extracting-credentials-from-memory-dump

par mukul975

La compétence extracting-credentials-from-memory-dump aide à analyser des dumps mémoire Windows pour extraire des hachages NTLM, des secrets LSA, du matériel Kerberos et des jetons, à l’aide de workflows Volatility 3 et pypykatz. Elle est conçue pour la criminalistique numérique et la réponse à incident lorsque vous avez besoin de preuves solides, d’évaluer l’impact sur les comptes et d’obtenir des recommandations de remédiation à partir d’un dump valide.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieDigital Forensics

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-credentials-from-memory-dump

Score éditorial

Cette compétence obtient 73/100, ce qui suffit pour une publication dans l’annuaire, mais avec des réserves claires. Le dépôt propose un vrai workflow de mémoire forensique pour l’extraction d’identifiants, donc les utilisateurs peuvent vraisemblablement le déclencher et comprendre son objectif sans simple prompt générique ; en revanche, la décision d’installation reste freinée par l’absence d’instructions d’installation et par un niveau de détail opérationnel seulement partiel dans les éléments visibles.

73/100

Points forts

Cas d’usage clair et précis pour la réponse à incident et l’extraction d’identifiants en contexte forensique à partir de dumps mémoire.
Le contenu de workflow est conséquent, avec l’usage de Volatility 3 et pypykatz, ainsi qu’un script d’agent Python et une référence API.
Des sorties et cibles d’extraction étayées par des preuves sont nommées (LSASS, NTLM, Kerberos, DPAPI, hachages mis en cache, jetons), ce qui améliore l’efficacité pour l’agent.

Points de vigilance

Aucune commande d’installation n’est fournie dans SKILL.md, donc l’adoption peut nécessiter une configuration manuelle et davantage d’hypothèses.
Les extraits visibles ne montrent pas complètement le guide opérateur de bout en bout ; les cas limites et le déroulé d’exécution peuvent donc encore nécessiter la consultation des références et des scripts.

Forensics Memory Forensics Volatility3 Mimikatz Credential Access Password Hashes Credentials Kerberos

Vue d’ensemble

Vue d’ensemble de la skill extracting-credentials-from-memory-dump

La skill extracting-credentials-from-memory-dump vous aide à analyser une image mémoire capturée pour en extraire des identifiants, des hachages, des éléments Kerberos et des tokens, à l’aide de workflows de type Volatility et Mimikatz. Elle est particulièrement adaptée aux équipes de Digital Forensics et de réponse à incident qui doivent confirmer ce qu’un attaquant a pu consulter, et non à un triage générique d’équipements.

En pratique, ce que les utilisateurs recherchent surtout, c’est la rapidité d’obtention des preuves : identifier l’exposition probable des identifiants, la rattacher aux comptes concernés et produire un résultat défendable pour la réponse ou la remédiation. Cette extracting-credentials-from-memory-dump skill est à son meilleur lorsque vous disposez déjà d’un dump valide et que vous avez besoin d’un workflow d’extraction structuré, avec des choix d’outils clairs et des étapes de traitement adaptées au cas.

Le meilleur cas d’usage pour les chasses aux identifiants en forensic

Utilisez-la lorsque l’objectif est de récupérer des hachages NTLM, des connexions de domaine mises en cache, des secrets LSA ou des éléments dérivés de LSASS à partir d’un dump mémoire connu. C’est un bon choix pour le cadrage d’une compromission, l’investigation de pass-the-hash et les décisions de réinitialisation de mots de passe après incident.

Ce qui distingue cette skill

Le repo est orienté vers des étapes d’extraction concrètes plutôt que vers la théorie. Ses fichiers d’accompagnement décrivent un workflow automatisable, avec volatility3 et pypykatz comme chemin d’exécution principal, ainsi que des contrôles explicites de l’intégrité du dump et du contexte système.

Quand ne pas l’utiliser

N’utilisez pas cette skill comme remplacement de l’analyse disque, d’un outil de live response ou d’un prompt générique du type « trouver des mots de passe ». Si vous n’avez pas l’autorisation, pas d’image mémoire compatible ou pas de scénario de crédential compromise visant Windows, cette skill apportera peu de valeur.

Comment utiliser la skill extracting-credentials-from-memory-dump

Installer la skill et examiner son contexte

Installez le package de la skill extracting-credentials-from-memory-dump avec :
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-credentials-from-memory-dump

Après l’installation, lisez d’abord SKILL.md, puis references/api-reference.md et scripts/agent.py. Ces fichiers indiquent le format d’entrée attendu par la skill, les plugins ou parseurs sur lesquels elle s’appuie, et les sorties générées automatiquement.

Partir d’une entrée bien cadrée

Cette skill donne les meilleurs résultats si vous fournissez : le chemin du dump, la cible d’OS, l’objectif du cas et le type d’identifiants qui compte le plus. Une consigne faible dit simplement « analyse ce dump » ; une consigne plus solide dit : « Extrais les identifiants adossés à LSASS, les hachages de domaine mis en cache et les tokens depuis /cases/case-001/memory.raw pour un review d’incident response sur Windows 10, puis résume les comptes à réinitialiser. »

Suivre un workflow pragmatique

Un bon workflow d’utilisation de extracting-credentials-from-memory-dump consiste à : vérifier l’image, identifier l’OS, localiser LSASS, lancer les plugins Volatility ciblés, puis convertir les artefacts d’identifiants en synthèse de dossier. Si le premier passage renvoie trop de bruit, resserrez la demande à une seule famille d’artefacts, par exemple hashdump, cachedump ou la sortie LSASS.

