detecting-process-hollowing-technique

par mukul975

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieThreat Hunting

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique

Score éditorial

Ce skill obtient 81/100, ce qui en fait une fiche solide pour les utilisateurs qui chassent le process hollowing (T1055.012). Le dépôt fournit suffisamment de détails opérationnels pour qu’un agent sache quand l’utiliser, suivre un workflow de détection et exploiter les scripts et références associés avec relativement peu d’incertitude, même s’il reste davantage orienté détection que prêt à l’emploi.

81/100

Points forts

Fort pouvoir de déclenchement : le fichier SKILL.md cible clairement la détection du process hollowing et cite des cas d’usage concrets comme les alertes EDR, les menaces mémoire et la validation purple team.
Bon cadre opérationnel : le dépôt propose un workflow en plusieurs phases ainsi que des références utiles pour Sysmon, MDE/KQL, Splunk SPL et le contexte des séquences d’API.
Bon levier pour un agent : les scripts et modèles offrent des points de départ exécutables pour l’analyse des journaux Sysmon et la documentation de chasse, plutôt qu’un simple descriptif narratif.

Points de vigilance

Aucune commande d’installation dans SKILL.md, donc les utilisateurs devront peut-être déduire eux-mêmes comment mettre en œuvre les scripts et dépendances.
Une partie du contenu du workflow est tronquée dans les éléments fournis, et le skill semble centré sur la télémétrie Windows, ce qui limite son intérêt en dehors de cet environnement.

Mitre Attack Malware Analysis Process Hollowing Edr Sysmon Windows T1055

Vue d’ensemble

Aperçu du skill de détection du process hollowing

Le skill detecting-process-hollowing-technique vous aide à traquer le process hollowing (MITRE ATT&CK T1055.012) dans la télémétrie Windows en corrélant création de processus, altération mémoire et anomalies parent-enfant. Il est particulièrement adapté aux threat hunters, aux detection engineers et aux incident responders qui ont besoin d’un workflow concret de detecting-process-hollowing-technique for Threat Hunting, et non d’une explication générique de l’injection de processus.

À quoi sert ce skill

Utilisez ce skill quand vous devez déterminer si un processus suspect a vraiment été hollowed, et pas seulement s’il paraît inhabituel. Il se concentre sur les signaux qui comptent en production : création de processus suspendu, décalage entre l’image attendue et l’image réelle, écritures mémoire distantes et flux d’exécution anormal après la reprise du thread.

Pourquoi il est utile en chasse réelle

La principale force du detecting-process-hollowing-technique skill tient à sa structure. Au lieu de partir d’une alerte isolée, il propose une séquence claire : repérer les processus candidats, vérifier les relations parent-enfant attendues sous Windows, puis confirmer avec des indices mémoire et des éléments au niveau API. Cela réduit les faux positifs liés à des comportements légitimes de services et aide à distinguer ce qui est seulement “bizarre” de ce qui est réellement “malveillant”.

Ce qui le différencie

Ce skill est particulièrement solide lorsque vous disposez de télémétrie EDR ou Sysmon et que vous avez besoin d’un workflow orienté détection. Il est plus utile qu’une simple requête d’une ligne, parce qu’il reflète déjà la chaîne habituelle du hollowing et son arbitrage classique : plus la confiance est élevée, plus il faut de visibilité sur les processus et la mémoire. Si vous ne disposez que des journaux réseau, ce skill ne vous donnera pas suffisamment d’éléments probants.

Comment utiliser le skill detecting-process-hollowing-technique

Installation et chargement

Installez avec :

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique

Ouvrez ensuite d’abord skills/detecting-process-hollowing-technique/SKILL.md. Si vous voulez comprendre le contexte opérationnel qui sous-tend la logique de chasse, lisez aussi references/standards.md et references/workflows.md avant d’utiliser le skill dans votre propre environnement.

Commencez avec la bonne entrée

Le skill fonctionne mieux si votre prompt précise la source de télémétrie, un bref soupçon initial et la fenêtre temporelle. Par exemple : “Analyze Sysmon Event IDs 1, 8, 10, and 25 from host X for signs of process hollowing after a suspicious svchost.exe launch at 14:30 UTC.” C’est bien plus utile que “check for malware”, car cela donne au modèle une cible de chasse concrète et une voie de vérification.

Workflow recommandé

Utilisez le skill pour réduire la liste des processus candidats à partir de Sysmon ou de l’EDR.
Vérifiez la relation parent-enfant par rapport à la baseline Windows.
Recherchez les indices de hollowing : démarrage suspendu, séquence unmap/write/redirect et événements d’altération.
Confirmez avec des éléments mémoire si disponibles.
Transformez le résultat en note de chasse ou en règle de détection, en vous appuyant sur assets/template.md pour la forme du reporting.

