memory-forensics

par wshobson

La skill memory-forensics sert à la capture de RAM et à l’analyse de dumps avec Volatility 3. Elle couvre le contexte d’installation, les workflows d’utilisation, l’extraction d’artefacts et le triage d’incident sur Windows, Linux, macOS et la mémoire de machines virtuelles.

Étoiles32.6k

Favoris0

Commentaires0

Ajouté30 mars 2026

CatégorieIncident Triage

Commande d’installation

npx skills add wshobson/agents --skill memory-forensics

Score éditorial

Cette skill obtient la note de 76/100, ce qui en fait une fiche pertinente dans l’annuaire pour les utilisateurs qui cherchent un playbook réutilisable de forensic mémoire plutôt qu’un simple prompt générique. Le dépôt fournit un contexte de déclenchement clair et un contenu riche, orienté commandes, autour de l’acquisition et de l’analyse avec Volatility, mais il faut s’attendre à une documentation seule, avec encore une part de configuration et de prise de décision à gérer soi-même.

76/100

Points forts

Déclenchement clair dès le frontmatter : il est explicitement indiqué d’utiliser la skill pour les dumps mémoire, les investigations d’incident et l’analyse de malwares à partir de captures RAM.
Contenu opérationnel substantiel : la skill inclut des commandes concrètes d’acquisition pour Windows, Linux, macOS et les sources de mémoire de VM, ainsi que des indications d’installation et de configuration de Volatility 3.
Bon potentiel d’usage par un agent comme référence de workflow : le document est long et structuré autour de plusieurs axes d’analyse, au lieu d’être un simple placeholder ou une démonstration superficielle.

Points de vigilance

Skill limitée à la documentation : il n’y a ni scripts, ni fichiers de référence, ni règles, ni ressources d’assistance ; l’exécution dépend donc du fait que l’agent ou l’utilisateur sache déjà appliquer les commandes en toute sécurité.
La clarté sur l’installation et l’adoption reste moyenne : aucune commande d’installation n’apparaît dans SKILL.md, et les signaux structurels montrent peu de contraintes explicites ou de conseils pratiques détaillés.

Reverse Engineering Security Monitoring Python Cli

Vue d’ensemble

Vue d’ensemble de la compétence memory-forensics

Ce que fait la compétence memory-forensics

La compétence memory-forensics aide un agent à gérer l’acquisition de RAM et l’analyse de dumps mémoire avec des outils éprouvés comme Volatility 3 et des utilitaires de capture courants. Elle vise les workflows de réponse à incident, de triage malware et d’investigation hôte lorsque les artefacts disque, à eux seuls, ne suffisent pas.

À qui cette compétence convient le mieux

Cette compétence memory-forensics est particulièrement adaptée pour :

les responders qui traitent une compromission suspectée sur Windows, Linux ou macOS
les analystes qui examinent une image mémoire capturée ou un fichier mémoire de VM
les utilisateurs qui ont besoin d’une structure de départ concrète pour l’analyse des processus, du réseau et des artefacts
les équipes qui font de la memory-forensics pour l’Incident Triage plutôt que pour de la recherche noyau approfondie

Elle est moins utile si vous ne disposez pas encore d’une image mémoire, si vous ne pouvez pas en collecter une de manière légale ou sûre, ou si vous avez uniquement besoin d’une revue basique de logs.

Le vrai besoin à couvrir

La plupart des utilisateurs n’ont pas besoin d’un cours d’histoire sur l’analyse mémoire. Ils ont besoin d’aide pour répondre à des questions comme :

quelle est la manière la plus sûre de capturer la RAM sur ce système ?
comment analyser le dump avec le bon outil et les bons symboles ?
quels processus, codes injectés, identifiants, sockets et indices de persistance faut-il vérifier en priorité ?
comment transformer une suspicion large en guide memory-forensics réutilisable ?

Cette compétence est utile parce qu’elle regroupe ces tâches dans un workflow exploitable, au lieu de laisser l’agent improviser à partir d’un prompt vide.

Ce qui différencie cette compétence

Son principal point fort est sa couverture de bout en bout du parcours memory-forensics : options d’acquisition, capture de VM, configuration de Volatility, et catégories d’investigation comme les processus, les DLL, le réseau, les données registre, les indicateurs de malware et l’extraction. Elle est plus opérationnelle qu’un simple prompt générique du type « analyse ce dump », en particulier quand vous avez besoin que l’agent suggère l’étape forensic suivante, pas seulement qu’il cite des outils.

