analyzing-malware-persistence-with-autoruns

por mukul975

analyzing-malware-persistence-with-autoruns é uma skill de Sysinternals Autoruns para análise de malware. Ela ajuda você a inspecionar a persistência no Windows em chaves Run, serviços, tarefas agendadas, Winlogon, drivers e WMI, usando um fluxo de trabalho repetível com exportação em CSV, revisão de entradas suspeitas e achados prontos para relatório.

Estrelas0

Favoritos0

Comentários0

Adicionado12 de mai. de 2026

CategoriaMalware Analysis

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-malware-persistence-with-autoruns

Pontuação editorial

Esta skill recebeu 78/100, o que é sólido para inclusão no diretório. Ela oferece uma decisão de instalação confiável porque o repositório traz um fluxo real de análise de persistência no Windows com Autoruns, incluindo uso via CLI, categorias, indicadores suspeitos e um script/conjunto de referências de apoio que reduz o trabalho de adivinhação em comparação com um prompt genérico.

78/100

Pontos fortes

Foco operacional claro em análise de persistência de malware com Sysinternals Autoruns em chaves de registro, serviços, tarefas agendadas, drivers e outros ASEPs.
Materiais de apoio úteis: referência de API, documento de fluxo de trabalho, referência de padrões e um script Python de agente, que indicam uma abordagem de análise concreta.
Boa utilidade para agentes graças ao exemplo explícito de comando, colunas de saída, indicadores suspeitos e mapeamentos para MITRE/NIST.

Pontos de atenção

O trecho da skill não mostra um comando completo de instalação em SKILL.md, então o usuário pode precisar inferir etapas de setup ou execução.
O fluxo de trabalho visível é um pouco baseado em template e não aparece demonstrado de ponta a ponta no trecho; por isso, a adoção pode exigir alguma familiaridade do analista com Autoruns e forense do Windows.

Autoruns Sysinternals Persistence Windows Registry Scheduled Tasks Malware

Visão geral

Visão geral da skill analyzing-malware-persistence-with-autoruns

O que esta skill faz

A skill analyzing-malware-persistence-with-autoruns ajuda você a usar o Sysinternals Autoruns para encontrar e interpretar artefatos de persistência no Windows durante a análise de malware. Ela é uma boa escolha quando você precisa triagem de locais de inicialização, identificar autostarts suspeitos e transformar a saída bruta do Autoruns em uma visão útil para resposta a incidentes.

Quem deve instalá-la

Esta analyzing-malware-persistence-with-autoruns skill é mais útil para analistas de malware, analistas de SOC, responders de incidentes e threat hunters que trabalham em sistemas Windows. Ela é especialmente relevante quando você já tem uma exportação CSV do Autoruns ou precisa de um fluxo repetível para verificar ASEPs comuns, como serviços, tarefas agendadas, chaves Run, Winlogon e WMI.

Por que ela é diferente

O repositório não é só um wrapper genérico de prompt. Ele inclui um comando concreto do Autoruns, um template de relatório estruturado, material de referência e um pequeno agente em Python para analisar e marcar entradas suspeitas. Isso torna o guia analyzing-malware-persistence-with-autoruns mais útil para decisão do que um prompt simples do tipo “procure persistência”.

Como usar a skill analyzing-malware-persistence-with-autoruns

Instale e inspecione a skill

Execute o comando analyzing-malware-persistence-with-autoruns install no seu gerenciador de skills e, em seguida, abra primeiro o arquivo SKILL.md. Para contexto mais profundo, leia references/api-reference.md para os flags da CLI do Autoruns, references/workflows.md para o fluxo de análise, references/standards.md para o enquadramento de segurança e scripts/agent.py se você quiser entender a lógica de parsing por trás das recomendações.

Alimente a skill com as entradas certas

A skill funciona melhor com uma tarefa objetiva e evidências, não com uma solicitação vaga. Boas entradas incluem a exportação CSV do Autoruns, o contexto do host de destino, a amostra suspeita ou o resumo do incidente e qualquer lista de software benigno conhecido. Por exemplo: “Analise este CSV do Autoruns em busca de persistência ligada a um payload de phishing; priorize entradas sem assinatura, LOLBins e qualquer coisa sob %TEMP% ou %ProgramData%.”

