Forensics

analyzing-usb-device-connection-history는 레지스트리 하이브, 이벤트 로그, `setupapi.dev.log`를 활용해 Windows의 USB 장치 연결 기록을 조사하는 데 도움이 됩니다. 디지털 포렌식, 내부자 위협 대응, 사고 대응에 적합하며, 타임라인 재구성, 장치 상관분석, 이동식 미디어 증거 분석을 지원합니다.

analyzing-browser-forensics-with-hindsight는 Hindsight를 사용해 Digital Forensics 팀이 Chromium 브라우저 아티팩트를 분석하도록 돕습니다. 기록, 다운로드, 쿠키, 자동 완성, 북마크, 저장된 자격 증명 메타데이터, 캐시, 확장 프로그램까지 함께 살펴볼 수 있습니다. 웹 활동을 복원하고, 타임라인을 검토하고, Chrome, Edge, Brave, Opera 프로필을 조사할 때 유용합니다.

analyzing-bootkit-and-rootkit-samples는 MBR, VBR, UEFI, rootkit 분석을 위한 악성코드 분석 스킬입니다. OS 아래 단계에서 침해가 계속되는 상황에서 부트 섹터, 펌웨어 모듈, anti-rootkit 지표를 점검할 때 유용합니다. 실무형 가이드, 명확한 워크플로, Malware Analysis를 위한 근거 기반 트리아지가 필요한 분석가에게 적합합니다.

building-incident-timeline-with-timesketch는 DFIR 팀이 Plaso, CSV 또는 JSONL 증거를 수집해 타임스탬프를 정규화하고, 이벤트를 상관 분석하며, 공격 체인을 문서화해 사고 분류와 보고에 활용할 수 있도록 Timesketch에서 협업형 사고 타임라인을 구축하는 데 도움을 줍니다.

analyzing-supply-chain-malware-artifacts는 트로이목마화된 업데이트, 오염된 의존성, 빌드 파이프라인 변조를 추적하는 악성코드 분석 스킬입니다. 신뢰 가능한 아티팩트와 의심 아티팩트를 비교하고, 지표를 추출하며, 침해 범위를 평가하고, 추측을 줄인 상태로 조사 결과를 보고할 때 사용하세요.

analyzing-ransomware-payment-wallets는 랜섬웨어 결제 지갑을 추적하고, 자금 이동을 따라가며, 관련 주소를 클러스터링해 보안 감사와 사고 대응을 지원하는 읽기 전용 블록체인 포렌식 스킬입니다. BTC 주소, tx hash, 또는 의심 지갑이 있고, 근거 기반의 귀속 판단을 뒷받침할 증거가 필요할 때 사용하세요.

악성코드 분석용 analyzing-ransomware-encryption-mechanisms 스킬로, 랜섬웨어의 암호화 방식, 키 처리, 복호화 가능성을 파악하는 데 초점을 둡니다. AES, RSA, ChaCha20, 하이브리드 방식은 물론, 복구 가능성에 영향을 줄 수 있는 구현상 결함까지 점검하는 데 활용할 수 있습니다.

analyzing-ransomware-leak-site-intelligence는 랜섬웨어 데이터 유출 사이트를 모니터링하고, 피해자 및 공격 그룹 신호를 추출하며, 사고 대응, 업종별 위험 검토, 공격자 추적에 활용할 수 있는 구조화된 위협 인텔리전스를 생성하는 데 도움을 줍니다.

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

Rekall로 Windows 메모리 이미지를 분석하는 extracting-memory-artifacts-with-rekall 가이드입니다. 설치와 사용 패턴을 익혀 숨겨진 프로세스, 인젝션된 코드, 의심스러운 VAD, 로드된 DLL, 네트워크 활동을 찾아 디지털 포렌식에 활용할 수 있습니다.

extracting-credentials-from-memory-dump 스킬은 Volatility 3와 pypykatz 워크플로를 사용해 Windows 메모리 덤프에서 NTLM 해시, LSA 비밀값, Kerberos 자료, 토큰을 분석하는 데 도움을 줍니다. 유효한 덤프를 바탕으로 방어 가능한 증거, 계정 영향 범위, 복구 및 완화 가이드를 확보해야 하는 디지털 포렌식과 사고 대응 상황에 적합합니다.

extracting-browser-history-artifacts는 Chrome, Firefox, Edge에서 브라우저 기록, 쿠키, 캐시, 다운로드, 북마크를 추출하는 디지털 포렌식 스킬입니다. 브라우저 프로필 파일을 타임라인 분석에 바로 쓸 수 있는 증거로 바꾸고, 반복 가능한 사건 중심 워크플로 안내를 제공할 때 유용합니다.

