detecting-rootkit-activity
作成者 mukul975detecting-rootkit-activity は、Malware Analysis 向けのスキルで、隠しプロセス、フックされたシステムコール、改変されたカーネル構造、隠しモジュール、密かに残されたネットワーク痕跡など、rootkit の兆候を見つけるために使います。クロスビュー比較と整合性チェックにより、標準ツールの結果が食い違う suspicious host の検証を支援します。
このスキルのスコアは 78/100 で、上位ではないものの十分に実用的な掲載候補です。信頼できる rootkit 検知ワークフローを備え、導入する理由になるだけの運用情報もありますが、外部フォレンジックツールへの依存と、スキル内に install コマンドがない点は考慮が必要です。
- rootkit 検知、隠しプロセスの発見、カーネル整合性チェック、システムコールフック解析に向けた明確なトリガーがある。
- 実運用を意識した内容が充実しており、クロスビュー検知手順、Volatility 3 のコマンド、Linux/Windows のツール対応がエージェント実行を後押しする。
- リポジトリには実際に動きそうなスクリプトと参照ファイルが含まれており、Markdown だけのスキルよりも活用の幅が広い。
- SKILL.md に install コマンドがないため、実行環境や依存関係は手動で組み込む必要がある。
- ツールは外部依存(Volatility 3、GMER、rkhunter、chkrootkit)で、対象 OS と分析環境によって有用性が左右される。
detecting-rootkit-activity スキルの概要
detecting-rootkit-activity で何ができるか
detecting-rootkit-activity スキルは、侵害されたシステムがカーネルレベルやドライバレベルで活動を隠していないかを調べるためのものです。隠しプロセス、改変された system call の経路、書き換えられたカーネル構造体、隠しモジュール、秘匿されたネットワーク痕跡といった rootkit の兆候に重点を置いています。これは汎用的なマルウェア向けプロンプトではなく、メモリや整合性チェックの結果と通常ツールの表示が食い違う場面で使う、Malware Analysis 向けの detecting-rootkit-activity スキルです。
どんな人に向いているか
インシデントレスポンス、フォレンジックのトリアージ、EDR の検証、侵害後のクリーンアップを行っていて、ステルス挙動を構造的に確認したい場合に使うべきです。Task Manager、ps、netstat、標準的な AV スキャンでは異常が見えないのに、ホストの挙動だけが怪しいときに特に有効です。
何が違うのか
detecting-rootkit-activity の最大の価値は、複数ビューの比較にあります。ユーザーモードのツールが報告する内容と、メモリフォレンジックや整合性チェックでなお確認できる内容を突き合わせます。そのため、「マルウェアを広くスキャンする」タイプのプロンプトよりも判断に直結しやすく、隠蔽そのものが問題のシステムでは特に役立ちます。
detecting-rootkit-activity スキルの使い方
インストールしてスキルを読み込む
まずリポジトリのインストール手順に沿って detecting-rootkit-activity install を実行し、そのうえでエージェントを skills/detecting-rootkit-activity のスキルパスに向けます。このリポジトリでの典型的なインストールコマンドは次のとおりです。
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity
インストール後は、対象タスクが隠しプロセス、カーネル改ざん、rootkit 検証に関する場合にのみこのスキルが有効になるようにしてください。
最初に適切な入力をそろえる
detecting-rootkit-activity usage のパターンは、次の情報があると最も効果的です。
- OS とバージョン
- ライブシステムかメモリイメージか
- 症状の要約。たとえば「
pslistには出ないがpsscanには存在するプロセス」 - 実行済みツールとその出力
- 必要なのがトリアージ、確認、レポートのどれか
弱い指示は「rootkit を調べて」です。
より強い指示は「この Windows メモリダンプを解析して、隠しプロセスと SSDT フックを探してください。pslist と psscan の出力に加えて、疑わしいドライバ名もあります」です。
先に読むべきファイル
素早く把握するには、以下を確認してください。
SKILL.md:有効化の範囲とワークフローreferences/api-reference.md:Volatility 3 のコマンドと cross-view の手順scripts/agent.py:自動化ロジックと出力形式
ケースで本格的に頼る前に、このスキルがどう考えるかを短時間で理解するための最短ルートです。
cross-view のワークフローで進める
このリポジトリの強みは、1つのツールを信じるのではなく、複数のビューを比較する点にあります。
pslistでプロセスを列挙するpsscanでメモリをスキャンする- PID を照合して隠しエントリを探す
- 隠蔽が確認できたら
ssdt、modules、driverirp、callbacks、idtに広げる
rootkit は 1つのインターフェースを崩せても、すべてを同時には崩せないことが多いため、この流れが重要です。
detecting-rootkit-activity スキル FAQ
detecting-rootkit-activity は初心者向けか
基本的なマルウェアのトリアージをすでに理解しているなら、はい、使えます。ライブレスポンスツールとメモリフォレンジックの違いを学んでいる段階なら、やや不向きです。このスキルは、具体的なホストイメージ、コマンド出力、または隠蔽の疑いを提示できるときに最も力を発揮します。
通常のプロンプトと比べて何が違うか
通常のプロンプトでは、「AV を実行してプロセスを確認しましょう」といった一般論に寄りがちです。detecting-rootkit-activity スキルはより狭く、より実務的です。cross-view の確認、整合性検証、rootkit 特有の痕跡へと話を導きます。そのため、実際の調査での detecting-rootkit-activity usage に向いています。
どんなときに使わないべきか
毎回の感染対応で最初に使うべきではありません。問題が明らかなフィッシング由来のマルウェア、一般的なアドウェア、単純な永続化の確認であれば、このスキルは専門的すぎます。ステルス、カーネル改ざん、隠蔽挙動が本当に争点のときに使ってください。
Windows と Linux の両方に対応しているか
はい、ただし使うツールは異なります。このリポジトリではメモリ解析に Volatility 3 を重視しており、Windows 向けには ssdt、callbacks、modules などの確認を、Linux 向けには rkhunter、chkrootkit、unhide などを併用します。実際のホストと手元の証拠に合う分岐を選んでください。
detecting-rootkit-activity スキルを改善する方法
疑いではなく証拠を渡す
detecting-rootkit-activity の結果をよくする最善策は、証拠を渡すことです。メモリダンプのパス、コマンド出力、ハッシュ、ドライバ名、短いタイムラインを共有してください。照合材料が増えるほど、推測の余地は減ります。良い追加入力の例は、「psscan には PID 4120 が出るのに pslist には出ません。こちらが完全な出力と疑わしいドライバ一覧です」です。
何を答えてほしいのかを明確にする
このスキルは、ゴールを明示するとよりよく機能します。
- 「このプロセスは隠されているか?」
- 「SSDT フックはあるか?」
- 「原因になっている可能性が高いドライバはどれか?」
- 「再イメージングしてよいだけの信頼性はあるか?」
こうしておくと、出力が広い一般論ではなく実務向けになります。
よくある失敗パターンに注意する
最大の失敗は、1つの異常だけで rootkit と断定してしまうことです。隠し痕跡は、古いメモリ、クラッシュの痕跡、EDR の干渉、取得不完全などでも起こりえます。likely rootkit、inconclusive、needs more evidence を区別するようスキルに求め、早い段階で二択に押し込まないようにしてください。
1回目の結果を受けて追加で詰める
最初の結果が部分的なら、不足しているビューを具体的に追加してください。たとえばプロセスの隠蔽が疑われるなら module、callback、IRP の出力を足します。ネットワークの隠蔽が疑われるなら socket と port scan を追加します。ワークフローを変えずに detecting-rootkit-activity skill の出力品質を上げるには、これが最も効果的です。