extracting-memory-artifacts-with-rekall

par mukul975

Guide d'extraction des artefacts mémoire avec Rekall pour analyser des images mémoire Windows. Découvrez les schémas d'installation et d'utilisation pour repérer les processus cachés, le code injecté, les VAD suspectes, les DLL chargées et l'activité réseau en investigation numérique.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieDigital Forensics

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall

Score éditorial

Cette skill obtient 78/100, ce qui en fait une option solide pour les utilisateurs d’un annuaire qui recherchent une aide en investigation mémoire basée sur Rekall. Le dépôt propose un vrai workflow, une couverture concrète des plugins et un script exécutable, ce qui permet d’évaluer son adéquation et de le lancer avec moins d’incertitude qu’avec une requête générique, même si les consignes d’installation et d’utilisation ne sont pas totalement abouties.

78/100

Points forts

Cas d’usage clair pour la réponse à incident : extraction d’artefacts mémoire à partir d’images mémoire Windows, avec des plugins Rekall précis cités dans la description et la documentation de référence.
Présence d’éléments opérationnels : un script `agent.py` et une référence d’API montrant la création de session, la détection de processus cachés et des exemples en ligne de commande.
Le frontmatter est valide et inclut le domaine, le sous-domaine, la version, la licence et des tags NIST CSF, ce qui améliore la clarté du choix d’installation et la fiabilité perçue.

Points de vigilance

Aucune commande d’installation dans `SKILL.md`, donc les utilisateurs devront peut-être déduire eux-mêmes le câblage des dépendances et la configuration d’exécution.
La documentation est utile mais pas entièrement de bout en bout ; l’arborescence des fichiers suggère un flux de travail étroit, centré sur l’analyse mémoire avec Rekall, plutôt qu’une couverture plus large de la réponse à incident.

Memory Forensics Rekall Windows Artifacts Malware Analysis Reverse Engineering Forensics Security Operations

Vue d’ensemble

Vue d’ensemble du skill extracting-memory-artifacts-with-rekall

Le skill extracting-memory-artifacts-with-rekall vous aide à analyser des images mémoire Windows avec Rekall afin d’identifier les artefacts qui comptent en réponse à incident : processus cachés, code injecté, régions VAD suspectes, DLL chargées et activité réseau. Il est particulièrement adapté aux analystes qui cherchent extracting-memory-artifacts-with-rekall pour l’investigation forensique numérique et qui veulent un workflow guidé et reproductible plutôt que d’assembler des commandes Rekall au cas par cas.

À quoi sert ce skill

Utilisez ce skill lorsque l’objectif est de transformer un dump mémoire en constats défendables : ce qui s’exécute, ce qui est dissimulé, ce qui semble injecté et quelles preuves appuient cette conclusion. Sa vraie valeur, c’est la rapidité avec une méthode structurée, pas simplement l’exécution ponctuelle de pslist.

À qui il s’adresse

Ce skill convient aux analystes SOC, aux intervenants DFIR, aux threat hunters et aux équipes red team qui valident une logique de détection en laboratoire. Il est moins utile si vous avez seulement besoin d’un résumé large pour du triage malware, ou si votre preuve n’est pas une image mémoire Windows.

Ce qui le distingue

Le skill s’appuie sur des plugins Rekall et des schémas d’analyse qui mettent en évidence les artefacts présents uniquement en mémoire, en particulier les comparaisons pslist vs psscan et les vérifications malfind/vadinfo. Il est donc plus solide pour traiter les questions de dissimulation de processus et d’injection de code qu’un prompt générique qui demande simplement de « l’aide en mémoire forensique ».

Comment utiliser le skill extracting-memory-artifacts-with-rekall

Installer le skill et repérer le workflow

Installez-le avec npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall. Pour valider extracting-memory-artifacts-with-rekall install, ouvrez d’abord skills/extracting-memory-artifacts-with-rekall/SKILL.md, puis lisez references/api-reference.md pour les commandes et scripts/agent.py pour le schéma d’exécution. Ces fichiers montrent le workflow plus clairement qu’un survol rapide du repo.

Fournir au skill la bonne entrée

Pour un bon extracting-memory-artifacts-with-rekall usage, indiquez : le chemin de l’image, le type de capture si vous le connaissez, la version de Windows ou la source probable du profil, et la question précise à résoudre. Une bonne consigne ressemble à : « Analyse memory.raw pour détecter des processus cachés, de l’injection de code et des connexions réseau suspectes ; privilégie les artefacts exploitables dans un rapport d’incident. » Une consigne faible comme « vérifie ce dump » oblige le modèle à trop deviner.

Suivre une séquence d’analyse ciblée

Commencez large avec pslist, psscan et netscan, puis resserrez avec malfind, vadinfo, dlllist et handles sur les PID suspects. Comparez les processus actifs et les processus détectés par scan pour repérer les dissimulations, puis inspectez les permissions VAD et les modules chargés pour confirmer si un processus semble injecté ou hollowed. Si vous connaissez déjà le PID suspect, demandez un passage centré sur ce PID plutôt qu’un balayage complet du dump.

Lire le dépôt dans cet ordre

Lisez d’abord references/api-reference.md pour les noms de plugins et les exemples en ligne de commande, puis examinez scripts/agent.py pour comprendre comment la session est créée et comment la logique de détection des processus cachés est implémentée. Cet ordre vous aide à adapter le extracting-memory-artifacts-with-rekall guide à votre propre laboratoire ou à votre chaîne d’automatisation sans recopier des valeurs par défaut fragiles.