eradicating-malware-from-infected-systems는 격리 이후 감염 시스템에서 악성코드, 백도어, 지속성 메커니즘을 제거하는 사이버 보안 사고 대응 스킬입니다. Windows와 Linux 정리용 워크플로 안내, 참고 파일, 스크립트는 물론 자격 증명 교체, 근본 원인 수정, 검증 절차까지 포함합니다.

analyzing-linux-kernel-rootkits는 Volatility3의 크로스뷰 검사, rkhunter 스캔, 그리고 /proc 대 /sys 비교 분석을 통해 숨겨진 모듈, 후킹된 시스템 호출, 변조된 커널 구조를 찾아내는 데 도움을 주는 DFIR 및 위협 헌팅 워크플로입니다. 포렌식 초기 분석에 실용적인 analyzing-linux-kernel-rootkits 가이드입니다.

analyzing-linux-elf-malware는 의심스러운 Linux ELF 바이너리를 악성코드 분석 관점에서 살펴보도록 돕는 skill입니다. 아키텍처 확인, 문자열과 import 분석, 정적 트리아지, 그리고 봇넷·채굴기·루트킷·랜섬웨어·컨테이너 위협의 초기 징후를 파악하는 데 필요한 안내를 제공합니다.

conducting-memory-forensics-with-volatility는 Volatility 3로 RAM 덤프를 분석해 주입된 코드, 수상한 프로세스, 네트워크 연결, 자격 증명 탈취, 숨겨진 커널 활동을 찾는 데 도움을 줍니다. Digital Forensics와 incident response 트리아지에 적합한 실용적인 conducting-memory-forensics-with-volatility 스킬입니다.

conducting-malware-incident-response는 IR 팀이 의심스러운 악성코드를 분류하고, 감염 여부를 확인하며, 확산 범위를 파악하고, 엔드포인트를 차단한 뒤, 제거와 복구를 지원하도록 돕습니다. 증거 기반 단계, 텔레메트리 중심 의사결정, 실무적인 격리 지침을 바탕으로 사고 대응 워크플로에서 conducting-malware-incident-response를 수행할 수 있도록 설계되었습니다.

conducting-cloud-incident-response는 AWS, Azure, GCP용 클라우드 사고 대응 스킬입니다. ID 기반 차단, 로그 검토, 리소스 격리, 포렌식 증거 수집에 중점을 둡니다. 수상한 API 활동, 침해된 액세스 키, 클라우드 호스팅 워크로드 침해처럼 실용적인 conducting-cloud-incident-response 가이드가 필요할 때 사용하세요.

analyzing-windows-registry-for-artifacts는 분석가가 Windows Registry 하이브에서 증거를 추출해 사용자 활동, 설치된 소프트웨어, 자동 실행, USB 기록, 침해 지표를 식별하고, 사고 대응 또는 보안 감사 워크플로에 활용할 수 있도록 돕습니다.

analyzing-windows-amcache-artifacts skill은 Windows Amcache.hve 데이터를 파싱해 프로그램 실행 흔적, 설치된 소프트웨어, 장치 활동, 드라이버 로딩 증거를 복원하며, DFIR 및 보안 감사 워크플로에 활용됩니다. AmcacheParser와 regipy 기반 가이드를 사용해 아티팩트 추출, SHA-1 상관 분석, 타임라인 검토를 지원합니다.

analyzing-uefi-bootkit-persistence는 SPI 플래시 변조, ESP 조작, Secure Boot 우회, 의심스러운 UEFI 변수 변경을 포함한 UEFI 수준의 지속성 분석을 지원합니다. 펌웨어 트리아지, 인시던트 대응, 보안 감사 작업을 위해 만들어졌으며, 실무에서 바로 쓸 수 있는 증거 중심의 가이드를 제공합니다.

analyzing-powershell-empire-artifacts 스킬은 Security Audit 팀이 Script Block Logging, Base64 launcher 패턴, stager IOC, module signature, 탐지 참고 자료를 활용해 Windows 로그에서 PowerShell Empire 아티팩트를 식별하고 triage 및 룰 작성에 활용할 수 있도록 돕습니다.

EVTX 파일에서 Windows PowerShell Script Block Logging 이벤트 ID 4104를 파싱하고, 분할된 스크립트 블록을 복원하며, 난독화된 명령, 인코딩된 페이로드, Invoke-Expression 남용, 다운로드 크래들, AMSI 우회 시도를 식별해 Security Audit 작업에 활용하는 analyzing-powershell-script-block-logging 스킬입니다.

analyzing-pdf-malware-with-pdfid는 파일을 열기 전에 내장 JavaScript, 익스플로잇 흔적, 오브젝트 스트림, 첨부 파일, 수상한 동작을 찾아내는 PDF 악성코드 분류 스킬입니다. 악성 PDF 조사, 사고 대응, Security Audit 워크플로에서의 정적 분석을 지원합니다.