Forensics

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

analyzing-ransomware-payment-wallets est une compétence de blockchain forensics en lecture seule pour retracer les portefeuilles de paiement ransomware, suivre les mouvements de fonds et regrouper les adresses associées pour les audits de sécurité et la réponse aux incidents. Utilisez-la si vous disposez d’une adresse BTC, d’un hash de transaction ou d’un portefeuille suspect et que vous avez besoin d’un appui à l’attribution fondé sur des preuves.

Compétence d’analyse de malware dédiée à l’examen des mécanismes de chiffrement des ransomwares : identification du chiffrement, gestion des clés et faisabilité du déchiffrement. Utilisez-la pour inspecter AES, RSA, ChaCha20, les schémas hybrides et les failles d’implémentation susceptibles de permettre une récupération.

analyzing-ransomware-leak-site-intelligence aide à surveiller les sites de fuite de données liés aux ransomwares, à extraire des signaux sur les victimes et les groupes, et à produire une threat intelligence structurée pour la réponse à incident, l’évaluation du risque sectoriel et le suivi des adversaires.

extracting-windows-event-logs-artifacts vous aide à extraire, parser et analyser les journaux d’événements Windows (EVTX) pour la criminalistique numérique, la réponse à incident et la chasse aux menaces. Il prend en charge une analyse structurée des ouvertures de session, des créations de processus, des installations de services, des tâches planifiées, des changements de privilèges et de l’effacement des journaux avec Chainsaw, Hayabusa et EvtxECmd.

Guide d'extraction des artefacts mémoire avec Rekall pour analyser des images mémoire Windows. Découvrez les schémas d'installation et d'utilisation pour repérer les processus cachés, le code injecté, les VAD suspectes, les DLL chargées et l'activité réseau en investigation numérique.

La compétence extracting-credentials-from-memory-dump aide à analyser des dumps mémoire Windows pour extraire des hachages NTLM, des secrets LSA, du matériel Kerberos et des jetons, à l’aide de workflows Volatility 3 et pypykatz. Elle est conçue pour la criminalistique numérique et la réponse à incident lorsque vous avez besoin de preuves solides, d’évaluer l’impact sur les comptes et d’obtenir des recommandations de remédiation à partir d’un dump valide.

extracting-browser-history-artifacts est une skill de criminalistique numérique dédiée à l’extraction de l’historique de navigation, des cookies, du cache, des téléchargements et des favoris depuis Chrome, Firefox et Edge. Utilisez-la pour transformer les fichiers de profil du navigateur en éléments de preuve prêts pour une chronologie, avec un workflow reproductible et centré sur l’enquête.

eradicating-malware-from-infected-systems est une compétence de réponse à incident en cybersécurité destinée à supprimer les malwares, les portes dérobées et les mécanismes de persistance après confinement. Elle fournit des indications de workflow, des fichiers de référence et des scripts pour le nettoyage sous Windows et Linux, la rotation des identifiants, la remédiation des causes racines et la validation.

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

analyzing-linux-elf-malware aide à analyser des binaires ELF Linux suspects dans le cadre d’une analyse de malware, avec des conseils pour vérifier l’architecture, extraire les chaînes, examiner les imports, faire un triage statique et repérer tôt des indices de botnets, de mineurs, de rootkits, de ransomwares et de menaces visant les conteneurs.

conducting-memory-forensics-with-volatility vous aide à analyser des dumps RAM avec Volatility 3 pour repérer du code injecté, des processus suspects, des connexions réseau, du vol d’identifiants et une activité noyau cachée. C’est une compétence pratique de conducting-memory-forensics-with-volatility pour le triage en forensic numérique et en réponse à incident.

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

conducting-cloud-incident-response est un skill de réponse à incident cloud pour AWS, Azure et GCP. Il met l’accent sur le confinement basé sur l’identité, l’analyse des journaux, l’isolement des ressources et la capture de preuves forensiques. Utilisez-le en cas d’activité API suspecte, de clés d’accès compromises ou de compromission de workloads hébergés dans le cloud, lorsque vous avez besoin d’un guide pratique conducting-cloud-incident-response.

analyzing-windows-registry-for-artifacts aide les analystes à extraire des preuves à partir des ruches du Registre Windows afin d’identifier l’activité utilisateur, les logiciels installés, les programmes de démarrage automatique, l’historique USB et les indices de compromission pour des workflows de réponse à incident ou d’audit de sécurité.

La skill analyzing-windows-amcache-artifacts analyse les données Windows Amcache.hve pour retrouver des indices d’exécution de programmes, de logiciels installés, d’activité des périphériques et de chargement de pilotes dans des workflows DFIR et d’audit de sécurité. Elle s’appuie sur AmcacheParser et des নির্দেশ?

analyzing-uefi-bootkit-persistence aide à enquêter sur la persistance au niveau UEFI, notamment les implants dans la mémoire flash SPI, la modification de l’ESP, les contournements de Secure Boot et les changements suspects des variables UEFI. Conçu pour le triage du firmware, la réponse à incident et le travail d’audit de sécurité autour de analyzing-uefi-bootkit-persistence, il fournit des indications pratiques, fondées sur des preuves.

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Skill d’analyse du PowerShell Script Block Logging pour parser les événements Windows PowerShell Script Block Logging ID 4104 à partir de fichiers EVTX, reconstruire les blocs de script fragmentés et signaler les commandes obfusquées, les charges utiles encodées, les abus de Invoke-Expression, les download cradles et les tentatives de contournement d’AMSI dans un cadre de Security Audit.

analyzing-pdf-malware-with-pdfid est une compétence de triage des malwares PDF pour détecter le JavaScript embarqué, les marqueurs d’exploitation, les flux d’objets, les pièces jointes et les actions suspectes avant d’ouvrir un fichier. Elle prend en charge l’analyse statique pour l’investigation de PDF malveillants, la réponse à incident et les workflows de Security Audit liés à analyzing-pdf-malware-with-pdfid.