analyzing-packed-malware-with-upx-unpacker

por mukul975

analyzing-packed-malware-with-upx-unpacker é uma skill de análise de malware para identificar amostras empacotadas com UPX, lidar com cabeçalhos UPX modificados e recuperar o executável original para revisão estática no Ghidra ou no IDA. Use quando `upx -d` falhar ou quando você precisar de um fluxo mais rápido para verificar se o binário foi empacotado com UPX e descompactá-lo.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaMalware Analysis

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-packed-malware-with-upx-unpacker

Pontuação editorial

Esta skill tem nota 78/100, o que indica uma listagem sólida para quem precisa de orientação para descompactar malware com UPX. O repositório traz conteúdo de fluxo de trabalho real, condições de acionamento e referências de apoio suficientes para um agente decidir quando usá-la e como começar com menos suposições do que em um prompt genérico.

78/100

Pontos fortes

Casos de uso e de não uso explícitos para malware empacotado, UPX e cabeçalhos UPX modificados
Conteúdo substancial de fluxo de trabalho com títulos, blocos de código e referências a UPX, pefile e DIE
Inclui um script Python de apoio e uma referência de API que melhoram a execução do agente além de um simples prompt

Pontos de atenção

Não há comando de instalação no SKILL.md, então pode ser necessário montar as dependências manualmente
A evidência é forte para descompactação focada em UPX, mas é mais estreita do que fluxos mais amplos de descompactação de malware ou de packers personalizados

Upx Malware Binary Analysis Static Analysis Deobfuscation Ghidra Python

Visão geral

Visão geral da skill analyzing-packed-malware-with-upx-unpacker

O que esta skill faz

analyzing-packed-malware-with-upx-unpacker é uma skill prática de análise de malware para identificar amostras empacotadas com UPX, lidar com cabeçalhos UPX modificados e recuperar o executável original para revisão estática. Ela é voltada para analistas que precisam sair de “este binário parece packed” para um arquivo desempacotado utilizável no Ghidra, no IDA ou em uma triagem mais profunda.

Quem deve instalar

Instale a skill analyzing-packed-malware-with-upx-unpacker se você inspeciona com frequência arquivos PE suspeitos, encontra seções com alta entropia ou quer um caminho mais rápido da detecção de packer ao desempacotamento. Ela é uma boa opção para analistas que já sabem que estão lidando com empacotamento, em vez de reverse engineering genérico.

Por que ela é útil

O principal valor é o apoio à decisão: ela ajuda você a concluir quando o UPX é o bloqueio mais provável, que evidências sustentam essa hipótese e como seguir quando o upx -d padrão falha. Isso torna o fluxo de trabalho analyzing-packed-malware-with-upx-unpacker for Malware Analysis mais acionável do que um prompt genérico de unpacking.

Como usar a skill analyzing-packed-malware-with-upx-unpacker

Instale e inspecione a skill

Comece pelo caminho do repositório e depois instale a skill analyzing-packed-malware-with-upx-unpacker com seu gerenciador de skills. Após a instalação, leia SKILL.md para entender o fluxo de trabalho, references/api-reference.md para ver os comandos e os limiares de detecção, e scripts/agent.py se quiser entender como a lógica de análise foi implementada.

Forneça a entrada certa para a skill

O padrão de uso da analyzing-packed-malware-with-upx-unpacker funciona melhor quando você informa o caminho da amostra, o tipo de arquivo, as pistas de detecção e o que falhou. Uma boa entrada seria algo como: “Analise sample.exe; o DIE aponta UPX, upx -d falha, as seções mostram alta entropia e eu preciso de um arquivo desempacotado para análise estática.” Isso é melhor do que “me ajude a desempacotar malware”, porque diz à skill o que precisa ser verificado e qual resultado importa.

Peça como um fluxo de trabalho, não como uma pergunta

Para obter os melhores resultados, enquadre a tarefa em torno da decisão de desempacotamento e do artefato de saída. Um bom prompt para a analyzing-packed-malware-with-upx-unpacker guide é: “Verifique se este PE está packed com UPX, explique as evidências, tente o caminho padrão de unpacking e, se o cabeçalho parecer modificado, sugira o próximo passo mais seguro para a análise estática.” Isso mantém o modelo focado em evidências, restrições e qualidade da saída.

