Digital Forensics

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

A skill extracting-windows-event-logs-artifacts ajuda você a extrair, interpretar e analisar Windows Event Logs (EVTX) para perícia digital, resposta a incidentes e threat hunting. Ela dá suporte à revisão estruturada de logons, criação de processos, instalação de serviços, tarefas agendadas, alterações de privilégios e limpeza de logs com Chainsaw, Hayabusa e EvtxECmd.

Guia de extracting-memory-artifacts-with-rekall para analisar imagens de memória do Windows com o Rekall. Aprenda padrões de instalação e uso para encontrar processos ocultos, código injetado, VADs suspeitos, DLLs carregadas e atividade de rede para Forense Digital.

A skill extracting-credentials-from-memory-dump ajuda a analisar dumps de memória do Windows em busca de hashes NTLM, segredos LSA, material Kerberos e tokens, usando fluxos de trabalho com Volatility 3 e pypykatz. Ela foi feita para Digital Forensics e resposta a incidentes quando você precisa de evidências defensáveis, avaliar o impacto em contas e orientar a remediação a partir de um dump válido.

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

Skill de extracting-config-from-agent-tesla-rat para Análise de Malware: extraia a configuração .NET do Agent Tesla, credenciais de SMTP/FTP/Telegram, ajustes de keylogger e endpoints de C2 com orientações de fluxo de trabalho repetíveis.

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

eradicating-malware-from-infected-systems é uma habilidade de resposta a incidentes de cibersegurança para remover malware, backdoors e mecanismos de persistência após o containment. Inclui orientação de fluxo de trabalho, arquivos de referência e scripts para limpeza em Windows e Linux, rotação de credenciais, correção da causa raiz e validação.

A skill detecting-wmi-persistence ajuda threat hunters e analistas de DFIR a detectar persistência por WMI Event Subscription em telemetria do Windows usando os Sysmon Event IDs 19, 20 e 21. Use-a para identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding, validar achados e separar persistência de atacante de automação administrativa legítima.

A skill detecting-stuxnet-style-attacks ajuda defensores a detectar padrões de intrusão em OT e ICS semelhantes ao Stuxnet, incluindo adulteração da lógica de PLC, falsificação de dados de sensores, comprometimento de estações de engenharia e movimentação lateral de TI para OT. Use-a para threat hunting, triagem de incidentes e monitoramento da integridade de processos com evidências de protocolo, host e processo.

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

detecting-arp-poisoning-in-network-traffic ajuda a detectar ARP spoofing em tráfego ao vivo ou em PCAPs usando ARPWatch, Dynamic ARP Inspection, Wireshark e verificações em Python. Foi pensado para resposta a incidentes, triagem em SOC e análise repetível de mudanças de IP para MAC, ARPs gratuitos e indicadores de MITM.

analyzing-outlook-pst-for-email-forensics é uma skill de forense digital para examinar arquivos PST e OST do Outlook em busca de conteúdo de mensagens, cabeçalhos, anexos, itens excluídos, carimbos de data e hora e metadados. Ela oferece suporte à revisão de evidências de e-mail, à reconstrução de linhas do tempo e a fluxos de investigação defensáveis em respostas a incidentes e casos legais.

analyzing-packed-malware-with-upx-unpacker é uma skill de análise de malware para identificar amostras empacotadas com UPX, lidar com cabeçalhos UPX modificados e recuperar o executável original para revisão estática no Ghidra ou no IDA. Use quando `upx -d` falhar ou quando você precisar de um fluxo mais rápido para verificar se o binário foi empacotado com UPX e descompactá-lo.

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

analyzing-memory-dumps-with-volatility é uma skill do Volatility 3 para forense de memória, triagem de malware, processos ocultos, injeção, atividade de rede e credenciais em dumps de RAM no Windows, Linux ou macOS. Use-a quando precisar de um guia repetível de analyzing-memory-dumps-with-volatility para resposta a incidentes e análise de malware.

analyzing-malicious-pdf-with-peepdf é uma skill de análise estática de malware para PDFs suspeitos. Use peepdf, pdfid e pdf-parser para fazer a triagem de anexos de phishing, inspecionar objetos, extrair JavaScript ou shellcode incorporado e revisar com segurança fluxos suspeitos sem executar o arquivo.

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.