memory-forensics

por wshobson

A skill memory-forensics para captura de RAM e análise de dumps com Volatility 3. Aborda contexto de instalação, fluxos de uso, extração de artefatos e triagem de incidentes em memória de Windows, Linux, macOS e VMs.

Estrelas32.6k

Favoritos0

Comentários0

Adicionado30 de mar. de 2026

CategoriaIncident Triage

Comando de instalação

npx skills add wshobson/agents --skill memory-forensics

Pontuação editorial

Esta skill recebe 76/100, o que a torna uma boa candidata para listagem no diretório para quem busca um playbook reutilizável de forense de memória, e não apenas um prompt genérico. O repositório traz um contexto de acionamento claro e conteúdo substancial, orientado a comandos, sobre aquisição e análise com Volatility, mas os usuários devem esperar uma orientação apenas documental, com parte da configuração e das decisões práticas ainda ficando por conta deles.

76/100

Pontos fortes

Acionamento claro no frontmatter: ele afirma explicitamente que a skill deve ser usada para dumps de memória, investigações de incidentes e análise de malware a partir de capturas de RAM.
Conteúdo operacional substancial: a skill inclui comandos concretos de aquisição para fontes de memória de Windows, Linux, macOS e VM, além de orientações de instalação/configuração do Volatility 3.
Bom aproveitamento por agentes como referência de workflow: o documento é extenso e estruturado em várias áreas de análise, em vez de ser apenas um placeholder ou uma demonstração superficial.

Pontos de atenção

Skill apenas documental: não há scripts, arquivos de referência, regras nem recursos auxiliares, então a execução depende de o agente ou o usuário já saber como aplicar os comandos com segurança.
A clareza para instalação/adoção é apenas moderada: não há comando de instalação em SKILL.md, e os sinais estruturais mostram limitações quanto a restrições explícitas e orientações práticas.

Reverse Engineering Security Monitoring Python Cli

Visão geral

Visão geral da skill memory-forensics

O que a skill memory-forensics faz

A skill memory-forensics ajuda um agente a conduzir captura de RAM e análise de memory dumps com ferramentas consolidadas, como Volatility 3 e utilitários comuns de aquisição. Ela foi pensada para fluxos de resposta a incidentes, triagem de malware e investigação em hosts nos quais artefatos de disco, sozinhos, não bastam.

Para quem esta skill é mais indicada

Esta skill memory-forensics é uma ótima opção para:

equipes de resposta lidando com suspeita de comprometimento em Windows, Linux ou macOS
analistas examinando uma imagem de memória capturada ou um arquivo de memória de VM
usuários que precisam de uma estrutura prática inicial para análise de processos, rede e artefatos
times que fazem memory-forensics para Incident Triage, e não para pesquisa profunda de kernel

Ela é menos útil se você ainda não tem uma imagem de memória, não pode coletá-la de forma legal ou segura, ou só precisa de uma revisão básica de logs.

O trabalho real que precisa ser resolvido

A maioria das pessoas não precisa de uma aula de história sobre análise de memória. Precisa de ajuda para responder perguntas como:

qual é a forma mais segura de capturar a RAM neste sistema?
como analisar o dump com a ferramenta certa e os símbolos corretos?
quais processos, códigos injetados, credenciais, sockets e indícios de persistência devo verificar primeiro?
como transformar uma suspeita ampla em um guia de memory-forensics reproduzível?

Esta skill é valiosa porque reúne essas tarefas em um fluxo utilizável, em vez de deixar o agente improvisar a partir de um prompt em branco.

O que diferencia esta skill

O principal diferencial é a cobertura de toda a jornada de memory-forensics: opções de aquisição, captura em VM, configuração do Volatility e categorias de investigação como processos, DLLs, rede, dados de registro, indicadores de malware e extração. Ela é mais operacional do que um prompt genérico de “analyze this dump”, especialmente quando você precisa que o agente sugira o próximo passo forense, e não apenas cite ferramentas.

O que saber antes de instalar

Este caminho no repositório contém apenas um SKILL.md com as orientações. Não há scripts auxiliares, pacotes de símbolos, regras de automação nem datasets de exemplo na pasta da skill. Isso torna a instalação de memory-forensics leve, mas a qualidade da saída depende bastante dos detalhes que você fornecer: sistema operacional, método de captura, formato do arquivo, ameaça suspeita e a pergunta exata que precisa responder.

