Reverse Engineering

memory-forensicsスキルで、RAM取得とVolatility 3によるダンプ解析を進めるためのガイドです。導入前の前提、基本的な使い方、アーティファクト抽出、インシデントトリアージまでを、Windows、Linux、macOS、VMメモリを対象に整理しています。

protocol-reverse-engineeringは、Wireshark、tshark、tcpdump、MITMワークフローを使って未知のネットワークプロトコルをキャプチャ・調査・文書化する際に役立つスキルです。独自実装のクライアント/サーバー通信のデバッグ、PCAPの解析、メッセージ構造・リクエストフロー・各フィールドの意味の整理に特に向いています。

anti-reversing-techniques は、許可されたマルウェア解析、CTF、パック済みバイナリのトリアージ、セキュリティ監査向けのリバースエンジニアリング用スキルです。アンチデバッグ、アンチVM、パッキング、難読化の典型的なパターンを見極め、コアスキルと上級リファレンスをもとに実践的な解析フローを選ぶのに役立ちます。

binary-analysis-patterns は、x86-64 の逆アセンブル、calling conventions、stack frames、control flow を読み解き、バイナリレビューや Security Audit をより素早く進めるためのリバースエンジニアリング向けスキルです。

analyzing-supply-chain-malware-artifacts は、改ざんされたアップデート、汚染された依存関係、ビルドパイプラインの改ざんを追跡するためのマルウェア分析スキルです。信頼済みアーティファクトと不審なアーティファクトを比較し、インジケーターを抽出し、侵害範囲を評価し、推測を減らしながら調査結果を報告するのに役立ちます。

マルウェア解析向けの analyzing-ransomware-encryption-mechanisms スキルです。ランサムウェアの暗号化方式、鍵の扱い、復号の実現可能性の見極めに重点を置いています。AES、RSA、ChaCha20、ハイブリッド方式、そして復旧につながる可能性のある実装上の欠陥を調べるために使えます。

RekallでWindowsメモリイメージを解析するための extracting-memory-artifacts-with-rekall ガイドです。インストール手順と使い方のパターンを学び、Digital Forensicsで隠しプロセス、注入コード、不審なVAD、読み込まれたDLL、ネットワーク活動を見つける方法を確認できます。

detecting-process-injection-techniques は、疑わしいインメモリ活動の分析、EDRアラートの検証、プロセスホローイング、APCインジェクション、スレッドハイジャック、リフレクティブローディング、従来型のDLLインジェクションの特定を支援し、Security Audit やマルウェアトリアージに役立ちます。

analyzing-windows-prefetch-with-python は、windowsprefetch を使って Windows Prefetch（.pf）ファイルを解析し、実行履歴を再構築して、名前を変えた実行ファイルや偽装の疑いがあるバイナリを検出し、インシデントのトリアージやマルウェア分析を支援します。

analyzing-uefi-bootkit-persistence は、SPIフラッシュへの改ざん、ESPの改変、Secure Bootの回避、疑わしいUEFI変数の変更を含む、UEFIレベルの永続化調査を支援します。ファームウェアのトリアージ、インシデント対応、Security Audit向けの analyzing-uefi-bootkit-persistence 分析に向けて、実用的で証拠ベースの手引きを備えています。

analyzing-command-and-control-communication は、マルウェアの C2 通信を分析してビーコン通信を見つけ、コマンドを解読し、インフラを把握し、Security Audit、脅威ハンティング、マルウェアのトリアージを PCAP ベースの証拠と実務的な手順ガイドで支援します。