Ce qu’il faut lire en priorité dans le repo

Donnez la priorité à SKILL.md pour le déroulé, à references/api-reference.md pour le comportement au niveau des fonctions, et à scripts/agent.py pour les détails d’exécution réels et la logique de correspondance. Si vous devez comprendre ce que la skill peut ou ne peut pas extraire, le script est plus utile qu’un survol de haut niveau.

FAQ de la skill extracting-credentials-from-memory-dump

Cette skill est-elle réservée au Digital Forensics ?

Elle est d’abord conçue pour le Digital Forensics et la réponse à incident, en particulier l’analyse de mémoire Windows. Si votre cas ne concerne pas une exposition d’identifiants, un mouvement latéral ou une compromission de compte, une autre skill sera probablement plus adaptée.

Dois-je installer Volatility ou Mimikatz avant ?

Le workflow de la skill suppose que ces capacités sont déjà disponibles dans l’environnement, ou qu’elles peuvent y être installées. Pour l’extracting-credentials-from-memory-dump usage, vérifiez votre chaîne d’outils avant de commencer, afin de ne pas découvrir des dépendances manquantes au milieu de l’analyse.

Un prompt suffit-il, ou faut-il la skill ?

Un prompt peut demander une analyse d’identifiants, mais la skill apporte un workflow plus clair, un ordre d’outils reproductible et une meilleure gestion des entrées du dossier. Cela compte dès qu’il faut un résultat exploitable en audit, plutôt qu’une estimation ponctuelle.

Est-ce adapté aux débutants ?

Oui, si vous comprenez déjà la notion de dump mémoire et que vous pouvez fournir un véritable artefact de dossier. C’est moins accessible pour les débutants qui ont besoin d’aide pour collecter le dump, choisir le bon profil OS ou interpréter des résultats Kerberos et NTLM.

Comment améliorer la skill extracting-credentials-from-memory-dump

Fournir des entrées directement exploitables

Les meilleurs résultats viennent d’un prompt qui précise l’emplacement du dump, l’OS cible, le type d’artefact soupçonné et l’objectif du rapport. Par exemple : « Analyse /evidence/host17.raw, identifie les identifiants dérivés de LSASS et les connexions mises en cache, et renvoie la liste des comptes, des types de secrets et de la priorité de remédiation. »

Demander des sorties ciblées, pas tout à la fois

Un mode d’échec fréquent des exécutions de extracting-credentials-from-memory-dump est l’extraction trop large, qui produit des résultats bruités ou redondants. Améliorez la qualité de sortie en ne demandant qu’un seul ensemble à la fois : hachages locaux, cache de domaine, secrets de service, tokens ou synthèse triée pour décider des réinitialisations.

Ajouter les contraintes qui changent l’interprétation

Si le dump est partiel, compressé, issu d’un crash report ou capturé après confinement, dites-le dès le départ. Ces détails modifient les plugins utiles et le degré de confiance avec lequel la skill peut affirmer la présence d’identifiants.

Passer des preuves à l’action

Après le premier passage, recentrez la demande sur ce qui compte opérationnellement : comptes affectés, risque probable de réutilisation et mesures de remédiation immédiates. Pour extracting-credentials-from-memory-dump for Digital Forensics, le deuxième prompt le plus utile est généralement un suivi plus précis qui transforme les artefacts bruts en synthèse de cas propre.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

extracting-browser-history-artifacts

par mukul975

extracting-browser-history-artifacts est une skill de criminalistique numérique dédiée à l’extraction de l’historique de navigation, des cookies, du cache, des téléchargements et des favoris depuis Chrome, Firefox et Edge. Utilisez-la pour transformer les fichiers de profil du navigateur en éléments de preuve prêts pour une chronologie, avec un workflow reproductible et centré sur l’enquête.

Digital Forensics

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

deobfuscating-javascript-malware

par mukul975

deobfuscating-javascript-malware aide les analystes à transformer du JavaScript malveillant fortement obfusqué en code lisible pour l’analyse de malwares, les pages de phishing, les web skimmers, les droppers et les charges utiles livrées via le navigateur. Utilisez ce skill de déobfuscation de malware JavaScript pour une déobfuscation structurée, le suivi des décodages et une revue contrôlée lorsque le simple minification n’est pas le problème.

Malware Analysis

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

analyzing-macro-malware-in-office-documents

par mukul975

analyzing-macro-malware-in-office-documents aide les analystes malware à examiner du VBA malveillant dans des fichiers Word, Excel et PowerPoint, à décoder l’obfuscation et à extraire des IOC, les chemins d’exécution et la logique de préparation des charges utiles pour le triage de phishing, la réponse à incident et l’analyse de documents malveillants.

Malware Analysis

Favoris 0GitHub 0

collecting-indicators-of-compromise

par mukul975

Skill collecting-indicators-of-compromise pour extraire, enrichir, scorer et exporter des IOC à partir de preuves d’incident. À utiliser pour les workflows d’audit de sécurité, le partage de renseignements sur les menaces et la sortie STIX 2.1 lorsque vous avez besoin d’un guide pratique de collecte d’indicateurs de compromission plutôt que d’un prompt générique de réponse à incident.

Security Audit

Favoris 0GitHub 0

analyzing-golang-malware-with-ghidra

par mukul975

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

Security Audit

Favoris 0GitHub 0

building-incident-timeline-with-timesketch

par mukul975

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

Incident Triage

Favoris 0GitHub 6.1k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

detecting-rootkit-activity

par mukul975

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

Malware Analysis

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k

hunting-advanced-persistent-threats

par mukul975

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

Threat Hunting

Favoris 0GitHub 0