Ce qu’il faut savoir avant l’installation

Ce chemin du dépôt contient un seul fichier SKILL.md avec les consignes. Il n’y a ni scripts d’assistance, ni symboles packagés, ni règles d’automatisation, ni jeux de données d’exemple dans le dossier de la compétence. L’installation de memory-forensics est donc légère, mais la qualité des résultats dépend fortement des détails que vous fournissez : système d’exploitation, méthode de capture, format de fichier, menace suspectée et question exacte à traiter.

Comment utiliser la compétence memory-forensics

Contexte d’installation pour la compétence memory-forensics

Installez la compétence depuis le dépôt, puis invoquez-la lorsque votre tâche implique une capture mémoire, une analyse basée sur Volatility ou l’extraction d’artefacts depuis la RAM.

npx skills add https://github.com/wshobson/agents --skill memory-forensics

Comme le dossier de la compétence n’expose que SKILL.md, il y a peu de comportement caché. Vous obtenez un cadre structuré, pas une pipeline forensic clé en main.

Commencez par lire ce fichier

Commencez par :

plugins/reverse-engineering/skills/memory-forensics/SKILL.md

Comme le dossier ne contient ni scripts compagnons ni références supplémentaires, lire SKILL.md revient en pratique à parcourir l’intégralité de ce qu’il faut consulter dans le dépôt pour cette compétence.

Quelles entrées fournir pour que la compétence fonctionne bien

La compétence memory-forensics donne les meilleurs résultats quand vous fournissez un contexte forensic concret. Indiquez :

l’OS cible et sa version si vous les connaissez
le chemin et le format de l’image mémoire, par exemple .raw, .lime, .elf, ou mémoire de VM
si l’image provient d’une capture à chaud, d’un snapshot d’hyperviseur ou d’un outil endpoint
l’objectif d’analyse : triage, confirmation de malware, vol d’identifiants, code injecté, activité réseau suspecte
tout indicateur connu : hostname, noms d’utilisateur, noms de processus, hashes, IP, domaines, timestamps
les outils dont vous disposez : vol, python, packs de symboles, règles YARA, strings, grep

Sans ces éléments, l’agent basculera vers un plan d’usage memory-forensics générique plutôt que vers une investigation ciblée.

Transformer un objectif flou en bon prompt

Prompt faible :

« Analyze this memory dump. »

Prompt plus solide :

« Use the memory-forensics skill to triage a Windows 10 memory image at evidence/win10.raw. Prioritize suspicious processes, network connections, DLL injection, LSASS access, persistence clues, and files worth extracting. Assume I have Volatility 3 installed but not Windows symbols. Give me a step-by-step command sequence and explain what findings would be high priority for incident triage.”

La version plus solide améliore les résultats parce qu’elle donne à la compétence une plateforme, un fichier, un objectif et des attentes de sortie.

Exemple de prompt memory-forensics pour l’Incident Triage

Utilisez un prompt comme celui-ci quand la rapidité est prioritaire :

Use the memory-forensics skill for Incident Triage on a Linux memory image captured with LiME. I need a prioritized workflow: identify suspicious processes, loaded modules, open sockets, shell history or credentials in memory if feasible, and anything that suggests rootkit or malware activity. Recommend Volatility 3 commands, note any plugin limitations, and tell me what to extract for follow-up.

Cela garde la sortie concrète et orientée triage, au lieu de dériver vers de la théorie trop générale.

Workflow type pris en charge par la compétence

Un bon schéma d’utilisation est le suivant :

Identifier la source et le format de l’image mémoire.
Confirmer la plateforme et choisir le traitement adapté au mode d’acquisition.
Configurer Volatility 3 et les symboles requis si nécessaire.
Lancer une énumération de base sur les processus, lignes de commande, connexions réseau, modules et handles.
Pivoter vers les artefacts suspects : code injecté, éléments d’identification, données registre, traces navigateur ou indices de déballage de malware.
Extraire les artefacts à forte valeur pour une revue hors ligne.
Résumer les résultats avec des niveaux de confiance et les prochaines étapes.

La compétence est la plus utile quand vous demandez ce type de workflow piloté par la décision, pas seulement une liste de plugins.

