Digital Forensics

detecting-rootkit-activity は、Malware Analysis 向けのスキルで、隠しプロセス、フックされたシステムコール、改変されたカーネル構造、隠しモジュール、密かに残されたネットワーク痕跡など、rootkit の兆候を見つけるために使います。クロスビュー比較と整合性チェックにより、標準ツールの結果が食い違う suspicious host の検証を支援します。

analyzing-usb-device-connection-history は、Windows のレジストリハイブ、イベントログ、`setupapi.dev.log` を使って USB デバイスの接続履歴を調査するのに役立ちます。デジタルフォレンジック、内部不正調査、インシデント対応に対応し、時系列の復元、デバイスの関連付け、リムーバブルメディア証拠の分析を支援します。

analyzing-browser-forensics-with-hindsight は、Hindsight を使って Chromium 系ブラウザのアーティファクトを分析するデジタル・フォレンジクス向けスキルです。履歴、ダウンロード、Cookie、オートフィル、ブックマーク、保存済み認証情報のメタデータ、キャッシュ、拡張機能まで扱えます。Web アクティビティの再構成、タイムラインの確認、Chrome、Edge、Brave、Opera の各プロファイル調査に役立ちます。

analyzing-bootkit-and-rootkit-samples は、MBR、VBR、UEFI、rootkit の調査に使えるマルウェア分析スキルです。OS 層より下で侵害が残り続けるケースで、ブートセクタ、ファームウェアモジュール、anti-rootkit の兆候を確認するのに役立ちます。実務的な手順、わかりやすいワークフロー、そして根拠に基づくトリアージを求める Malware Analysis 担当者に適しています。

building-incident-timeline-with-timesketch は、Plaso、CSV、JSONL の証拠を取り込み、タイムスタンプを正規化し、イベントを相関付け、攻撃チェーンを記録することで、DFIR チームが Timesketch 上で共同編集可能なインシデントタイムラインを構築するのを支援します。インシデントのトリアージやレポート作成に向いた、実務的なタイムライン分析ワークフローです。

hunting-advanced-persistent-threats は、エンドポイント、ネットワーク、メモリの各テレメトリを横断して APT 風の活動を検知するための脅威ハンティング skill です。仮説駆動のハントを組み立て、調査結果を MITRE ATT&CK に対応付け、脅威インテリジェンスを場当たり的な検索ではなく、実用的なクエリと調査手順に落とし込むのに役立ちます。

extracting-windows-event-logs-artifacts は、デジタルフォレンジック、インシデント対応、脅威ハンティング向けに Windows Event Logs（EVTX）を抽出・解析・分析するための skill です。Chainsaw、Hayabusa、EvtxECmd を使って、ログオン、プロセス作成、サービスのインストール、スケジュールタスク、権限変更、ログ消去などを構造的に確認できます。

RekallでWindowsメモリイメージを解析するための extracting-memory-artifacts-with-rekall ガイドです。インストール手順と使い方のパターンを学び、Digital Forensicsで隠しプロセス、注入コード、不審なVAD、読み込まれたDLL、ネットワーク活動を見つける方法を確認できます。

extracting-credentials-from-memory-dump は、Volatility 3 と pypykatz のワークフローを使って、Windows のメモリダンプから NTLM ハッシュ、LSA シークレット、Kerberos 資材、トークンを分析するためのスキルです。有効なダンプから、証拠として耐えうる情報、アカウントへの影響範囲、是正の指針を得たいデジタル・フォレンジックやインシデント対応向けに設計されています。

マルウェア分析向けの extracting-iocs-from-malware-samples スキルガイドです。サンプルからハッシュ、IP、ドメイン、URL、ホスト上の痕跡、検証の手がかりを抽出し、脅威インテリジェンスや検知に活用できます。

Malware Analysis向けのextracting-config-from-agent-tesla-ratスキル。Agent Teslaの.NET config、SMTP/FTP/Telegram認証情報、keylogger設定、C2エンドポイントを、再現しやすいワークフローで抽出できます。

extracting-browser-history-artifacts は、Chrome、Firefox、Edge からブラウザの履歴、Cookie、キャッシュ、ダウンロード、ブックマークを抽出するデジタル・フォレンジック向け skill です。ブラウザのプロファイルファイルを、再現性のあるケース重視の手順に沿ってタイムライン解析向けの証拠へ変換する用途に適しています。