Fichiers à lire en priorité

Pour l’utilisation de detecting-process-hollowing-technique, commencez par :

SKILL.md pour la logique de chasse et les prérequis
references/api-reference.md pour la séquence d’API et un exemple de requête Splunk
references/workflows.md pour des exemples Sysmon et MDE
assets/template.md pour documenter les constats de façon claire
scripts/agent.py et scripts/process.py si vous voulez automatiser l’analyse ou le triage des événements

FAQ du skill detecting-process-hollowing-technique

Ce skill est-il réservé aux analystes avancés ?

Non. Le detecting-process-hollowing-technique guide reste accessible à des débutants qui connaissent déjà les notions de base sur les processus Windows. Il faut toutefois suffisamment de contexte pour distinguer un comportement normal de service d’un schéma d’injection suspect, mais le skill fournit une vraie voie de chasse au lieu d’exiger des compétences poussées en rétro-ingénierie.

Faut-il obligatoirement EDR ou Sysmon ?

Idéalement, oui. Le skill est bien plus efficace avec la télémétrie Sysmon et EDR, parce que le process hollowing est souvent invisible dans les journaux endpoint de base. Sans données sur la création de processus, les altérations ou la mémoire, vous n’obtiendrez parfois qu’un soupçon faible plutôt qu’une conclusion défendable.

En quoi est-ce différent d’un prompt classique ?

Un prompt classique peut décrire le process hollowing en termes généraux. Ce skill est plus orienté décision : il vous pousse vers des vérifications précises, des baselines parent-enfant attendues et des preuves qui étayent ou réfutent T1055.012. Le résultat est généralement plus utile pour le triage et moins vague.

Quand ne faut-il pas l’utiliser ?

N’utilisez pas detecting-process-hollowing-technique si votre cas concerne surtout l’exploitation de navigateur, un malware de macro ou une persistance générique sans preuve d’injection de processus. Ce skill est aussi mal adapté si vous n’avez pas de télémétrie endpoint et que vous avez seulement besoin d’un résumé d’incident à haut niveau.

Comment améliorer le skill detecting-process-hollowing-technique

Donnez davantage de contexte de télémétrie

Le gain de qualité le plus important vient de meilleures données d’entrée. Indiquez la version de l’OS, la source de journalisation, les Event IDs et un ou deux noms de processus suspects. Par exemple : “Windows 11, Sysmon 13, Event 1 and 25, svchost.exe started by cmd.exe, then tampering alert at 14:31.” Cela aide le modèle à s’ancrer dans la bonne voie de détection.

Demandez un verdict avec des preuves

Si vous voulez une sortie vraiment utile, demandez à la fois une conclusion et la chaîne de preuve. Une bonne demande serait : “Classify the likelihood of process hollowing, list supporting indicators, and note what evidence is still missing.” Cela oblige le résultat à distinguer les constats confirmés des hypothèses.

Surveillez les erreurs fréquentes

L’erreur la plus courante consiste à conclure trop vite au hollowing à partir d’un simple décalage parent-enfant. Une autre consiste à considérer tout processus suspendu comme malveillant. Améliorez le résultat en fournissant les attentes de baseline parent-enfant, les activités admin connues comme légitimes et le fait de disposer ou non de preuves mémoire, ou seulement de logs d’événements.

Itérez après un premier passage

Utilisez la première réponse pour identifier ce qui manque, puis relancez le skill avec ces lacunes comblées. Si la sortie reste prudente, ajoutez les hash des processus, les lignes de commande, les modules chargés et l’intervalle de temps entre CreateProcess, WriteProcessMemory et ResumeThread. Vous transformerez ainsi une réponse générique du detecting-process-hollowing-technique skill en note de détection ou de chasse beaucoup plus défendable.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

detecting-privilege-escalation-attempts

par mukul975

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Threat Hunting

Favoris 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

par mukul975

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

Threat Hunting

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-rdp-brute-force-attacks

par mukul975

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

Security Audit

Favoris 0GitHub 6.2k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

exploiting-kerberoasting-with-impacket

par mukul975

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

Penetration Testing

Favoris 0GitHub 6.2k

detecting-shadow-it-cloud-usage

par mukul975

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

Security Audit

Favoris 0GitHub 6.2k

detecting-service-account-abuse

par mukul975

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

Threat Hunting

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k

detecting-network-anomalies-with-zeek

par mukul975

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

Security Audit

Favoris 0GitHub 6.1k