Ce que la compétence couvre réellement bien

D’après le contenu source, ce guide memory-forensics est particulièrement solide sur :

les options d’acquisition à chaud pour Windows, Linux et macOS
la collecte mémoire sur machine virtuelle
l’installation et la configuration de Volatility 3
l’analyse des processus et des artefacts à partir de dumps
les tâches d’analyse malware et d’extraction

Elle est donc particulièrement utile si votre principal blocage est de choisir la prochaine commande à lancer ou la prochaine catégorie d’artefacts à inspecter.

Notes pratiques sur l’installation et l’environnement

La compétence fait référence à Volatility 3 ; prévoyez donc :

la gestion de l’environnement Python
la disponibilité des symboles, surtout sous Windows
un espace de stockage suffisant pour de grandes images mémoire
une acquisition sensible aux permissions sur des systèmes en production
des différences de format entre dumps bruts, captures de type ELF et sorties d’hyperviseur

En pratique, beaucoup de premiers essais ratés relèvent davantage de problèmes d’environnement que d’analyse. Si vous voulez que l’agent vous aide, dites-lui précisément ce qui a échoué : erreur d’installation, problème de symboles, format non pris en charge ou incompatibilité de plugin.

Conseils qui améliorent réellement la qualité des résultats

Pour obtenir un meilleur usage de memory-forensics avec l’agent :

demandez des workflows commande par commande, pas seulement des concepts
demandez-lui de séparer les vérifications « triage d’abord » de celles à faire « en analyse approfondie ensuite »
fournissez les noms de processus ou IP déjà suspects afin qu’il puisse construire ses pivots
demandez les sorties attendues et la manière d’interpréter les anomalies
demandez-lui de signaler les cas où Volatility 3 peut nécessiter des symboles ou lorsqu’un plugin ne convient pas à votre OS

Ces formulations évitent les conseils vagues et poussent la compétence vers un mode opératoire concret.

Ce que cette compétence n’automatise pas

Il ne s’agit pas d’une suite forensic packagée. La compétence memory-forensics ne fournit pas :

de binaires de capture
de bundles de symboles préparés
de scripts de validation
d’outils de chaîne de conservation
de génération de rapport en un clic

Si vous avez besoin d’une automatisation de bout en bout, considérez cette compétence comme un guide d’analyse et une ossature de commandes, pas comme un remplacement de votre boîte à outils forensic.

FAQ sur la compétence memory-forensics

Cette compétence memory-forensics est-elle adaptée aux débutants ?

Oui, à condition de déjà comprendre les bases de l’usage en ligne de commande et de savoir ce qu’est une image mémoire. La compétence donne assez de structure pour démarrer, mais elle ne supprime pas le besoin de connaître votre plateforme, les outils disponibles et votre objectif d’investigation. Les débutants complets peuvent encore avoir besoin d’aide externe pour l’installation de Volatility et la gestion des symboles.

Quand la compétence memory-forensics est-elle un meilleur choix qu’un prompt classique ?

Utilisez la compétence memory-forensics lorsque vous voulez que l’agent reste dans un véritable workflow forensic : acquisition, triage, extraction d’artefacts et pivots orientés malware. Un prompt générique produira souvent des conseils vagues, alors que cette compétence a davantage de chances de proposer des outils réalistes, des commandes concrètes et un ordre d’investigation cohérent.

L’installation de memory-forensics inclut-elle des outils comme Volatility ?

Non. L’installation de memory-forensics ajoute les consignes de la compétence, pas les binaires forensic. Vous devez toujours installer et valider vous-même des outils comme volatility3.

Puis-je l’utiliser pour obtenir des conseils sur l’acquisition mémoire à chaud ?

Oui. Le contenu source couvre explicitement des approches d’acquisition à chaud pour Windows, Linux et macOS, ainsi que la capture mémoire de machines virtuelles. Cela dit, vous devez tout de même valider le risque opérationnel avant de collecter la RAM sur des hôtes de production ou potentiellement instables.

Est-ce adapté à l’analyse malware ?

Oui. La compétence est bien adaptée lorsque le malware n’est visible qu’en mémoire via du code injecté, des payloads décompressés en mémoire, des modules suspects ou des artefacts de processus actifs. Elle est particulièrement utile lorsque les analyses basées sur le disque restent incomplètes.

Quand ne faut-il pas utiliser cette compétence ?

Évitez ce guide memory-forensics si :

vous n’avez pas d’image mémoire et ne pouvez pas en capturer une
votre tâche relève uniquement de la forensic disque ou d’une revue SIEM
vous avez davantage besoin d’une documentation de procédure recevable en justice que d’un guidage analytique
vous attendez un parsing automatisé sans configuration d’outils ni intervention opérateur

Est-ce limité à l’analyse Windows ?

