Dfir

building-incident-timeline-with-timesketch는 DFIR 팀이 Plaso, CSV 또는 JSONL 증거를 수집해 타임스탬프를 정규화하고, 이벤트를 상관 분석하며, 공격 체인을 문서화해 사고 분류와 보고에 활용할 수 있도록 Timesketch에서 협업형 사고 타임라인을 구축하는 데 도움을 줍니다.

eradicating-malware-from-infected-systems는 격리 이후 감염 시스템에서 악성코드, 백도어, 지속성 메커니즘을 제거하는 사이버 보안 사고 대응 스킬입니다. Windows와 Linux 정리용 워크플로 안내, 참고 파일, 스크립트는 물론 자격 증명 교체, 근본 원인 수정, 검증 절차까지 포함합니다.

detecting-wmi-persistence 스킬은 위협 헌터와 DFIR 분석가가 Sysmon Event ID 19, 20, 21을 활용해 Windows 텔레메트리에서 WMI 이벤트 구독 지속성을 탐지하도록 돕습니다. 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하고, 결과를 검증하며, 공격자의 지속성 기법과 정상 관리 자동화를 구분하는 데 사용할 수 있습니다.

analyzing-malicious-pdf-with-peepdf는 의심스러운 PDF를 위한 정적 악성코드 분석 skill입니다. peepdf, pdfid, pdf-parser를 사용해 피싱 첨부파일을 분류하고, 객체를 검사하고, 포함된 JavaScript나 shellcode를 추출하며, 실행 없이 수상한 스트림을 안전하게 검토할 수 있습니다.

conducting-memory-forensics-with-volatility는 Volatility 3로 RAM 덤프를 분석해 주입된 코드, 수상한 프로세스, 네트워크 연결, 자격 증명 탈취, 숨겨진 커널 활동을 찾는 데 도움을 줍니다. Digital Forensics와 incident response 트리아지에 적합한 실용적인 conducting-memory-forensics-with-volatility 스킬입니다.

analyzing-windows-prefetch-with-python는 windowsprefetch를 사용해 Windows Prefetch(.pf) 파일을 파싱하고, 실행 이력을 복원하며, 이름이 바뀌었거나 위장된 바이너리를 식별해 사고 대응 트리아지와 악성코드 분석을 지원합니다.

analyzing-windows-amcache-artifacts skill은 Windows Amcache.hve 데이터를 파싱해 프로그램 실행 흔적, 설치된 소프트웨어, 장치 활동, 드라이버 로딩 증거를 복원하며, DFIR 및 보안 감사 워크플로에 활용됩니다. AmcacheParser와 regipy 기반 가이드를 사용해 아티팩트 추출, SHA-1 상관 분석, 타임라인 검토를 지원합니다.

analyzing-mft-for-deleted-file-recovery는 NTFS의 $MFT 레코드, $LogFile, $UsnJrnl, 그리고 MFT slack space를 분석해 삭제된 파일의 메타데이터와 가능한 경로나 내용 증거를 복구하는 데 도움을 줍니다. MFTECmd, analyzeMFT, X-Ways Forensics를 활용하는 DFIR 및 Security Audit 워크플로에 맞게 설계되었습니다.