Dfir

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

eradicating-malware-from-infected-systems est une compétence de réponse à incident en cybersécurité destinée à supprimer les malwares, les portes dérobées et les mécanismes de persistance après confinement. Elle fournit des indications de workflow, des fichiers de référence et des scripts pour le nettoyage sous Windows et Linux, la rotation des identifiants, la remédiation des causes racines et la validation.

Le skill detecting-wmi-persistence aide les threat hunters et les analystes DFIR à détecter la persistance par abonnement d’événements WMI dans la télémétrie Windows à l’aide des Event ID Sysmon 19, 20 et 21. Servez-vous-en pour repérer des activités malveillantes EventFilter, EventConsumer et FilterToConsumerBinding, valider les résultats et distinguer une persistance d’attaquant d’une automatisation d’administration légitime.

analyzing-malicious-pdf-with-peepdf est une compétence d’analyse statique de malwares pour les PDF suspects. Utilisez peepdf, pdfid et pdf-parser pour trier les pièces jointes de phishing, inspecter les objets, extraire du JavaScript ou du shellcode embarqué, et examiner en toute sécurité les flux suspects sans exécution.

conducting-memory-forensics-with-volatility vous aide à analyser des dumps RAM avec Volatility 3 pour repérer du code injecté, des processus suspects, des connexions réseau, du vol d’identifiants et une activité noyau cachée. C’est une compétence pratique de conducting-memory-forensics-with-volatility pour le triage en forensic numérique et en réponse à incident.

analyzing-windows-prefetch-with-python analyse les fichiers Windows Prefetch (.pf) avec windowsprefetch pour reconstituer l’historique d’exécution, repérer les binaires renommés ou usurpés, et aider au triage d’incidents ainsi qu’à l’analyse de malwares.

La skill analyzing-windows-amcache-artifacts analyse les données Windows Amcache.hve pour retrouver des indices d’exécution de programmes, de logiciels installés, d’activité des périphériques et de chargement de pilotes dans des workflows DFIR et d’audit de sécurité. Elle s’appuie sur AmcacheParser et des নির্দেশ?

analyzing-mft-for-deleted-file-recovery aide à récupérer les métadonnées de fichiers supprimés et d’éventuels indices de chemin ou de contenu en analysant les enregistrements NTFS $MFT, $LogFile, $UsnJrnl et l’espace slack du MFT. Conçu pour les workflows DFIR et d’audit de sécurité avec MFTECmd, analyzeMFT et X-Ways Forensics.