extracting-memory-artifacts-with-rekall

por mukul975

Guia de extracting-memory-artifacts-with-rekall para analisar imagens de memória do Windows com o Rekall. Aprenda padrões de instalação e uso para encontrar processos ocultos, código injetado, VADs suspeitos, DLLs carregadas e atividade de rede para Forense Digital.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaDigital Forensics

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall

Pontuação editorial

Este skill recebe 78/100, o que o torna um candidato sólido para usuários de diretório que precisam de ajuda com forense de memória baseada em Rekall. O repositório traz um fluxo de trabalho real, cobertura concreta de plugins e um script executável, então o usuário consegue avaliar o encaixe e acioná-lo com menos tentativa e erro do que com um prompt genérico, embora a orientação de instalação e uso ainda não esteja totalmente refinada.

78/100

Pontos fortes

Caso de uso claro de resposta a incidentes para extrair artefatos de memória de imagens do Windows, com plugins específicos do Rekall citados na descrição e na documentação de referência.
Há artefatos operacionais: um script `agent.py` e uma referência de API que mostram criação de sessão, detecção de processos ocultos e exemplos de linha de comando.
Os metadados frontmatter são válidos e incluem domain, subdomain, version, license e tags NIST CSF, o que melhora a clareza da decisão de instalação e a confiabilidade.

Pontos de atenção

Não há comando de instalação em `SKILL.md`, então o usuário pode precisar inferir como conectar dependências e configurar o runtime.
A documentação ajuda, mas não fecha o fluxo de ponta a ponta; a árvore de arquivos sugere um escopo estreito, focado em análise de memória com Rekall, e não uma cobertura mais ampla de resposta a incidentes.

Memory Forensics Rekall Windows Artifacts Malware Analysis Reverse Engineering Forensics Security Operations

Visão geral

Visão geral da skill extracting-memory-artifacts-with-rekall

A skill extracting-memory-artifacts-with-rekall ajuda você a analisar imagens de memória do Windows com Rekall para identificar artefatos que importam na resposta a incidentes: processos ocultos, código injetado, regiões VAD suspeitas, DLLs carregadas e atividade de rede. Ela é mais indicada para analistas que fazem extracting-memory-artifacts-with-rekall for Digital Forensics e querem um fluxo guiado e repetível, em vez de montar comandos soltos de Rekall na mão.

Para que esta skill serve

Use esta skill quando a tarefa for transformar um dump de memória em achados defensáveis: o que está em execução, o que está escondido, o que parece ter sido injetado e qual evidência sustenta essa conclusão. O valor real está na velocidade com estrutura, não apenas em rodar pslist uma vez.

Quem deve usar

Ela é uma boa escolha para analistas de SOC, profissionais de DFIR, threat hunters e red teamers validando lógica de detecção em laboratório. Ela é menos útil se você só precisa de um resumo amplo de triagem de malware ou se sua evidência não é uma imagem de memória do Windows.

O que a diferencia

A skill se concentra em plugins e padrões de análise do Rekall que expõem artefatos existentes só na memória, especialmente comparações entre pslist e psscan e verificações com malfind/vadinfo. Isso a torna mais forte para perguntas sobre ocultação de processos e injeção de código do que um prompt genérico que apenas pede “ajuda com memória forense”.

Como usar a skill extracting-memory-artifacts-with-rekall

Instale e localize o fluxo de trabalho

Instale com npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall. Para validar extracting-memory-artifacts-with-rekall install, abra primeiro skills/extracting-memory-artifacts-with-rekall/SKILL.md e depois leia references/api-reference.md para os comandos e scripts/agent.py para o padrão de execução. Esses arquivos mostram o fluxo com muito mais clareza do que uma passada rápida pelo repositório.

Passe a entrada certa para a skill

Para um bom extracting-memory-artifacts-with-rekall usage, informe: caminho da imagem, tipo da captura se você souber, versão do Windows ou a provável origem do profile, e a pergunta que precisa ser respondida. Uma entrada forte soa como: “Analise memory.raw em busca de processos ocultos, injeção de código e conexões de rede suspeitas; priorize artefatos que sustentem um relatório de incidente.” Já algo fraco como “verifique esse dump” faz o modelo adivinhar demais.