Use um fluxo de trabalho que combine com as evidências

Comece com uma exportação CSV como autorunsc.exe -a * -c -h -s -v -vt -o autoruns.csv, depois revise os locais de maior risco antes de ler linha por linha. Na prática, verifique primeiro Run/RunOnce, serviços, tarefas agendadas, Winlogon, drivers e assinaturas WMI e, em seguida, compare com baselines conhecidos e com o status de assinatura digital. O fluxo de uso analyzing-malware-persistence-with-autoruns é mais forte quando você pede entradas suspeitas ranqueadas com justificativa, e não apenas um despejo de lista.

O que ler primeiro no repositório

Se você está decidindo se a skill vai economizar tempo, leia assets/template.md para ver a estrutura esperada do relatório e references/api-reference.md para entender os campos de saída e os indicadores de suspeita. Depois, dê uma olhada em scripts/agent.py para ver como a skill classifica caminhos e padrões de comando suspeitos; isso ajuda a alinhar seu prompt com a lógica interna.

FAQ da skill analyzing-malware-persistence-with-autoruns

Isso serve só para análise de malware?

Não, mas analyzing-malware-persistence-with-autoruns for Malware Analysis é o melhor encaixe. Ela também funciona para resposta a incidentes, caça a persistência e triagem após comportamento suspeito de logon ou atividade pós-exploração. Ela é menos útil para troubleshooting genérico do Windows, porque a skill é calibrada para persistência hostil ou potencialmente hostil.

Preciso já ter o Autoruns instalado?

Normalmente, sim — ou pelo menos acesso a uma exportação CSV do Autoruns. A skill foi projetada em torno dos dados do Autoruns, especialmente das colunas necessárias para hashing, validação de assinatura e contexto do VirusTotal. Se você só tem uma suspeita vaga e nenhum acesso ao endpoint, a saída tende a ser mais fraca.

Em que ela é melhor do que um prompt normal?

Um prompt comum pode explicar conceitos de persistência, mas esta skill entrega um fluxo de trabalho repetível centrado no Autoruns, um template de relatório e pistas de análise baseadas em referências. Isso reduz o chute quando você precisa justificar por que uma entrada é suspeita, e não apenas dizer que parece ruim.

Ela é amigável para iniciantes?

Sim, se você consegue identificar um host Windows e coletar uma exportação do Autoruns. Iniciantes tiram mais valor quando pedem uma revisão ranqueada das entradas suspeitas e fornecem contexto sobre o que é conhecido versus o que é desconhecido. Sem isso, o modelo pode supervalorizar itens de inicialização barulhentos, mas benignos.

Como melhorar a skill analyzing-malware-persistence-with-autoruns

Forneça contexto que afine a busca

Os melhores resultados vêm de um resumo curto do incidente: host afetado, janela de tempo, família de malware suspeita e quaisquer cadeias de execução observadas. Se você souber o tipo de persistência mais provável, diga isso. Por exemplo, “foque em tarefas agendadas e chaves Run após um loader suspeito ter usado PowerShell” é mais acionável do que “analise este arquivo”.

Inclua referências conhecidas boas e ruins

A analyzing-malware-persistence-with-autoruns skill melhora quando você informa softwares confiáveis, ferramentas administrativas e qualquer item já confirmado como malicioso. Isso ajuda a análise a separar software corporativo ruidoso de persistência real. Se você tiver uma exportação base do Autoruns de uma máquina limpa, inclua-a para comparação.

Peça uma saída que combine com o seu próximo passo

Não pare em “encontre entradas suspeitas”. Peça uma tabela com local, nome da entrada, por que ela parece suspeita, como validá-la e se é provável que seja maliciosa, benigna ou desconhecida. Se você estiver escrevendo um relatório de incidente, solicite um resumo conciso junto com ações recomendadas de contenção ou verificação. Iterar dessa forma torna o guia analyzing-malware-persistence-with-autoruns muito mais útil na segunda passada do que na primeira.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

analyzing-cobaltstrike-malleable-c2-profiles

por mukul975

analyzing-cobaltstrike-malleable-c2-profiles ajuda a analisar perfis Malleable C2 do Cobalt Strike, convertendo-os em indicadores de C2, traços de evasão e ideias de detecção para fluxos de análise de malware, threat hunting e auditoria de segurança. Usa `dissect.cobaltstrike` e `pyMalleableC2` para análise de perfis e da configuração do beacon.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

analyzing-android-malware-with-apktool

por mukul975

analyzing-android-malware-with-apktool é uma skill de análise estática para malware em APKs Android. Ela usa apktool, jadx e androguard para descompactar apps, inspecionar manifests e permissões, recuperar código semelhante ao original e extrair APIs suspeitas e IOCs para análise de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-mobile-malware-behavior

por mukul975

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

Security Audit

Favoritos 0GitHub 6.1k