detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaThreat Hunting

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique

Pontuação editorial

Esta skill recebeu 81/100, o que indica que é uma boa opção para usuários que investigam process hollowing (T1055.012). O repositório traz detalhes operacionais suficientes para um agente entender quando usá-la, seguir um fluxo de detecção e aproveitar scripts e referências de apoio com relativamente pouca incerteza, embora ainda seja mais voltada à detecção do que totalmente pronta para uso imediato.

81/100

Pontos fortes

Alta acionabilidade: o SKILL.md deixa claro que o foco é detecção de process hollowing e cita casos de uso concretos, como alertas de EDR, ameaças em memória e validação purple team.
Boa estrutura operacional: o repositório inclui um fluxo de trabalho em múltiplas fases, além de referências de apoio para Sysmon, MDE/KQL, Splunk SPL e contexto de sequência de APIs.
Bom suporte para agentes: scripts e templates oferecem pontos de partida executáveis para análise de logs do Sysmon e documentação de hunting, em vez de só orientação narrativa.

Pontos de atenção

Não há comando de instalação no SKILL.md, então os usuários talvez precisem inferir por conta própria como operacionalizar os scripts e dependências.
Parte do conteúdo do fluxo de trabalho está truncada na evidência, e a skill parece focada em telemetria do Windows, o que limita a aderência fora desse ambiente.

Mitre Attack Malware Analysis Process Hollowing Edr Sysmon Windows T1055

Visão geral

Visão geral da skill detecting-process-hollowing-technique

A skill detecting-process-hollowing-technique ajuda você a caçar process hollowing (MITRE ATT&CK T1055.012) em telemetria do Windows, correlacionando criação de processo, adulteração de memória e anomalias entre processo pai e filho. Ela é ideal para threat hunters, detection engineers e incident responders que precisam de um fluxo prático de detecting-process-hollowing-technique for Threat Hunting, e não de uma explicação genérica sobre injeção de processo.

Para que esta skill serve

Use esta skill quando precisar decidir se um processo suspeito foi realmente hollowed, e não apenas incomum. Ela foca nos sinais que importam na prática operacional: criação de processo suspenso, incompatibilidade de imagem, gravações remotas de memória e fluxo de execução anormal depois que a thread é retomada.

Por que ela é útil em hunts reais

O principal valor da detecting-process-hollowing-technique skill é a estrutura. Em vez de partir de um único alerta, ela propõe uma sequência: identificar processos candidatos, validar contra relações esperadas entre processo pai e filho no Windows e, depois, confirmar com evidências de memória e de API. Isso reduz falsos positivos causados por comportamento legítimo de serviços e ajuda a separar “estranho” de “malicioso”.

O que a torna diferente

Esta skill mostra mais valor quando você tem telemetria de EDR ou Sysmon e precisa de um fluxo orientado à detecção. Ela é mais útil do que um prompt de uma linha porque já incorpora a cadeia típica de hollowing e a troca comum: para ganhar confiança, você precisa enxergar melhor o processo e a memória. Se você só tem logs de rede, esta skill não vai oferecer evidência suficiente.

Como usar a skill detecting-process-hollowing-technique

Instale e carregue

Instale com:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique

Depois, abra primeiro skills/detecting-process-hollowing-technique/SKILL.md. Se quiser o contexto operacional por trás da lógica de hunting, leia também references/standards.md e references/workflows.md antes de rodar a skill no seu próprio ambiente.

Comece com a entrada certa

A skill funciona melhor quando o prompt inclui a fonte de telemetria, uma breve descrição da suspeita e a janela de tempo. Por exemplo: “Analise os Sysmon Event IDs 1, 8, 10 e 25 do host X em busca de sinais de process hollowing após um lançamento suspeito de svchost.exe às 14:30 UTC.” Isso é melhor do que “verifique malware”, porque dá ao modelo um alvo de hunt concreto e um caminho de validação.

Fluxo de trabalho sugerido

Use a skill para reduzir a lista de processos candidatos a partir de Sysmon ou EDR.
Valide a relação entre processo pai e filho com o baseline do Windows.
Verifique indicadores de hollowing: início suspenso, sequência de unmap/write/redirect e eventos de tampering.
Confirme com evidência de memória, se disponível.
Converta o resultado em uma nota de hunt ou regra de detecção, usando assets/template.md como estrutura do relatório.