Leia estes arquivos do repositório primeiro

Comece com SKILL.md para captar o fluxo de trabalho pretendido e depois consulte references/api-reference.md para ver os exemplos exatos de CLI e os limiares heurísticos. Revise scripts/agent.py se quiser saber o que a ferramenta consegue detectar automaticamente e onde ela provavelmente falha com cabeçalhos alterados ou packers que não são UPX.

FAQ da skill analyzing-packed-malware-with-upx-unpacker

Isso é só para UPX?

Sim, principalmente. A skill é centrada em UPX e em evidências de packing semelhantes ao UPX, especialmente nos casos em que a amostra ainda expõe marcadores ou nomes de seção reconhecíveis do UPX. Se o binário estiver protegido por um packer customizado, um protetor VM ou um loader ofuscado em tempo de execução, esta skill será menos útil.

Preciso ter experiência em análise de malware?

Familiaridade básica ajuda, mas o fluxo é acessível se você já sabe identificar um binário suspeito e abri-lo em um analisador estático. A skill é melhor para “suspeito de packing e quero recuperar o código original” do que para reverse engineering do zero.

Em que ela é diferente de um prompt normal?

Um prompt comum muitas vezes para em “rode o UPX”. A skill analyzing-packed-malware-with-upx-unpacker adiciona pistas de identificação de packer, casos de falha e um caminho mais confiável da detecção ao desempacotamento, que é o que a torna útil na triagem real de malware.

Quando eu não devo usá-la?

Não dependa dela quando a amostra provavelmente estiver protegida por um packer customizado que não seja UPX, exigir unpacking dinâmico ou precisar de extração assistida por debugger. Nesses casos, forçar um fluxo estático de UPX geralmente desperdiça tempo e pode gerar uma confiança enganosa.

Como melhorar a skill analyzing-packed-malware-with-upx-unpacker

Forneça mais contexto sobre a amostra

A melhor forma de melhorar os resultados da analyzing-packed-malware-with-upx-unpacker é incluir o tipo da amostra, a arquitetura e as evidências que você já tem. Mencione se o binário é PE32 ou PE64, o que o DIE ou o PEStudio reportou e se houve contagem de imports baixa, entropia alta ou strings de UPX.

Informe o modo exato de falha

Se upx -d falhar, inclua o texto do erro e diga se o arquivo foi modificado, stripped ou renomeado. A skill analyzing-packed-malware-with-upx-unpacker consegue sugerir próximos passos mais úteis quando sabe se o problema são cabeçalhos ruins, metadados ausentes ou uma amostra que simplesmente não está packed com UPX.

Peça o próximo artefato de análise

Não pare em “desempacote isso”. Peça o artefato de que você precisa em seguida, como um arquivo desempacotado, uma explicação dos indicadores de packer ou um resumo curto de triagem para um relatório. Isso mantém a decisão de instalar a analyzing-packed-malware-with-upx-unpacker valiosa, porque ela dá suporte à transferência completa para a análise estática.

Itere depois da primeira passada

Se a primeira resposta vier incompleta, devolva os resultados da varredura, os nomes das seções e os detalhes da tabela de imports, em vez de repetir o pedido original. Ciclos curtos de feedback melhoram a skill analyzing-packed-malware-with-upx-unpacker porque o modelo consegue distinguir UPX padrão de casos com cabeçalho alterado e ajustar o fluxo de trabalho de acordo.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-mobile-malware-behavior

por mukul975

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

por mukul975

Skill de analyzing-ransomware-encryption-mechanisms para análise de malware, com foco em identificar criptografia de ransomware, tratamento de chaves e viabilidade de descriptografia. Use-o para inspecionar AES, RSA, ChaCha20, esquemas híbridos e falhas de implementação que podem ajudar na recuperação.

Malware Analysis

Favoritos 0GitHub 6.1k

extracting-iocs-from-malware-samples

por mukul975

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

Malware Analysis

Favoritos 0GitHub 0