detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Estrelas6.2k

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaMalware Analysis

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity

Pontuação editorial

Esta skill tem nota 78/100: é uma listagem sólida, embora não seja de primeira linha. O usuário do diretório encontra um fluxo crível de detecção de rootkits, com detalhe operacional suficiente para justificar a instalação, mas deve esperar alguma dependência de configuração com ferramentas forenses externas e a ausência de um comando de instalação dentro da skill.

78/100

Pontos fortes

Gatilhos explícitos para detecção de rootkit, descoberta de processos ocultos, checagens de integridade do kernel e análise de hooks em system calls.
Conteúdo operacional robusto: etapas de detecção por comparação entre visões, comandos do Volatility 3 e cobertura de ferramentas para Linux/Windows dão base para execução real por agentes.
O repositório inclui um script que parece funcional, além de um arquivo de referência, o que agrega mais valor do que uma skill apenas em markdown.

Pontos de atenção

Não há comando de instalação no SKILL.md, então pode ser necessário configurar execução e dependências manualmente.
A dependência de ferramentas externas (Volatility 3, GMER, rkhunter, chkrootkit) significa que a utilidade varia conforme o sistema operacional e o ambiente do analista.

Rootkit Memory Forensics Behavioral Analysis Volatility3 Windows Security Linux Sysinternals

Visão geral

Visão geral da skill detecting-rootkit-activity

O que a skill detecting-rootkit-activity faz

A skill detecting-rootkit-activity ajuda você a investigar se um sistema comprometido está escondendo atividade no nível do kernel ou do driver. Ela foca em indícios de rootkit, como processos ocultos, caminhos de system call alterados, estruturas do kernel modificadas, módulos escondidos e artefatos de rede encobertos. Não é um prompt genérico de malware; é uma skill detecting-rootkit-activity para Malware Analysis quando as ferramentas normais entram em conflito com o que a memória ou as verificações de integridade revelam.

Quem deve usar

Use esta skill se você trabalha com resposta a incidentes, triagem forense, validação de EDR ou limpeza pós-exploração e precisa de uma forma estruturada de confirmar comportamento furtivo. Ela é mais útil quando o Task Manager, ps, netstat ou varreduras antivírus padrão parecem limpos, mas o host ainda se comporta de forma suspeita.

Por que ela é diferente

O principal valor da detecting-rootkit-activity é a comparação entre visões: ela confronta o que as ferramentas em modo usuário reportam com o que a análise de memória e as verificações de integridade ainda conseguem enxergar. Isso a torna muito mais útil para decisão do que um prompt amplo de “procurar malware”, especialmente em sistemas em que o esconderijo é o problema central.

Como usar a skill detecting-rootkit-activity

Instale e carregue a skill

Use o fluxo de instalação do repositório para a etapa detecting-rootkit-activity install e depois aponte seu agente para o caminho da skill em skills/detecting-rootkit-activity. Um comando de instalação típico neste repositório é:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity

Depois da instalação, garanta que a skill só seja ativada quando a tarefa envolver processos ocultos, adulteração do kernel ou verificação de rootkit.

Comece com as entradas certas

O padrão de uso da detecting-rootkit-activity funciona melhor quando você fornece:

SO e versão
Sistema ao vivo vs. imagem de memória
Resumo dos sintomas, como “o processo desaparece em pslist, mas existe em psscan”
Ferramentas já executadas e seus resultados
Se você precisa de triagem, confirmação ou relatório

Um prompt fraco é: “Verifique se há rootkits.”
Um prompt mais forte é: “Analise este dump de memória do Windows em busca de processos ocultos e hooks na SSDT. Tenho a saída de pslist e psscan, além de nomes de drivers suspeitos.”

Leia estes arquivos primeiro

Para um onboarding rápido, inspecione:

SKILL.md para o escopo de ativação e o fluxo de trabalho
references/api-reference.md para comandos do Volatility 3 e etapas de comparação entre visões
scripts/agent.py para a lógica de automação e o formato da saída

Esse é o caminho mais curto para entender como a skill raciocina antes de você confiar nela em um caso.