Arquivos para ler primeiro

Para detecting-process-hollowing-technique usage, priorize:

SKILL.md para a lógica de hunt e os pré-requisitos
references/api-reference.md para a sequência de API e um exemplo de query no Splunk
references/workflows.md para exemplos com Sysmon e MDE
assets/template.md para documentar os achados com clareza
scripts/agent.py e scripts/process.py se você quiser automatizar a análise de eventos ou a triagem

FAQ da skill detecting-process-hollowing-technique

Isso é só para analistas avançados?

Não. O detecting-process-hollowing-technique guide é acessível para iniciantes que já entendem conceitos básicos de processos no Windows. Você precisa de contexto suficiente para distinguir comportamento normal de serviço de padrões suspeitos de injeção, mas a skill entrega um caminho de hunt utilizável em vez de exigir conhecimento profundo de engenharia reversa.

Preciso de EDR ou Sysmon?

Preferencialmente, sim. A skill é mais forte com telemetria de Sysmon e EDR, porque process hollowing muitas vezes fica invisível em logs básicos do endpoint. Sem telemetria de criação de processo, tampering ou memória, você pode chegar no máximo a uma suspeita fraca, e não a uma conclusão defensável.

Em que ela difere de um prompt comum?

Um prompt comum pode descrever process hollowing em termos gerais. Esta skill é mais orientada à decisão: ela leva você a verificações específicas, baselines esperados de processo pai e filho e evidências que sustentam ou refutam T1055.012. Normalmente, isso gera uma saída de triagem melhor e respostas menos vagas.

Quando não devo usá-la?

Não use detecting-process-hollowing-technique se o caso for בעיקר sobre exploração de navegador, malware por macro ou persistência genérica sem evidência de injeção de processo. Ela também não é uma boa escolha quando você não tem telemetria de endpoint e só precisa de um resumo de incidente em alto nível.

Como melhorar a skill detecting-process-hollowing-technique

Dê mais contexto de telemetria

O maior ganho de qualidade vem de dados de entrada melhores. Inclua versão do sistema operacional, origem dos logs, event IDs e um ou dois nomes de processo suspeitos. Por exemplo: “Windows 11, Sysmon 13, Event 1 e 25, svchost.exe iniciado por cmd.exe, seguido de alerta de tampering às 14:31.” Isso ajuda o modelo a se ancorar no caminho certo de detecção.

Peça um veredito com evidências

Se quiser uma saída útil, peça tanto a conclusão quanto a cadeia de evidências. Um bom pedido é: “Classifique a probabilidade de process hollowing, liste os indicadores de suporte e indique qual evidência ainda está faltando.” Isso força o resultado a separar achados confirmados de suposições.

Fique atento aos modos comuns de falha

O erro mais comum é concluir hollowing só por divergência entre processo pai e filho. Outro é tratar todo processo suspenso como malicioso. Melhore o resultado fornecendo expectativas de baseline para pai/filho, atividades administrativas conhecidas como legítimas e informando se há evidência de memória ou apenas logs de evento.

Itere depois da primeira passada

Use a primeira resposta para identificar o que está faltando e execute a skill de novo com essas lacunas preenchidas. Se a saída vier incerta, adicione hashes de processo, command lines, módulos carregados e o intervalo entre CreateProcess, WriteProcessMemory e ResumeThread. Isso transforma uma resposta genérica da detecting-process-hollowing-technique skill em uma nota de detecção ou de hunt muito mais defensável.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

detecting-network-anomalies-with-zeek

por mukul975

A skill de detectar anomalias de rede com Zeek ajuda a implantar o Zeek para monitoramento passivo de rede, revisar logs estruturados e criar detecções personalizadas para beaconing, DNS tunneling e atividades incomuns de protocolos. É indicada para threat hunting, resposta a incidentes, metadados de rede prontos para SIEM e fluxos de trabalho de Security Audit — não para prevenção inline.

Security Audit

Favoritos 0GitHub 6.1k