Non. La compétence couvre Windows, Linux, macOS et les chemins de capture mémoire de VM. En revanche, la profondeur pratique est généralement meilleure là où vos outils et vos symboles sont les plus solides ; indiquez donc votre plateforme cible à l’agent le plus tôt possible.

Comment améliorer la compétence memory-forensics

Donner à l’agent un meilleur contexte forensic

Le moyen le plus rapide d’améliorer les résultats de memory-forensics est de fournir des éléments plus solides dès le départ. Indiquez :

le nom de fichier exact et le format
la source de capture
la famille d’OS
le comportement suspecté
les IOCs connus
ce que vous avez déjà essayé

Cela aide l’agent à choisir les bons plugins, le bon enchaînement et les bons pivots, au lieu de générer une checklist générique.

Demander une analyse priorisée, pas exhaustive

Un mode d’échec fréquent consiste à obtenir une énorme liste de vérifications possibles sans ordre de triage. Demandez à la compétence memory-forensics de classer les étapes comme suit :

triage immédiat
suivi à forte valeur
analyse approfondie facultative

Ce format est beaucoup plus utile en réponse à incident.

Exiger l’interprétation des sorties de commande

Ne demandez pas seulement des commandes. Demandez à quoi ressemblerait une sortie suspecte. Par exemple :

des chaînes parent-enfant de processus inhabituelles
des processus cachés ou terminés mais toujours résidents en mémoire
des listeners réseau anormaux
des preuves d’accès à LSASS
des modules non signés ou placés à des emplacements inhabituels

Les conseils d’interprétation sont là où cette compétence apporte plus de valeur qu’une simple liste de commandes.

Améliorer les prompts avec des limites de périmètre

Les bons prompts définissent des contraintes comme :

« Windows only »
« Volatility 3 only »
« No internet access for symbol downloads »
« Need findings in under 30 minutes »
« Focus on credential theft and C2 »

Ces contraintes rendent les recommandations memory-forensics plus réalistes et plus faciles à exécuter.

Itérer après la première sortie

Après la première réponse, renvoyez à l’agent de vrais résultats :

des PID suspects
des noms de modules
des adresses IP
des lignes de commande de processus
des noms de fichiers extraits
des erreurs de plugin

Ensuite, demandez les pivots suivants. La compétence memory-forensics devient beaucoup plus utile dès qu’elle peut passer d’un triage large à un suivi guidé par les preuves.

Surveiller les modes d’échec fréquents

Les problèmes typiques incluent :

de mauvaises hypothèses sur le profil OS ou les symboles
des recommandations d’acquisition alors qu’un dump existe déjà
une priorité excessive donnée à l’énumération exhaustive plutôt qu’au triage
des plugins proposés sans explication sur leur utilité
l’oubli du format de fichier ou du contexte hyperviseur

Vous pouvez réduire ces problèmes en indiquant clairement votre étape actuelle : acquisition, configuration, triage de base, chasse malware ou extraction.

Utiliser la compétence comme modèle de workflow

L’un des meilleurs moyens d’améliorer ce guide memory-forensics en pratique est de réutiliser sa structure d’un cas à l’autre. Demandez à l’agent de transformer la compétence en :

checklist de triage
runbook spécifique au cas
modèle de prompt réutilisable pour votre équipe
plan de commandes avec espaces réservés pour le chemin de l’image, l’hôte et l’ensemble d’IOC

Vous transformez ainsi une réponse ponctuelle en un actif réutilisable pour la réponse à incident.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

detecting-lateral-movement-with-zeek

par mukul975

detecting-lateral-movement-with-zeek est une compétence de cybersécurité basée sur Zeek, conçue pour la chasse aux menaces et la réponse à incident. Elle aide à détecter l’accès aux partages d’administration SMB, la création de services DCE/RPC, le spray NTLM, les anomalies Kerberos et les transferts internes suspects à partir de journaux Zeek tels que `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` et `kerberos.log`.

Threat Hunting

Favoris 0GitHub 6.2k

building-incident-response-playbook

par mukul975

building-incident-response-playbook aide les équipes sécurité à créer des playbooks de réponse aux incidents réutilisables, avec des phases pas à pas, des arbres de décision, des critères d’escalade, une répartition des responsabilités en RACI et une structure prête pour le SOAR. Il est conçu pour la documentation des procédures de réponse aux incidents, les workflows de triage des incidents et les plans de réponse opérationnels adaptés aux audits.

