conducting-memory-forensics-with-volatility

por mukul975

conducting-memory-forensics-with-volatility ajuda você a analisar dumps de RAM com o Volatility 3 para encontrar código injetado, processos suspeitos, conexões de rede, roubo de credenciais e atividade oculta no kernel. É uma skill prática de conducting-memory-forensics-with-volatility para triagem de Digital Forensics e resposta a incidentes.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaDigital Forensics

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-memory-forensics-with-volatility

Pontuação editorial

Esta skill recebe 78/100, o que a torna uma candidata sólida para usuários que precisam de forense de memória com Volatility. O repositório traz detalhe suficiente de fluxo de trabalho, escopo das ferramentas e suporte a automação para justificar a instalação, embora valha notar que o caminho de execução é parcialmente guiado por script e a história de instalação/inicialização não está totalmente empacotada.

78/100

Pontos fortes

Boa capacidade de disparo para incidentes de forense de memória: a descrição e a seção "When to Use" deixam claro o foco em dumps de RAM, injeção de processo, roubo de credenciais, checagem de rootkits e aquisição de memória ao vivo.
Boa profundidade operacional: o corpo do material e a referência de API documentam plugins específicos do Volatility 3 e tarefas de análise como pslist, netscan, malfind, dlllist, cmdline e comparação de drivers/rootkits.
Mais alavancagem para agentes com o script Python incluído e a referência de API, que reduzem suposições em relação a um prompt genérico e mostram como os resultados são consolidados em um relatório.

Pontos de atenção

Não há comando de instalação em SKILL.md, então talvez seja necessário configurar o Volatility 3 e o ponto de entrada do agente manualmente.
O fluxo de trabalho é focado em análise de dumps de memória com Volatility 3; ele não é adequado para forense de disco nem para tarefas gerais de resposta a incidentes fora de evidências voláteis.

Volatility3 Memory Forensics Forensics Dfir Cybersecurity

Visão geral

Visão geral de conducting-memory-forensics-with-volatility skill

O conducting-memory-forensics-with-volatility skill ajuda você a analisar dumps de RAM com o Volatility 3 para encontrar evidências que muitas vezes nunca chegam ao disco: código injetado, processos suspeitos, conexões de rede, roubo de credenciais e atividade oculta no kernel. Ele é mais indicado para responders de incidentes, analistas de DFIR e engenheiros de segurança que precisam de um conducting-memory-forensics-with-volatility skill prático para triagem de memória no Windows e elaboração de relatórios investigativos.

O que normalmente vem primeiro para o usuário é a velocidade de gerar sinal útil: isso ajuda a decidir se uma imagem de memória merece uma análise mais profunda e quais artefatos devem ser extraídos primeiro? Esse skill é mais forte quando a sua tarefa é transformar uma captura bruta de memória em pistas defensáveis, e não quando você precisa de engenharia reversa de malware em geral ou de revisão de artefatos de disco.

Melhor encaixe para triagem de dump de memória

Use conducting-memory-forensics-with-volatility quando a evidência for volátil ou quando o host já estiver isolado e você precisar preservar artefatos de estado em memória. É uma boa escolha para resposta a ransomware, suspeita de injeção em processos, roubo de LSASS ou checagens de rootkit. Ele é menos útil para imagens de disco, forense de navegador ou investigações que dependem só do sistema de arquivos.

O que o skill realmente ajuda você a fazer

O skill se concentra em fluxos de trabalho comuns do Volatility 3: listagem de processos, enumeração de rede, revisão de DLLs, extração de linha de comando, verificações de injeção com malfind e comparação de módulos do kernel. Isso torna o conducting-memory-forensics-with-volatility for Digital Forensics especialmente útil quando você precisa ligar uma imagem de memória suspeita a indicadores específicos e evidências de linha do tempo.

O que o diferencia de um prompt genérico

Um prompt genérico pode resumir conceitos, mas este skill é estruturado em torno de um caminho de análise repetível e conta com código auxiliar. O repositório inclui um agente em Python e uma referência de API, então o conducting-memory-forensics-with-volatility guide é mais acionável do que um prompt único de chat quando você quer extração consistente a partir de vários dumps.

Como usar o conducting-memory-forensics-with-volatility skill

Instale e inspecione os arquivos do skill

Instale com: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-memory-forensics-with-volatility.

Para uma leitura mais rápida, comece por SKILL.md, depois abra references/api-reference.md e scripts/agent.py. Esses arquivos mostram o fluxo de análise previsto, os plugins do Volatility usados e o formato de dados que o script auxiliar espera. Se você estiver avaliando a prontidão para conducting-memory-forensics-with-volatility install, esses três arquivos mostram se o seu ambiente suporta o skill.

