analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Estrelas6.2k

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaMalware Analysis

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-bootkit-and-rootkit-samples

Pontuação editorial

Esta skill tem nota 84/100, o que a torna uma boa candidata para usuários que precisam de orientação especializada em análise de bootkit e rootkit. O repositório oferece sinais de acionamento suficientes, referências operacionais e um script de agente real para ajudar a começar com menos tentativa e erro do que um prompt genérico de malware, embora ainda deixe alguns detalhes de adoção implícitos.

84/100

Pontos fortes

Boa capacidade de acionamento para casos de malware pré-OS: o frontmatter e a seção "When to Use" cobrem explicitamente persistência em MBR/VBR/UEFI, problemas de integridade do Secure Boot e indicadores de processos ocultos/rootkits.
Boa especificidade operacional: o repositório inclui referências concretas de ferramentas e comandos para `dd`, `ndisasm`, `UEFITool` e `chipsec`, o que oferece aos agentes uma base de fluxo de trabalho utilizável.
Suporte real de implementação: `scripts/agent.py` e `references/api-reference.md` indicam que isto é mais do que um guia em texto e pode sustentar etapas estruturadas de análise.

Pontos de atenção

Não há comando de instalação em `SKILL.md`, então os usuários podem precisar configurar por conta própria a ativação e o ambiente de execução.
O trecho mostra parte do fluxo de trabalho, mas não um runbook totalmente ponta a ponta; ainda pode ser necessário julgamento do agente para escolher o caso e executar as ferramentas corretamente.

Malware Rootkit Bootkit Uefi Mbr Chipsec Forensics

Visão geral

Visão geral de analyzing-bootkit-and-rootkit-skill

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para casos em que a comprometimento começa antes do sistema operacional: código MBR/VBR infectado, persistência em UEFI e comportamento de rootkit que se esconde de ferramentas de segurança normais. Use-a quando precisar inspecionar setores de boot, módulos de firmware ou indicadores anti-rootkit, em vez de analisar um payload típico em modo usuário.

Essa skill analyzing-bootkit-and-rootkit-samples é mais indicada para responders de incidente, reverse engineers e threat hunters que já suspeitam de persistência abaixo da camada do SO. O trabalho principal aqui é transformar evidências brutas de disco, firmware ou memória em uma avaliação defensável sobre a presença de um bootkit ou rootkit, como ele persiste e o que examinar a seguir.

Para que esta skill serve

A skill foca análise de malware pré-SO para fluxos de trabalho de Malware Analysis: extração de MBR, revisão de VBR, inspeção de UEFI, checagens de Secure Boot e triagem voltada a rootkits. Ela é útil quando o AV ou EDR normal não encontra o problema, quando reinstalar a máquina não remove a ameaça ou quando a integridade do firmware parece suspeita.

Por que esta skill é diferente

Ao contrário de um prompt genérico, analyzing-bootkit-and-rootkit-samples oferece um fluxo de trabalho moldado pelos artefatos que realmente importam: setores de disco, volumes de firmware e ferramentas de inspeção de baixo nível. Isso a torna mais adequada para investigações com forte persistência do que prompts amplos de malware que assumem arquivos executáveis e sandboxing.

Quem mais se beneficia

Escolha esta skill se você precisa de um guia prático para analisar analyzing-bootkit-and-rootkit-samples, e não de uma visão teórica. Ela atende analistas que conseguem coletar imagens ou dumps, revisar disassembly e comparar os achados com padrões conhecidos de boot sector e firmware.

Como usar analyzing-bootkit-and-rootkit-skill

Instale na sua stack de skills

Use o fluxo de instalação do repositório para a instalação de analyzing-bootkit-and-rootkit-samples e, depois, aponte seu agent para o caminho da skill em skills/analyzing-bootkit-and-rootkit-samples. Comece carregando a definição da skill e os arquivos de referência de apoio para que o fluxo de trabalho, os comandos e as premissas das ferramentas fiquem alinhados.

Leia estes arquivos primeiro

Comece por SKILL.md e, em seguida, confira references/api-reference.md e scripts/agent.py. SKILL.md diz quando a skill deve ser ativada; references/api-reference.md mostra os comandos concretos de análise; scripts/agent.py revela o que a skill espera parsear ou automatizar. Se você precisar de licença ou proveniência, verifique LICENSE também.

O que informar no prompt

Um bom prompt de uso de analyzing-bootkit-and-rootkit-samples deve nomear o artefato, a plataforma e o objetivo. Por exemplo: “Analise este dump de MBR em busca de indicadores de bootkit, compare com um MBR limpo do Windows e explique se a tabela de partições e a assinatura de boot parecem normais.” Se você tiver firmware, inclua a origem do dump, o fabricante e se houve Secure Boot ou acesso SPI envolvidos.

