analyzing-windows-shellbag-artifacts

por mukul975

A skill analyzing-windows-shellbag-artifacts ajuda analistas de DFIR a interpretar artefatos de Shellbag do Registro do Windows para reconstruir a navegação por pastas, o acesso a pastas apagadas, o uso de mídias removíveis e a atividade em compartilhamentos de rede com SBECmd e ShellBags Explorer. É um guia prático de analyzing-windows-shellbag-artifacts para resposta a incidentes e perícia forense.

Estrelas6.2k

Favoritos0

Comentários0

Adicionado12 de mai. de 2026

CategoriaDigital Forensics

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-windows-shellbag-artifacts

Pontuação editorial

Esta skill tem nota 78/100, o que a torna uma boa candidata para o diretório. Ela oferece conteúdo operacional suficiente sobre forense de shellbags para ajudar o usuário a decidir pela instalação: o SKILL.md explica quando usar a skill, as referências documentam a sintaxe do SBECmd, os caminhos do Registro, os padrões e o fluxo de trabalho, e os scripts incluídos mostram que ela pode processar saídas e gerar um relatório. Ainda assim, vale esperar algumas ressalvas operacionais, porque o pacote funciona mais como referência forense + scripts auxiliares do que como um fluxo de agente totalmente pronto e polido.

78/100

Pontos fortes

Gatilho forense e caso de uso bem definidos: reconstrução de navegação por pastas, acesso a mídias removíveis e atividade em compartilhamentos de rede a partir de Shellbags do Windows.
Boa utilidade prática: as referências incluem a sintaxe do SBECmd, locais do Registro, padrões e um fluxo de investigação passo a passo.
Há suporte real: scripts para processar/analisar dados de shellbag e um modelo de relatório reduzem a incerteza em comparação com um prompt genérico.

Pontos de atenção

Não há comando de instalação nem caminho explícito de configuração no SKILL.md, então o usuário pode precisar montar as dependências das ferramentas por conta própria.
O fluxo é útil, mas relativamente específico: a evidência se concentra na análise de shellbags com SBECmd e em um script de pós-processamento de CSV, não em uma pipeline ampla de DFIR de ponta a ponta.

Windows Registry Analysis Shellbags Shellbags Explorer Sbecmd Windows Artifacts Dfir Forensics

Visão geral

Visão geral da skill analyzing-windows-shellbag-artifacts

O que esta skill faz

A skill analyzing-windows-shellbag-artifacts ajuda a interpretar dados de registro do Windows Shellbag para reconstruir a atividade de navegação em pastas, incluindo evidências de acesso a pastas apagadas, mídias removíveis, compartilhamentos de rede e outros caminhos que ainda importam em uma investigação.

Para quem ela é indicada

Esta analyzing-windows-shellbag-artifacts skill é ideal para analistas de DFIR, responders de incidentes e peritos forenses que precisam de uma forma rápida e defensável de transformar artefatos brutos de shellbag em uma linha do tempo ou nota de caso, sem adivinhar locais de registro ou campos de saída.

O que a diferencia

Ao contrário de um prompt genérico, esta skill é centrada no fluxo real de trabalho com shellbags: locais de hives de registro, uso do SBECmd e do ShellBags Explorer, e os tipos de caminhos que são mais úteis em investigações no Windows. Isso torna o guia analyzing-windows-shellbag-artifacts mais prático quando o objetivo é provar interação com pastas, e não apenas listar artefatos.

Como usar a skill analyzing-windows-shellbag-artifacts

Instale e localize o fluxo de trabalho

Use o comando analyzing-windows-shellbag-artifacts install no fluxo padrão de instalação do diretório e, em seguida, abra primeiro o SKILL.md. Para contexto de configuração, leia também references/workflows.md, references/api-reference.md e references/standards.md; esses arquivos mostram o caminho de análise previsto, a sintaxe das ferramentas e os caminhos de registro que a skill espera.

Forneça à skill a entrada certa

A skill funciona melhor quando você informa a origem da evidência, o escopo e o que precisa ser comprovado. Um bom pedido seria: “Analise os dados de shellbag de NTUSER.DAT e UsrClass.dat de um usuário suspeito de acessar \\SERVER01\Finance e um drive USB em 2024-05-18; gere uma linha do tempo concisa e destaque evidências de pasta excluída.” Um pedido fraco é apenas “analise shellbags”, porque isso deixa ambíguos o período, o usuário-alvo e os caminhos prioritários.