Dê a ele um prompt com foco em memória

O skill funciona melhor quando o pedido inclui a origem da memória, a plataforma e o objetivo da investigação. Um bom prompt seria: “Analise um dump de RAM de Windows 10 de um host suspeito de ransomware. Priorize injeção de processos, conexões de rede suspeitas e indicadores de roubo de credenciais. Resuma os achados com evidências dos plugins e níveis de confiança.”

Isso é melhor do que “verifique este dump”, porque diz ao skill o que deve receber mais atenção, quais artefatos importam e como enquadrar a saída.

Siga a ordem de trabalho do repositório

Para conducting-memory-forensics-with-volatility usage, siga esta ordem: capture a memória, verifique o tipo da imagem, execute os plugins de processos e rede, inspecione processos suspeitos com visões de DLL e linha de comando e, depois, verifique injeção ou drivers ocultos. O fluxo em SKILL.md foi montado para triagem de resposta a incidentes, então não comece com checagens profundas de kernel se você ainda não confirmou evidências básicas de processos e sockets.

Observe as restrições de entrada que afetam os resultados

O skill pressupõe que você tenha uma captura de memória válida e um ambiente funcional de Volatility 3. Na prática, a qualidade da saída cai se o dump estiver incompleto, compactado, adquirido depois do desligamento ou vindo de um formato de SO/imagem não suportado. Para melhores resultados, inclua pistas do sistema operacional, a ferramenta de aquisição, se souber, e o contexto do incidente, como “possível PowerShell codificado” ou “suspeita de dump de LSASS”.

FAQ do conducting-memory-forensics-with-volatility skill

Isso serve só para usuários de Volatility 3?

Sim, o repositório está orientado aos plugins e à estrutura de comandos do Volatility 3. Se você estiver usando a sintaxe antiga do Volatility 2, vai precisar adaptar a abordagem em vez de segui-la diretamente.

Posso usar isso também para forense de disco?

Não. O skill foi feito para análise de RAM, não para evidência de sistema de arquivos. Se a sua principal pergunta é persistência em disco, artefatos de registro ou recuperação de arquivos apagados, um fluxo de trabalho de forense de disco é mais adequado.

Preciso ser especialista em forense de memória antes?

Não, mas você precisa de contexto básico de resposta a incidentes. O skill pode ajudar iniciantes a começar pelos plugins e tipos de evidência certos, porém ainda espera que você saiba se está analisando um dump de Windows, o que disparou a suspeita e qual resultado você precisa.

Quando não devo usar este skill?

Não use conducting-memory-forensics-with-volatility quando você só tiver logs, eventos de EDR ou uma imagem de disco sem componente de memória ao vivo. Ele também é uma escolha ruim se o seu objetivo for engenharia reversa ampla de malware, e não extração de evidências da RAM.

Como melhorar conducting-memory-forensics-with-volatility

Comece com uma descrição de caso mais enxuta e específica

A melhor forma de melhorar conducting-memory-forensics-with-volatility usage é fornecer um breve resumo do caso: versão do SO, origem da captura, comportamento suspeito do atacante e quaisquer indicadores já conhecidos. “Dump de memória de Windows Server 2019, powershell.exe suspeito, possível roubo de credenciais, preciso de um resumo de triagem” gera uma saída melhor do que um pedido vago.

Peça saída de plugins com base em evidências

Diga ao skill para ancorar as conclusões em resultados de plugins, não em suposições. Peça uma tabela ou lista com o nome do plugin, o artefato observado e por que isso importa. Isso reduz a falha mais comum em forense de memória: conclusões confiantes demais a partir de uma única string suspeita.

Itere da triagem ampla para a validação focada

Um padrão útil é pedir uma primeira triagem e, depois, uma segunda passada sobre o PID, a conexão ou o driver mais suspeito. Por exemplo, depois de revisar windows.pslist e windows.netscan, você pode pedir ao skill para aprofundar um processo específico com windows.dlllist, windows.malfind e extração de linha de comando. Essa sequência normalmente gera achados mais fortes do que pedir tudo de uma vez.

Melhore o prompt com detalhes do ambiente

Se você já souber o formato da imagem de memória, a ferramenta de aquisição ou o papel do sistema de destino, inclua isso. Esses detalhes ajudam o conducting-memory-forensics-with-volatility skill a escolher verificações mais relevantes e evitar caminhos de análise improdutivos. Se a primeira passada vier fraca, adicione a procedência do arquivo, as ferramentas suspeitas e quaisquer falsos positivos que você quer excluir, para que a próxima saída fique mais precisa e útil.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extrair, enriquecer, pontuar e exportar IOCs a partir de evidências de incidentes. Use em fluxos de Auditoria de Segurança, compartilhamento de threat intel e saída em STIX 2.1 quando você precisar de um guia prático de collecting-indicators-of-compromise em vez de um prompt genérico de resposta a incidentes.

Security Audit

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

Incident Triage

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

hunting-advanced-persistent-threats

por mukul975

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

Threat Hunting

Favoritos 0GitHub 0