Como usar a skill memory-forensics

Contexto de instalação da skill memory-forensics

Instale a skill a partir do repositório e invoque-a quando sua tarefa envolver captura de memória, análise com base em Volatility ou extração de artefatos da RAM.

npx skills add https://github.com/wshobson/agents --skill memory-forensics

Como a pasta da skill expõe apenas SKILL.md, há pouco comportamento oculto. O que você recebe é orientação estruturada, não um pipeline forense pronto para uso.

Leia este arquivo primeiro

Comece por:

plugins/reverse-engineering/skills/memory-forensics/SKILL.md

Como não há scripts ou referências complementares na pasta, ler o SKILL.md equivale, na prática, ao caminho completo de leitura do repositório para esta skill.

Quais entradas a skill precisa para funcionar bem

A skill memory-forensics funciona melhor quando você fornece contexto forense concreto. Inclua:

OS alvo e versão, se souber
caminho da imagem de memória e formato, como .raw, .lime, .elf ou memória de VM
se a imagem veio de uma captura ao vivo, snapshot de hypervisor ou ferramenta de endpoint
objetivo da análise: triagem, confirmação de malware, roubo de credenciais, código injetado, atividade de rede suspeita
quaisquer indicadores conhecidos: hostname, nomes de usuário, nomes de processos, hashes, IPs, domínios, timestamps
ferramentas disponíveis: vol, python, pacotes de símbolos, regras YARA, strings, grep

Sem isso, o agente tende a cair em um plano genérico de uso de memory-forensics, em vez de conduzir uma investigação direcionada.

Transforme um objetivo vago em um bom prompt

Prompt fraco:

“Analyze this memory dump.”

Prompt melhor:

“Use the memory-forensics skill to triage a Windows 10 memory image at evidence/win10.raw. Prioritize suspicious processes, network connections, DLL injection, LSASS access, persistence clues, and files worth extracting. Assume I have Volatility 3 installed but not Windows symbols. Give me a step-by-step command sequence and explain what findings would be high priority for incident triage.”

A versão mais forte melhora os resultados porque dá à skill uma plataforma, um arquivo, um objetivo e expectativas claras de saída.

Exemplo de prompt de memory-forensics para Incident Triage

Use um prompt como este quando velocidade for essencial:

Use the memory-forensics skill for Incident Triage on a Linux memory image captured with LiME. I need a prioritized workflow: identify suspicious processes, loaded modules, open sockets, shell history or credentials in memory if feasible, and anything that suggests rootkit or malware activity. Recommend Volatility 3 commands, note any plugin limitations, and tell me what to extract for follow-up.

Isso mantém a saída prática e orientada à triagem, sem desviar para teoria ampla demais.

Fluxo típico que a skill oferece suporte

Um bom padrão de uso é:

Identificar a origem e o formato da imagem de memória.
Confirmar a plataforma e escolher o tratamento específico para aquele tipo de aquisição.
Configurar o Volatility 3 e os símbolos necessários, quando aplicável.
Executar a enumeração básica de processos, linhas de comando, conexões de rede, módulos e handles.
Aprofundar em artefatos suspeitos: código injetado, material de credenciais, dados de registro, vestígios de navegador ou indícios de unpacking de malware.
Extrair artefatos de alto valor para revisão offline.
Resumir os achados com níveis de confiança e próximos passos.

A skill é mais útil quando você pede isso como um fluxo guiado por decisão, e não apenas como uma lista de plugins.

O que a skill realmente cobre bem

Pelo conteúdo-fonte, este guia de memory-forensics é mais forte em:

opções de aquisição ao vivo para Windows, Linux e macOS
coleta de memória em máquinas virtuais
instalação e configuração do Volatility 3
análise de processos e artefatos a partir de dumps
tarefas de análise de malware e extração

Isso a torna especialmente útil quando o seu bloqueio está em escolher o próximo comando ou a próxima categoria de artefato a inspecionar.

Observações práticas sobre instalação e ambiente

A skill faz referência ao Volatility 3, então vale se planejar para:

gerenciamento de ambiente Python
disponibilidade de símbolos, especialmente no Windows
armazenamento suficiente para imagens de memória grandes
aquisição sensível a permissões em sistemas ativos
diferenças de formato entre dumps brutos, capturas em estilo ELF e saídas de hypervisors

Na prática, muitas primeiras execuções que falham são problemas de ambiente, não de análise. Se quiser que o agente ajude de fato, diga exatamente o que falhou: erro de instalação, problema de símbolo, formato não suportado ou incompatibilidade de plugin.