Fluxo prático de uso

Um padrão confiável de analyzing-windows-shellbag-artifacts usage é: extrair os hives, processar com SBECmd, revisar AbsolutePath, CreatedOn, ModifiedOn e AccessedOn, e então correlacionar os achados de shellbag com MFT, LNK e outros artefatos do caso. Se você preferir primeiro uma triagem visual, use o ShellBags Explorer para um exame rápido e depois mude para saída em CSV para relatório e correlação cruzada.

Arquivos para ler primeiro

Comece com SKILL.md para entender o escopo, depois examine assets/template.md para ver o formato do relatório e scripts/process.py se quiser entender como a saída CSV é classificada em atividade de USB e de rede. Se precisar de lógica de parsing mais profunda ou cobertura de registro, scripts/agent.py e references/api-reference.md são os arquivos mais relevantes para a decisão.

FAQ da skill analyzing-windows-shellbag-artifacts

Isso é só para computação forense?

O caso de uso de analyzing-windows-shellbag-artifacts for Digital Forensics é o encaixe principal, mas a skill também atende triagem e threat hunting quando você precisa de evidências de navegação em diretórios. Não é uma skill genérica de forense do Windows; ela é específica para interpretação de shellbags e dos artefatos ligados ao acesso a pastas.

O que ela faz melhor do que um prompt comum?

Ela reduz a incerteza sobre locais de registro, saídas esperadas e usos comuns de shellbags. Um prompt normal pode produzir um resumo; esta skill é mais útil quando você precisa de um caminho de análise repetível e de um resultado pronto para relatório.

Ela é amigável para iniciantes?

Sim, se você já sabe de onde veio a evidência e consegue fornecer o hive ou a saída CSV. Ela é menos amigável para iniciantes quando o caso não tem material de origem, porque o valor dos shellbags depende de coleta correta dos hives e de uma correlação cuidadosa.

Quando eu não deveria usá-la?

Não a use como substituto de uma análise completa de disco ou de linha do tempo quando a pergunta for mais ampla do que navegação em pastas. Se o caso exigir histórico do navegador, rastros de execução ou evidência de conteúdo de arquivo, os shellbags sozinhos serão incompletos.

Como melhorar a skill analyzing-windows-shellbag-artifacts

Dê contexto do caso, não apenas os arquivos

O maior salto de qualidade vem de dizer à analyzing-windows-shellbag-artifacts skill qual pergunta precisa ser respondida: primeiro acesso, último acesso, uso de mídia removível, navegação em compartilhamento de rede ou prova de presença do usuário. Inclua usuário-alvo, intervalo de datas e os caminhos suspeitos para que a saída foque nas evidências que realmente importam.

Seja explícito sobre fontes e formato

Informe se você tem hives brutos, CSV do SBECmd ou exportações da interface gráfica, porque a skill pode ser muito mais precisa quando conhece o formato de entrada. Se você tiver apenas um CSV, peça um resumo por caminho e horário; se tiver os hives, peça interpretação dos artefatos e ressalvas sobre dados ausentes.

Peça correlações e exclusões

Um melhor analyzing-windows-shellbag-artifacts usage significa pedir que a saída separe evidência confirmada de shellbag de suposições. Solicite correlação com timestamps de MFT ou LNK e peça ao modelo para indicar quando a correspondência de letra de unidade ou de caminhos UNC é provável, mas não fica totalmente comprovada só pelos shellbags.

Refine com uma segunda passada mais objetiva

Se o primeiro resultado vier amplo demais, devolva os caminhos, timestamps e conflitos mais úteis. Peça uma narrativa investigativa mais curta, uma tabela de caminhos de pasta ou uma seção de “o que isso não prova” para que o relatório final fique mais fácil de sustentar em um arquivo de incidente.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

detecting-lateral-movement-with-zeek

por mukul975

detecting-lateral-movement-with-zeek é uma skill de cibersegurança baseada em Zeek para threat hunting e resposta a incidentes. Ela ajuda a detectar acesso a admin shares via SMB, criação de serviços por DCE/RPC, spray de NTLM, anomalias de Kerberos e transferências internas suspeitas usando logs do Zeek como `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` e `kerberos.log`.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extrair, enriquecer, pontuar e exportar IOCs a partir de evidências de incidentes. Use em fluxos de Auditoria de Segurança, compartilhamento de threat intel e saída em STIX 2.1 quando você precisar de um guia prático de collecting-indicators-of-compromise em vez de um prompt genérico de resposta a incidentes.

Security Audit

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

Incident Triage

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

analyzing-android-malware-with-apktool

por mukul975

analyzing-android-malware-with-apktool é uma skill de análise estática para malware em APKs Android. Ela usa apktool, jadx e androguard para descompactar apps, inspecionar manifests e permissões, recuperar código semelhante ao original e extrair APIs suspeitas e IOCs para análise de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k