extracting-credentials-from-memory-dump

por mukul975

A skill extracting-credentials-from-memory-dump ajuda a analisar dumps de memória do Windows em busca de hashes NTLM, segredos LSA, material Kerberos e tokens, usando fluxos de trabalho com Volatility 3 e pypykatz. Ela foi feita para Digital Forensics e resposta a incidentes quando você precisa de evidências defensáveis, avaliar o impacto em contas e orientar a remediação a partir de um dump válido.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaDigital Forensics

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-credentials-from-memory-dump

Pontuação editorial

Esta skill tem pontuação 73/100, o que já sustenta a inclusão no diretório, mas com cautelas claras. O repositório traz um fluxo real de memory forensics para extração de credenciais, então o usuário provavelmente consegue acioná-lo e entender sua finalidade sem depender de um prompt genérico; ainda assim, a decisão de instalação é moderada pela falta de orientação de comando de install e pela presença apenas parcial de detalhes operacionais nas evidências visíveis.

73/100

Pontos fortes

Caso de uso claro e específico para resposta a incidentes e extração forense de credenciais a partir de dumps de memória.
Há conteúdo substancial de workflow, incluindo uso de Volatility 3 e pypykatz, além de um script em Python e referência à API.
As saídas e alvos de extração são nomeados com base em evidências (LSASS, NTLM, Kerberos, DPAPI, hashes em cache, tokens), o que aumenta a eficácia para agentes.

Pontos de atenção

Não há comando de install em SKILL.md, então a adoção pode exigir configuração manual e alguma tentativa e erro.
Os trechos visíveis não mostram por completo a orientação operacional de ponta a ponta, então casos extremos e o fluxo de execução ainda podem exigir consulta às referências e aos scripts.

Forensics Memory Forensics Volatility3 Mimikatz Credential Access Password Hashes Credentials Kerberos

Visão geral

Visão geral do skill extracting-credentials-from-memory-dump

O skill extracting-credentials-from-memory-dump ajuda você a analisar uma imagem de memória capturada em busca de credenciais, hashes, material Kerberos e tokens usando fluxos de trabalho no estilo Volatility e Mimikatz. Ele é mais indicado para equipes de Digital Forensics e resposta a incidentes que precisam confirmar a que um atacante poderia ter tido acesso, e não para triagem genérica de endpoint.

O que normalmente importa para quem usa é a rapidez para chegar à evidência: identificar provável exposição de credenciais, mapear isso para contas afetadas e produzir uma saída defensável para resposta ou remediação. Este extracting-credentials-from-memory-dump skill é mais forte quando você já tem um dump válido e precisa de um fluxo de extração estruturado, com escolhas claras de ferramentas e etapas de tratamento do caso.

Melhor encaixe para caça forense de credenciais

Use este skill quando o objetivo for recuperar hashes NTLM, logons de domínio em cache, segredos do LSA ou material derivado do LSASS a partir de um dump de memória conhecido. Ele é uma boa opção para delimitação de impacto de incidente, investigação de pass-the-hash e decisões de redefinição de senha após comprometimento.

O que torna este skill diferente

O repositório é voltado para etapas práticas de extração, não para teoria. Os arquivos de apoio apontam para um fluxo scriptável, com volatility3 e pypykatz como principal caminho de execução e verificações explícitas de integridade do dump e do contexto do sistema operacional.

Quando não usar

Não use isto como substituto para forense de disco, ferramentas de live response ou um prompt genérico de “encontrar senhas”. Se você não tem autorização, não possui uma imagem de memória compatível ou o cenário de credenciais não é voltado para Windows, este skill tende a agregar pouco valor.

Como usar o skill extracting-credentials-from-memory-dump

Instale e examine o contexto do skill

Instale o pacote de instalação extracting-credentials-from-memory-dump com:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-credentials-from-memory-dump

Depois da instalação, leia primeiro SKILL.md, depois references/api-reference.md e scripts/agent.py. Esses arquivos mostram qual formato de entrada o skill espera, de quais plugins ou parsers ele depende e quais saídas são produzidas automaticamente.