Fluxo de trabalho que gera resultado melhor

Dê à skill um tipo de evidência por vez: primeiro MBR/VBR, depois firmware, depois vestígios de memória. Peça saídas específicas, como mecanismo de persistência suspeito, offsets suspeitos e etapas de validação. Isso mantém a análise focada e torna o resultado mais fácil de verificar com suas próprias ferramentas.

Perguntas frequentes sobre analyzing-bootkit-and-rootkit-skill

analyzing-bootkit-and-rootkit-samples é só para casos avançados?

Na maior parte, sim. Ela foi projetada para malware pré-SO e persistência de rootkit, então não é a melhor opção padrão para trojans comuns, scripts ou malware de navegador. Se o comprometimento sobrevive à reinstalação, se esconde de scanners ou altera o estado do firmware, esta é a escolha certa.

Como ela se compara a um prompt genérico de malware?

Um prompt genérico normalmente parte do pressuposto de que você vai enviar arquivos para upload e inspecionar em sandbox. analyzing-bootkit-and-rootkit-samples, por outro lado, assume evidências de baixo nível como setores de disco, código de boot, módulos UEFI e verificações de segurança de hardware. Essa diferença importa porque o caminho de análise, as ferramentas e os pontos de validação são completamente diferentes.

Preciso de ferramentas especializadas para aproveitar bem?

Sim, você terá melhores resultados se puder usar ferramentas como dd, ndisasm, UEFI tools e chipsec. A skill ainda ajuda no planejamento e na interpretação mesmo que você não rode todos os comandos diretamente, mas ela funciona melhor quando combinada com dados reais de disco ou firmware.

Esta skill é adequada para iniciantes em Malware Analysis?

Ela pode ser usada por iniciantes que já entendem conceitos básicos de malware, mas não é amigável para quem quer “usar sem contexto”. Se você está começando, parta de uma coleta limpa de artefatos e peça que a skill explique cada achado em termos de persistência, ocultação e validação.

Como melhorar analyzing-bootkit-and-rootkit-skill

Dê evidências melhores à skill

O maior ganho de qualidade vem de entradas precisas: imagem exata do dispositivo, fabricante do firmware, versão do SO, ponto suspeito de infecção e quaisquer anomalias observadas. Para analyzing-bootkit-and-rootkit-samples em Malware Analysis, um bom prompt inclui hashes, offsets, status da boot signature, estado do Secure Boot e se o problema afeta MBR, VBR ou UEFI.

Peça comparações, não só conclusões

Não pergunte apenas “isso é malicioso?”. Peça uma comparação com uma baseline limpa, intervalos de bytes suspeitos e o motivo de um boot sector ou módulo parecer alterado. Isso incentiva a skill a explicar o achado de um jeito que você possa verificar com disassembly ou extração de firmware.

Fique atento aos modos de falha mais comuns

O erro mais comum é mandar uma solicitação vaga do tipo “verifique este malware” quando, na verdade, o problema é um caso de persistência em disco ou firmware. Outro modo de falha é misturar evidências de várias camadas no mesmo prompt, o que dificulta isolar a causa raiz. Quando necessário, divida a tarefa em análises separadas.

Itere depois da primeira passada

Use o primeiro resultado para refinar o próximo pedido: peça disassembly mais profundo, uma revisão de UEFI módulo por módulo ou um checklist para confirmar um rootkit suspeito. Se a saída vier incerta, forneça mais contexto bruto e peça que a skill diga qual artefato adicional confirmaria ou descartaria o achado.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-mobile-malware-behavior

por mukul975

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

por mukul975

Skill de analyzing-ransomware-encryption-mechanisms para análise de malware, com foco em identificar criptografia de ransomware, tratamento de chaves e viabilidade de descriptografia. Use-o para inspecionar AES, RSA, ChaCha20, esquemas híbridos e falhas de implementação que podem ajudar na recuperação.

Malware Analysis

Favoritos 0GitHub 6.1k

extracting-iocs-from-malware-samples

por mukul975

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

Malware Analysis

Favoritos 0GitHub 0

extracting-config-from-agent-tesla-rat

por mukul975

Skill de extracting-config-from-agent-tesla-rat para Análise de Malware: extraia a configuração .NET do Agent Tesla, credenciais de SMTP/FTP/Telegram, ajustes de keylogger e endpoints de C2 com orientações de fluxo de trabalho repetíveis.

Malware Analysis

Favoritos 0GitHub 0