eradicating-malware-from-infected-systems は、封じ込め後にマルウェア、バックドア、永続化機構を除去するためのサイバーセキュリティ・インシデント対応スキルです。Windows と Linux のクリーンアップ、認証情報のローテーション、原因根本への対処、検証を進めるためのワークフロー指針、参考ファイル、スクリプトが含まれています。

detecting-wmi-persistence skill は、脅威ハンターや DFIR アナリストが、Sysmon の Event ID 19、20、21 を使って Windows テレメトリ内の WMI イベントサブスクリプション永続化を検知するのに役立ちます。悪意ある EventFilter、EventConsumer、FilterToConsumerBinding の活動を特定し、検出結果を検証し、攻撃者の永続化と正当な管理自動化を切り分ける用途に使えます。

detecting-stuxnet-style-attacksは、Stuxnet型のOT/ICS侵入パターンの検知を支援するスキルです。PLCロジックの改ざん、偽装されたセンサーデータ、エンジニアリングワークステーションの侵害、ITからOTへのラテラルムーブメントなどを検出できます。プロトコル、ホスト、プロセスの証拠を使った脅威ハンティング、インシデントのトリアージ、プロセス整合性の監視に活用してください。

detecting-process-injection-techniques は、疑わしいインメモリ活動の分析、EDRアラートの検証、プロセスホローイング、APCインジェクション、スレッドハイジャック、リフレクティブローディング、従来型のDLLインジェクションの特定を支援し、Security Audit やマルウェアトリアージに役立ちます。

detecting-arp-poisoning-in-network-traffic は、ARPWatch、Dynamic ARP Inspection、Wireshark、Python のチェックを使って、ライブトラフィックや PCAP から ARP スプーフィングを検出するための skill です。インシデント対応、SOC の一次切り分け、IP-to-MAC の変化、gratuitous ARP、MITM の兆候を再現性高く分析する用途に向いています。

analyzing-outlook-pst-for-email-forensics は、Outlook の PST および OST ファイルを調査し、メッセージ本文、ヘッダー、添付ファイル、削除済みアイテム、タイムスタンプ、メタデータを確認するためのデジタルフォレンジック向けスキルです。メール証拠のレビュー、時系列の再構成、インシデント対応や法的案件に耐える調査フローを支援します。

analyzing-packed-malware-with-upx-unpacker は、UPXでパックされたサンプルの特定、改変された UPX ヘッダーの処理、元の実行ファイルの復元を行い、Ghidra や IDA で静的解析するための malware-analysis skill です。`upx -d` が失敗する場合や、UPX のパッカー判定とアンパック作業をより手早く進めたい場合に使えます。

analyzing-network-traffic-for-incidents は、インシデント対応担当者が PCAP、フローログ、パケットキャプチャを分析し、C2、横展開、持ち出し、不正侵入の試みを確認できるようにするスキルです。Wireshark、Zeek、NetFlow 系の調査を使った Incident Response 向けに設計された analyzing-network-traffic-for-incidents です。

analyzing-memory-dumps-with-volatility は、Windows、Linux、macOS の RAM ダンプを対象に、Volatility 3 でメモリフォレンジック、マルウェアの初動確認、隠しプロセス、インジェクション、ネットワーク活動、資格情報の確認を行うためのスキルです。インシデント対応やマルウェア分析に使える、再現性のある analyzing-memory-dumps-with-volatility ガイドが必要なときに適しています。

analyzing-malicious-pdf-with-peepdf は、疑わしいPDFを対象にした静的マルウェア解析スキルです。peepdf、pdfid、pdf-parser を使ってフィッシング添付ファイルをトリアージし、オブジェクトを確認し、埋め込み JavaScript や shellcode を抽出し、実行せずに不審なストリームを安全に調査できます。

analyzing-macro-malware-in-office-documents は、Word、Excel、PowerPoint ファイル内の悪意ある VBA を解析し、難読化を解読し、IOC、実行パス、ペイロードのステージングロジックを抽出するのに役立ちます。フィッシングのトリアージ、インシデント対応、ドキュメント型マルウェアの分析に適しています。

analyzing-linux-kernel-rootkits は、Volatility3 のクロスビュー検査、rkhunter スキャン、/proc と /sys の比較分析を使って、Linux カーネルのルートキットを検出する DFIR・脅威ハンティング向けのワークフローを支援します。隠しモジュール、syscall フック、改ざんされたカーネル構造を見つけるための、実践的な analyzing-linux-kernel-rootkits ガイドとして、フォレンジックのトリアージに役立ちます。