Comece com a entrada certa

Este skill funciona melhor quando você informa: o caminho do dump, o sistema operacional de destino, a finalidade do caso e qual tipo de credencial é mais relevante. Um prompt fraco diz “analise este dump”; um mais forte diz: “Extraia credenciais respaldadas pelo LSASS, hashes de domínio em cache e tokens de /cases/case-001/memory.raw para uma análise de resposta a incidente em Windows 10 e resuma as contas que precisam de redefinição.”

Siga um fluxo de trabalho prático

Um bom fluxo de uso do extracting-credentials-from-memory-dump é: verificar a imagem, identificar o sistema operacional, localizar o LSASS, executar plugins direcionados do Volatility e então converter os artefatos de credenciais em um resumo do caso. Se a primeira passada trouxer ruído demais, restrinja a solicitação a uma classe de artefato, como hashdump, cachedump ou saída do LSASS.

O que ler primeiro no repositório

Priorize SKILL.md para entender o processo, references/api-reference.md para o comportamento em nível de função e scripts/agent.py para os detalhes reais de execução e correspondência por padrão. Se você precisa entender o que o skill consegue e o que não consegue extrair, o script é mais útil do que uma visão geral de alto nível.

FAQ do skill extracting-credentials-from-memory-dump

Isso é só para Digital Forensics?

Ele é voltado principalmente para Digital Forensics e resposta a incidentes, especialmente investigação de memória em Windows. Se o seu caso não envolve exposição de credenciais, movimento lateral ou comprometimento de contas, outro skill pode ser mais adequado.

Preciso ter Volatility ou Mimikatz instalados antes?

O fluxo de trabalho do skill parte do pressuposto de que essas capacidades estão disponíveis ou podem ser instaladas no ambiente. Para o extracting-credentials-from-memory-dump usage, confirme o caminho das ferramentas antes de começar, para não descobrir dependências ausentes no meio da análise.

Um prompt basta ou eu preciso do skill?

Um prompt pode pedir análise de credenciais, mas o skill adiciona um fluxo mais claro, uma ordem de ferramentas repetível e melhor tratamento dos dados do caso. Isso faz diferença quando você precisa de um resultado amigável para auditoria, e não de um palpite pontual.

Ele é amigável para iniciantes?

Sim, se você já entende o conceito de dump de memória e consegue fornecer um artefato real do caso. Ele é menos amigável para iniciantes que precisam de ajuda para coletar o dump, escolher o perfil correto do sistema operacional ou interpretar resultados de Kerberos e NTLM.

Como melhorar o skill extracting-credentials-from-memory-dump

Forneça entradas prontas para o caso

Os melhores resultados vêm de um prompt que especifique o local do dump, o sistema operacional de destino, o tipo de artefato suspeito e o objetivo do relatório. Por exemplo: “Analise /evidence/host17.raw, identifique credenciais derivadas do LSASS e logons em cache, e retorne uma lista de contas, tipos de segredo e prioridade de remediação.”

Peça saídas delimitadas, não tudo

Uma falha comum nas execuções do extracting-credentials-from-memory-dump skill é uma extração ampla demais, que gera achados ruidosos ou redundantes. Melhore a qualidade da saída pedindo uma coisa de cada vez: hashes locais, cache de domínio, segredos de serviço, tokens ou um resumo triado para decisões de redefinição.

Adicione restrições que afetam a interpretação

Se o dump for parcial, compactado, vindo de um crash report ou capturado depois da contenção, diga isso logo no início. Esses detalhes mudam quais plugins são úteis e com que nível de confiança o skill pode afirmar a presença de credenciais.

Evolua da evidência para a ação

Depois da primeira passada, refine o pedido com base no que importa operacionalmente: contas afetadas, risco provável de reutilização e passos imediatos de remediação. Para extracting-credentials-from-memory-dump for Digital Forensics, o segundo prompt mais útil costuma ser um follow-up mais específico que transforma artefatos brutos em um resumo limpo do caso.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extrair, enriquecer, pontuar e exportar IOCs a partir de evidências de incidentes. Use em fluxos de Auditoria de Segurança, compartilhamento de threat intel e saída em STIX 2.1 quando você precisar de um guia prático de collecting-indicators-of-compromise em vez de um prompt genérico de resposta a incidentes.

Security Audit

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

Incident Triage

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

hunting-advanced-persistent-threats

por mukul975

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

Threat Hunting

Favoritos 0GitHub 0