Incident Triage

Favoris 0GitHub 6.1k

detecting-privilege-escalation-attempts

par mukul975

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Threat Hunting

Favoris 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

par mukul975

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

Threat Hunting

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

detecting-insider-threat-behaviors

par mukul975

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

Threat Modeling

Favoris 0GitHub 0

detecting-command-and-control-over-dns

par mukul975

detecting-command-and-control-over-dns est un skill de cybersécurité dédié à la détection du command-and-control (C2) via DNS, notamment les tunnels DNS, les beaconing, les domaines DGA et les abus de TXT/CNAME. Il aide les analystes SOC, les threat hunters et les équipes d’audit sécurité grâce à des contrôles d’entropie, à la corrélation avec le DNS passif et à des workflows de détection de type Zeek ou Suricata.

Security Audit

Favoris 0GitHub 0

deploying-osquery-for-endpoint-monitoring

par mukul975

Guide de déploiement d’osquery pour le monitoring des terminaux, destiné à configurer la visibilité sur les endpoints, le suivi à l’échelle du parc et la threat hunting pilotée par SQL. Utilisez-le pour préparer l’installation, comprendre le workflow et les références d’API, puis industrialiser les requêtes planifiées, la collecte des journaux et la revue centralisée sur des endpoints Windows, macOS et Linux.

Monitoring

Favoris 0GitHub 0

correlating-security-events-in-qradar

par mukul975

correlating-security-events-in-qradar aide les équipes SOC et détection à corréler les offenses IBM QRadar avec AQL, le contexte des offenses, des règles personnalisées et les données de référence. Utilisez ce guide pour enquêter sur les incidents, réduire les faux positifs et renforcer la logique de corrélation pour la réponse aux incidents.

Incident Response

Favoris 0GitHub 0

analyzing-windows-event-logs-in-splunk

par mukul975

La compétence d’analyse des journaux d’événements Windows dans Splunk aide les analystes SOC à enquêter, dans Splunk, sur les journaux Windows Security, System et Sysmon afin d’identifier des attaques d’authentification, des escalades de privilèges, des mécanismes de persistance et des mouvements latéraux. Utilisez-la pour le triage d’incidents, l’ingénierie de détection et l’analyse chronologique, avec des modèles SPL cartographiés et des indications sur les Event ID.

Incident Triage

Favoris 0GitHub 0

analyzing-windows-amcache-artifacts

par mukul975

La skill analyzing-windows-amcache-artifacts analyse les données Windows Amcache.hve pour retrouver des indices d’exécution de programmes, de logiciels installés, d’activité des périphériques et de chargement de pilotes dans des workflows DFIR et d’audit de sécurité. Elle s’appuie sur AmcacheParser et des নির্দেশ?

Security Audit

Favoris 0GitHub 0

analyzing-powershell-empire-artifacts

par mukul975

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Security Audit

Favoris 0GitHub 0

analyzing-network-traffic-of-malware

par mukul975

Le skill analyzing-network-traffic-of-malware aide à examiner des PCAP et la télémétrie issus d’exécutions en sandbox ou d’interventions de réponse à incident afin d’identifier le C2, l’exfiltration, les téléchargements de payload, le DNS tunneling et des pistes de détection. C’est un guide pratique d’analyse du trafic réseau de malware pour l’audit de sécurité et le triage malware.

Security Audit

Favoris 0GitHub 0

analyzing-linux-system-artifacts

par mukul975

analyzing-linux-system-artifacts aide à enquêter sur des hôtes Linux compromis en examinant les journaux d’authentification, l’historique des shells, les tâches cron, les services systemd, les clés SSH et d’autres points de persistance. Utilisez ce guide analyzing-linux-system-artifacts pour les audits de sécurité, la réponse à incident et le triage forensic. Il inclut des conseils pratiques d’installation et d’utilisation.

Security Audit

Favoris 0GitHub 0

analyzing-indicators-of-compromise

par mukul975

Analyzing-indicators-of-compromise aide à trier les IOC tels que les IP, domaines, URL, hachages de fichiers et artefacts de messagerie. Elle prend en charge les workflows de threat intelligence pour l’enrichissement, l’évaluation de confiance et les décisions de blocage/surveillance/liste blanche, à partir de contrôles fondés sur des sources et d’un contexte clair pour l’analyste.

Threat Intelligence

Favoris 0GitHub 0