Dfir

building-incident-timeline-with-timesketch は、Plaso、CSV、JSONL の証拠を取り込み、タイムスタンプを正規化し、イベントを相関付け、攻撃チェーンを記録することで、DFIR チームが Timesketch 上で共同編集可能なインシデントタイムラインを構築するのを支援します。インシデントのトリアージやレポート作成に向いた、実務的なタイムライン分析ワークフローです。

eradicating-malware-from-infected-systems は、封じ込め後にマルウェア、バックドア、永続化機構を除去するためのサイバーセキュリティ・インシデント対応スキルです。Windows と Linux のクリーンアップ、認証情報のローテーション、原因根本への対処、検証を進めるためのワークフロー指針、参考ファイル、スクリプトが含まれています。

detecting-wmi-persistence skill は、脅威ハンターや DFIR アナリストが、Sysmon の Event ID 19、20、21 を使って Windows テレメトリ内の WMI イベントサブスクリプション永続化を検知するのに役立ちます。悪意ある EventFilter、EventConsumer、FilterToConsumerBinding の活動を特定し、検出結果を検証し、攻撃者の永続化と正当な管理自動化を切り分ける用途に使えます。

analyzing-malicious-pdf-with-peepdf は、疑わしいPDFを対象にした静的マルウェア解析スキルです。peepdf、pdfid、pdf-parser を使ってフィッシング添付ファイルをトリアージし、オブジェクトを確認し、埋め込み JavaScript や shellcode を抽出し、実行せずに不審なストリームを安全に調査できます。

conducting-memory-forensics-with-volatility は、Volatility 3 を使って RAM ダンプを解析し、注入コード、不審なプロセス、ネットワーク接続、認証情報の窃取、隠れたカーネル動作を見つけるのに役立ちます。Digital Forensics やインシデント対応のトリアージに向いた、実用的な conducting-memory-forensics-with-volatility スキルです。

analyzing-windows-prefetch-with-python は、windowsprefetch を使って Windows Prefetch（.pf）ファイルを解析し、実行履歴を再構築して、名前を変えた実行ファイルや偽装の疑いがあるバイナリを検出し、インシデントのトリアージやマルウェア分析を支援します。

analyzing-windows-amcache-artifacts skill は、Windows の Amcache.hve データを解析し、プログラム実行の痕跡、インストール済みソフトウェア、デバイスの活動、ドライバーの読み込み証跡を抽出して、DFIR やセキュリティ監査のワークフローに役立てるための skill です。AmcacheParser と regipy ベースの手順を用いて、アーティファクト抽出、SHA-1 の突合、タイムライン確認を支援します。

analyzing-mft-for-deleted-file-recovery は、NTFS の `$MFT` レコード、`$LogFile`、`$UsnJrnl`、MFT の slack space を分析し、削除ファイルのメタデータや、保存されている可能性のあるパス・内容の痕跡を復元するのに役立ちます。DFIR と Security Audit のワークフロー向けに設計されており、`MFTECmd`、`analyzeMFT`、`X-Ways Forensics` と組み合わせて使えます。