Dicas que melhoram materialmente a qualidade da saída

Para obter um uso melhor de memory-forensics com o agente:

peça fluxos comando a comando, não apenas conceitos
peça que ele separe verificações de “triagem primeiro” das de “análise profunda depois”
informe nomes de processos ou IPs suspeitos já conhecidos para que ele monte pivôs
peça saídas esperadas e como interpretar anomalias
peça que ele sinalize onde o Volatility 3 pode precisar de símbolos ou onde um plugin pode não se encaixar no seu OS

Esses prompts reduzem respostas vagas e empurram a skill para um modo mais operacional.

O que esta skill não automatiza

Isto não é uma suíte forense empacotada. A skill memory-forensics não inclui:

binários de aquisição
bundles de símbolos curados
scripts de validação
ferramentas de cadeia de custódia
geração de relatórios com um clique

Se você precisa de automação de ponta a ponta, trate esta skill como orientação de análise e estrutura de comandos, não como substituta do seu toolkit forense.

FAQ da skill memory-forensics

Esta skill memory-forensics é boa para iniciantes?

Sim, desde que você já entenda o básico de linha de comando e saiba o que é uma imagem de memória. A skill oferece estrutura suficiente para começar, mas não elimina a necessidade de conhecer sua plataforma, as ferramentas disponíveis e o objetivo da investigação. Iniciantes absolutos ainda podem precisar de ajuda externa para instalar o Volatility e lidar com símbolos.

Quando a skill memory-forensics é uma escolha melhor do que um prompt normal?

Use a skill memory-forensics quando quiser que o agente permaneça dentro de um fluxo forense: aquisição, triagem, extração de artefatos e pivôs voltados a malware. Um prompt genérico pode produzir conselhos vagos; esta skill tende mais a sugerir ferramentas, comandos e ordem de investigação que façam sentido na prática.

A instalação de memory-forensics inclui ferramentas como Volatility?

Não. A instalação de memory-forensics adiciona a orientação da skill, não os binários forenses. Você ainda precisa instalar e validar ferramentas como volatility3 por conta própria.

Posso usá-la para orientação de aquisição de memória ao vivo?

Sim. O conteúdo-fonte inclui explicitamente abordagens de aquisição ao vivo para Windows, Linux e macOS, além de captura de memória de máquinas virtuais. Ainda assim, você deve validar o risco operacional antes de coletar RAM em hosts de produção ou potencialmente instáveis.

Ela é adequada para análise de malware?

Sim. A skill é uma boa escolha quando o malware pode aparecer apenas na memória, por meio de código injetado, payloads desempacotados, módulos suspeitos ou artefatos de processos em execução. Ela é especialmente útil quando varreduras baseadas em disco não fecham o diagnóstico.

Quando eu não deveria usar esta skill?

Ignore este guia de memory-forensics se:

você não tem uma imagem de memória e não pode capturá-la
sua tarefa é puramente forense de disco ou revisão de SIEM
você precisa mais de documentação de procedimento em nível pericial/judicial do que de orientação analítica
você espera parsing automatizado sem configurar ferramentas nem fornecer insumos ao operador

Ela serve apenas para análise de Windows?

Não. A skill cobre caminhos de captura e análise para Windows, Linux, macOS e memória de VM. Ainda assim, a profundidade prática costuma ser maior onde suas ferramentas e símbolos estão mais bem suportados, então informe a plataforma alvo logo no início.

Como melhorar a skill memory-forensics

Dê ao agente um contexto forense melhor

A forma mais rápida de melhorar a saída de memory-forensics é fornecer evidências mais fortes desde o começo. Inclua:

nome exato do arquivo e formato
origem da captura
família do OS
comportamento suspeito
IOCs conhecidos
o que você já tentou

Isso ajuda o agente a escolher os plugins, a sequência e os pivôs corretos, em vez de gerar um checklist genérico.

Peça análise priorizada, não exaustiva

Um modo comum de falha é receber uma lista enorme de verificações possíveis, sem ordem de triagem. Peça à skill memory-forensics para classificar os passos como:

triagem imediata
acompanhamento de alto valor
análise profunda opcional

Esse formato é muito mais útil durante resposta a incidentes.