FAQ sur le skill extracting-memory-artifacts-with-rekall

Est-ce réservé à l’analyse mémoire Windows ?

Dans la grande majorité des cas, oui. Le dépôt est centré sur l’analyse d’images mémoire avec Rekall et sur des artefacts orientés Windows comme EPROCESS, les VAD, les DLL et les modules noyau. Si votre cas concerne de la mémoire Linux, un triage basé uniquement sur le disque, ou une réponse à incident sur poste vivant sans dump, ce skill n’est généralement pas le bon outil.

En quoi est-il différent d’un prompt classique ?

Un prompt classique peut mentionner des commandes Rekall, mais le extracting-memory-artifacts-with-rekall skill vous donne une structure plus reproductible : quoi exécuter en premier, quoi comparer et quels résultats sont significatifs. Cela réduit les approximations lorsque l’image est bruitée ou lorsque vous avez besoin de résultats explicables.

Est-ce adapté aux débutants ?

Oui, il reste utilisable par des débutants qui connaissent les bases de la réponse à incident, mais les résultats sont meilleurs si l’utilisateur sait nommer l’artefact qu’il cherche. Si vous ne comprenez pas encore les processus cachés, les anomalies VAD ou l’inspection des DLL, attendez-vous à une phase d’apprentissage avant que le skill paraisse vraiment précis.

Quand ne faut-il pas l’utiliser ?

Ne l’utilisez pas sans autorisation, si vous n’avez pas d’image mémoire valide, ou si la question serait mieux traitée par la télémétrie endpoint, l’analyse disque ou un scan YARA. Il est aussi mal adapté si vous voulez un verdict malware en une seule commande sans validation des artefacts.

Comment améliorer le skill extracting-memory-artifacts-with-rekall

Donner d’emblée les contraintes de preuve

Le meilleur extracting-memory-artifacts-with-rekall usage commence par les contraintes : format de l’image, fenêtre temporelle suspecte, famille d’OS et ce qui constitue un résultat utile. Précisez si vous cherchez des indices d’injection de processus, de persistance cachée ou d’artefacts réseau, car le chemin d’analyse change nettement.

Demander une sortie appuyée sur des artefacts

Demandez des constats reliés à des preuves de plugins, pas seulement des résumés narratifs. Par exemple : « Liste les processus cachés trouvés par psscan mais pas par pslist, puis inspecte chacun avec malfind et dlllist, et explique quels artefacts soutiennent la suspicion. » Cela rend le résultat plus facile à auditer et à réutiliser dans un rapport.

Surveiller les modes d’échec courants

Les principaux écueils sont une détection de profil non fondée, des conclusions trop assurées à partir d’un seul plugin, et des résultats brouillés quand chaque anomalie est considérée comme malveillante. Améliorez le prochain passage en demandant au skill de séparer les artefacts « intéressants », « suspects » et « confirmés », puis concentrez-vous uniquement sur les PID les plus parlants.

Passer du triage à la confirmation

Un bon workflow consiste à : énumération large, sélection des processus suspects, puis confirmation par inspection ciblée et recoupement. Si le premier passage révèle un processus caché, revenez ensuite avec le PID exact, la plage VAD, l’ensemble de DLL et les éventuels artefacts réseau afin que le extracting-memory-artifacts-with-rekall skill puisse passer de la découverte à l’explication.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

extracting-browser-history-artifacts

par mukul975

extracting-browser-history-artifacts est une skill de criminalistique numérique dédiée à l’extraction de l’historique de navigation, des cookies, du cache, des téléchargements et des favoris depuis Chrome, Firefox et Edge. Utilisez-la pour transformer les fichiers de profil du navigateur en éléments de preuve prêts pour une chronologie, avec un workflow reproductible et centré sur l’enquête.

Digital Forensics

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

deobfuscating-javascript-malware

par mukul975

deobfuscating-javascript-malware aide les analystes à transformer du JavaScript malveillant fortement obfusqué en code lisible pour l’analyse de malwares, les pages de phishing, les web skimmers, les droppers et les charges utiles livrées via le navigateur. Utilisez ce skill de déobfuscation de malware JavaScript pour une déobfuscation structurée, le suivi des décodages et une revue contrôlée lorsque le simple minification n’est pas le problème.

Malware Analysis

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

analyzing-macro-malware-in-office-documents

par mukul975

analyzing-macro-malware-in-office-documents aide les analystes malware à examiner du VBA malveillant dans des fichiers Word, Excel et PowerPoint, à décoder l’obfuscation et à extraire des IOC, les chemins d’exécution et la logique de préparation des charges utiles pour le triage de phishing, la réponse à incident et l’analyse de documents malveillants.

Malware Analysis

Favoris 0GitHub 0

collecting-indicators-of-compromise

par mukul975

Skill collecting-indicators-of-compromise pour extraire, enrichir, scorer et exporter des IOC à partir de preuves d’incident. À utiliser pour les workflows d’audit de sécurité, le partage de renseignements sur les menaces et la sortie STIX 2.1 lorsque vous avez besoin d’un guide pratique de collecte d’indicateurs de compromission plutôt que d’un prompt générique de réponse à incident.

Security Audit

Favoris 0GitHub 0

analyzing-golang-malware-with-ghidra

par mukul975

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

Security Audit

Favoris 0GitHub 0

building-incident-timeline-with-timesketch

par mukul975

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

Incident Triage

Favoris 0GitHub 6.1k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

detecting-rootkit-activity

par mukul975

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

Malware Analysis

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k

hunting-advanced-persistent-threats

par mukul975

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

Threat Hunting

Favoris 0GitHub 0