Use uma sequência de análise focada

Comece de forma ampla com pslist, psscan e netscan, depois refine com malfind, vadinfo, dlllist e handles nos PIDs suspeitos. Compare processos ativos com processos encontrados por varredura para identificar ocultação, depois inspecione permissões de VAD e módulos carregados para confirmar se um processo parece ter sofrido injeção ou hollowing. Se você já souber o PID suspeito, peça uma passagem focada em PID em vez de uma varredura do dump inteiro.

Leia o repositório nesta ordem

Primeiro leia references/api-reference.md para nomes de plugins e exemplos de linha de comando; depois examine scripts/agent.py para ver como a sessão é criada e como a lógica de processo oculto é implementada. Essa ordem ajuda você a adaptar o extracting-memory-artifacts-with-rekall guide ao seu laboratório ou pipeline de automação sem copiar padrões frágeis.

FAQ da skill extracting-memory-artifacts-with-rekall

Isso é só para análise de memória do Windows?

Na maior parte, sim. O repositório é construído em torno da análise de imagens de memória com Rekall e de artefatos voltados ao Windows, como EPROCESS, VADs, DLLs e módulos de kernel. Se o seu caso envolve memória Linux, triagem apenas de disco ou resposta em endpoint ao vivo sem dump, esta skill normalmente não é a ferramenta certa.

Como ela se compara a um prompt normal?

Um prompt comum pode mencionar comandos do Rekall, mas a skill extracting-memory-artifacts-with-rekall entrega uma estrutura mais repetível: o que executar primeiro, o que comparar e quais achados realmente importam. Isso reduz o achismo quando a imagem está ruidosa ou quando você precisa de resultados explicáveis.

Ela é amigável para iniciantes?

Ela é utilizável por iniciantes que conhecem conceitos básicos de resposta a incidentes, mas a saída fica mais forte quando o usuário consegue nomear o artefato que quer investigar. Se você ainda não entende processos ocultos, anomalias em VAD ou inspeção de DLLs, espere uma curva de aprendizado antes que a skill pareça realmente precisa.

Quando eu não devo usá-la?

Não use quando você não tiver autorização, quando não houver uma imagem de memória válida ou quando a pergunta for melhor respondida por telemetria do endpoint, forense de disco ou varredura com YARA. Ela também é uma opção ruim se você precisa de um veredito de malware “com um comando só”, sem validação de artefatos.

Como melhorar a skill extracting-memory-artifacts-with-rekall

Informe as restrições da evidência logo no começo

O melhor extracting-memory-artifacts-with-rekall usage começa com restrições: formato da imagem, janela de tempo suspeita, família do sistema operacional e o que conta como resultado útil. Diga se você quer indicadores de injeção de processo, persistência oculta ou artefatos de rede, porque o caminho da análise muda de forma relevante.

Peça saída apoiada em artefatos

Solicite achados amarrados à evidência dos plugins, não apenas resumos narrativos. Por exemplo: “Liste os processos ocultos encontrados por psscan mas não por pslist, depois inspecione cada um com malfind e dlllist, e explique quais artefatos sustentam a suspeita.” Isso deixa o resultado mais fácil de auditar e reutilizar em relatório.

Fique atento aos modos de falha comuns

Os principais modos de falha são detecção de profile sem suporte, conclusões confiantes demais a partir de um único plugin e resultados ruidosos quando toda anomalia é tratada como maliciosa. Melhore a próxima rodada pedindo que a skill separe artefatos “interessantes”, “suspeitos” e “confirmados”, e então foque apenas nos PIDs de maior sinal.

Itere da triagem à confirmação

Um fluxo forte é: enumeração ampla, shortlist de processos suspeitos e, depois, confirmação com inspeção direcionada e cruzamento de evidências. Se a primeira passada encontrar um processo oculto, faça o follow-up com o PID exato, a faixa de VAD, o conjunto de DLLs e quaisquer artefatos de rede, para que a skill extracting-memory-artifacts-with-rekall consiga estreitar da descoberta para a explicação.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extrair, enriquecer, pontuar e exportar IOCs a partir de evidências de incidentes. Use em fluxos de Auditoria de Segurança, compartilhamento de threat intel e saída em STIX 2.1 quando você precisar de um guia prático de collecting-indicators-of-compromise em vez de um prompt genérico de resposta a incidentes.

Security Audit

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

Incident Triage

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

hunting-advanced-persistent-threats

por mukul975

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

Threat Hunting

Favoritos 0GitHub 0