage

Servez-vous du premier résultat pour affiner la question suivante : demandez une chasse plus étroite, par exemple uniquement les modules cachés, ou une validation d’une entrée de syscall suspecte précise. Pour analyzing-linux-kernel-rootkits, un resserrement itératif produit généralement de meilleures décisions forensiques qu’une demande trop large d’emblée.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

extracting-browser-history-artifacts

par mukul975

extracting-browser-history-artifacts est une skill de criminalistique numérique dédiée à l’extraction de l’historique de navigation, des cookies, du cache, des téléchargements et des favoris depuis Chrome, Firefox et Edge. Utilisez-la pour transformer les fichiers de profil du navigateur en éléments de preuve prêts pour une chronologie, avec un workflow reproductible et centré sur l’enquête.

Digital Forensics

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

deobfuscating-javascript-malware

par mukul975

deobfuscating-javascript-malware aide les analystes à transformer du JavaScript malveillant fortement obfusqué en code lisible pour l’analyse de malwares, les pages de phishing, les web skimmers, les droppers et les charges utiles livrées via le navigateur. Utilisez ce skill de déobfuscation de malware JavaScript pour une déobfuscation structurée, le suivi des décodages et une revue contrôlée lorsque le simple minification n’est pas le problème.

Malware Analysis

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

analyzing-macro-malware-in-office-documents

par mukul975

analyzing-macro-malware-in-office-documents aide les analystes malware à examiner du VBA malveillant dans des fichiers Word, Excel et PowerPoint, à décoder l’obfuscation et à extraire des IOC, les chemins d’exécution et la logique de préparation des charges utiles pour le triage de phishing, la réponse à incident et l’analyse de documents malveillants.

Malware Analysis

Favoris 0GitHub 0

collecting-indicators-of-compromise

par mukul975

Skill collecting-indicators-of-compromise pour extraire, enrichir, scorer et exporter des IOC à partir de preuves d’incident. À utiliser pour les workflows d’audit de sécurité, le partage de renseignements sur les menaces et la sortie STIX 2.1 lorsque vous avez besoin d’un guide pratique de collecte d’indicateurs de compromission plutôt que d’un prompt générique de réponse à incident.

Security Audit

Favoris 0GitHub 0

analyzing-golang-malware-with-ghidra

par mukul975

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

Security Audit

Favoris 0GitHub 0

building-incident-timeline-with-timesketch

par mukul975

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

Incident Triage

Favoris 0GitHub 6.1k

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

detecting-rootkit-activity

par mukul975

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

Malware Analysis

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k

hunting-advanced-persistent-threats

par mukul975

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

Threat Hunting

Favoris 0GitHub 0

extracting-windows-event-logs-artifacts

par mukul975

extracting-windows-event-logs-artifacts vous aide à extraire, parser et analyser les journaux d’événements Windows (EVTX) pour la criminalistique numérique, la réponse à incident et la chasse aux menaces. Il prend en charge une analyse structurée des ouvertures de session, des créations de processus, des installations de services, des tâches planifiées, des changements de privilèges et de l’effacement des journaux avec Chainsaw, Hayabusa et EvtxECmd.

Digital Forensics

Favoris 0GitHub 0