Use um fluxo de trabalho de comparação entre visões

O padrão mais forte do repositório é comparar várias visões em vez de confiar em uma única ferramenta:

Enumere processos com pslist
Faça varredura da memória com psscan
Compare os PIDs para identificar entradas ocultas
Amplie a análise para ssdt, modules, driverirp, callbacks ou idt se o ocultamento for confirmado

Esse fluxo importa porque rootkits muitas vezes burlam uma interface, mas não todas.

Perguntas frequentes sobre a skill detecting-rootkit-activity

A skill detecting-rootkit-activity é boa para iniciantes?

Sim, se você já conhece triagem básica de malware. Ela é menos indicada se você ainda está aprendendo a diferença entre ferramentas de resposta ao vivo e forense de memória. A skill funciona melhor quando você consegue fornecer uma imagem concreta do host, saída de comandos ou comportamento suspeito de ocultação.

Como ela se compara a um prompt normal?

Um prompt normal pode dar orientações genéricas como “rode o antivírus e inspecione processos”. A skill detecting-rootkit-activity é mais específica e operacional: ela direciona você para verificações entre visões, validação de integridade e artefatos próprios de rootkit. Isso a torna melhor para uso da detecting-rootkit-activity em investigações reais.

Quando eu não deveria usar?

Não use como primeiro passo em toda infecção. Se o problema for um malware de phishing óbvio, adware comum ou uma verificação simples de persistência, esta skill provavelmente é específica demais. Use-a quando furtividade, adulteração do kernel ou comportamento de ocultação forem a questão real.

Ela serve para Windows e Linux?

Sim, mas as ferramentas mudam. O repositório enfatiza o Volatility 3 para análise de memória, além de verificações voltadas ao Windows como ssdt, callbacks e modules, junto com ferramentas Linux como rkhunter, chkrootkit e unhide. Escolha o ramo que corresponde ao host e às evidências que você realmente tem.

Como melhorar a skill detecting-rootkit-activity

Dê evidências à skill, não só suspeitas

A melhor forma de melhorar os resultados da detecting-rootkit-activity é fornecer artefatos: caminhos do dump de memória, saída de comandos, hashes, nomes de drivers e uma linha do tempo curta. Quanto mais a modelo puder comparar, menos terá de adivinhar. Uma boa entrada de continuidade é: “psscan mostra o PID 4120, mas pslist não; aqui está a saída completa e a lista de drivers suspeitos.”

Declare a pergunta exata que você quer responder

Essa skill funciona melhor quando você define o objetivo final:

“Esse processo está oculto?”
“Há um hook na SSDT?”
“Qual driver provavelmente é o responsável?”
“Posso confiar neste host a ponto de recriá-lo do zero?”

Isso mantém a saída prática em vez de ampla.

Fique atento aos modos de falha mais comuns

O principal modo de falha é concluir que há rootkit com base em uma única anomalia. Artefatos ocultos também podem vir de memória antiga, resíduos de crash, interferência de EDR ou aquisição incompleta. Peça à skill para distinguir entre “provável rootkit”, “inconclusivo” e “precisa de mais evidências” para que ela não force uma resposta binária cedo demais.

Itere depois da primeira passada

Se o primeiro resultado vier parcial, devolva a visão específica que faltou. Por exemplo, se houver suspeita de ocultação de processo, adicione saídas de módulos, callbacks e IRP; se houver suspeita de ocultação de rede, adicione varreduras de sockets e portas. Essa é a forma mais eficaz de melhorar a qualidade da saída da detecting-rootkit-activity skill sem mudar o fluxo de trabalho.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

detecting-mobile-malware-behavior

por mukul975

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

por mukul975

Skill de analyzing-ransomware-encryption-mechanisms para análise de malware, com foco em identificar criptografia de ransomware, tratamento de chaves e viabilidade de descriptografia. Use-o para inspecionar AES, RSA, ChaCha20, esquemas híbridos e falhas de implementação que podem ajudar na recuperação.

Malware Analysis

Favoritos 0GitHub 6.1k

extracting-iocs-from-malware-samples

por mukul975

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

Malware Analysis

Favoritos 0GitHub 0

extracting-config-from-agent-tesla-rat

por mukul975

Skill de extracting-config-from-agent-tesla-rat para Análise de Malware: extraia a configuração .NET do Agent Tesla, credenciais de SMTP/FTP/Telegram, ajustes de keylogger e endpoints de C2 com orientações de fluxo de trabalho repetíveis.

Malware Analysis

Favoritos 0GitHub 0