Force a interpretação da saída dos comandos

Não peça apenas comandos. Pergunte também como seria uma saída suspeita. Por exemplo:

cadeias incomuns de processo pai-filho
processos ocultos ou encerrados, mas ainda residentes
listeners de rede anômalos
evidência de acesso ao LSASS
módulos sem assinatura ou em locais estranhos

A orientação de interpretação é onde esta skill agrega mais valor do que listas cruas de comandos.

Melhore os prompts com limites de escopo

Bons prompts definem restrições como:

“Windows only”
“Volatility 3 only”
“No internet access for symbol downloads”
“Need findings in under 30 minutes”
“Focus on credential theft and C2”

Essas restrições tornam as recomendações de memory-forensics mais realistas e mais fáceis de executar.

Itere depois da primeira saída

Depois da primeira resposta, alimente o agente com achados reais:

PIDs suspeitos
nomes de módulos
endereços IP
linhas de comando de processos
nomes de arquivos extraídos
erros de plugin

Em seguida, peça os próximos pivôs. A skill memory-forensics fica muito mais útil quando consegue sair de uma triagem ampla para um acompanhamento guiado por evidências.

Fique atento aos modos de falha mais comuns

Problemas típicos incluem:

suposições erradas sobre perfil de OS ou símbolos
recomendar etapas de aquisição quando o dump já existe
priorizar enumeração exaustiva demais em vez de triagem
listar plugins sem explicar por que importam
ignorar o formato do arquivo ou o contexto do hypervisor

Você pode reduzir isso deixando claro em que estágio está: aquisição, configuração, triagem básica, caça a malware ou extração.

Use a skill como modelo de workflow

Uma das melhores maneiras de melhorar este guia de memory-forensics na prática é reaproveitar sua estrutura entre casos. Peça ao agente para transformar a skill em:

um checklist de triagem
um runbook específico para o caso
um template de prompt reutilizável para o seu time
um plano de comandos com placeholders para caminho da imagem, host e conjunto de IOCs

Isso transforma uma resposta pontual em um ativo reutilizável de resposta a incidentes.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

detecting-lateral-movement-with-zeek

por mukul975

detecting-lateral-movement-with-zeek é uma skill de cibersegurança baseada em Zeek para threat hunting e resposta a incidentes. Ela ajuda a detectar acesso a admin shares via SMB, criação de serviços por DCE/RPC, spray de NTLM, anomalias de Kerberos e transferências internas suspeitas usando logs do Zeek como `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` e `kerberos.log`.

Threat Hunting

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

Threat Modeling

Favoritos 0GitHub 0

detecting-command-and-control-over-dns

por mukul975

detecting-command-and-control-over-dns é uma skill de cibersegurança para identificar C2 sobre DNS, incluindo tunneling, beaconing, domínios DGA e abuso de TXT/CNAME. Ela apoia analistas de SOC, threat hunters e auditorias de segurança com checagem de entropia, correlação com passive DNS e fluxos de detecção no estilo Zeek ou Suricata.

Security Audit

Favoritos 0GitHub 0

deploying-osquery-for-endpoint-monitoring

por mukul975

Guia de deploying-osquery-for-endpoint-monitoring para implantar e configurar o osquery com visibilidade de endpoints, monitoramento em toda a frota e threat hunting orientado por SQL. Use para planejar a instalação, consultar o fluxo de trabalho e as referências de API e operacionalizar consultas agendadas, coleta de logs e revisão केंदralizada em endpoints Windows, macOS e Linux.

Monitoring

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

Incident Response

Favoritos 0GitHub 0

analyzing-windows-event-logs-in-splunk

por mukul975

A skill de análise de logs de eventos do Windows no Splunk ajuda analistas de SOC a investigar logs de Security, System e Sysmon no Splunk para ataques de autenticação, elevação de privilégio, persistência e movimento lateral. Use-a para triagem de incidentes, engenharia de detecção e análise de linha do tempo, com padrões SPL mapeados e orientação por IDs de evento.

Incident Triage

Favoritos 0GitHub 0

analyzing-windows-amcache-artifacts

por mukul975

A skill analyzing-windows-amcache-artifacts faz o parsing dos dados do Windows Amcache.hve para recuperar evidências de execução de programas, software instalado, atividade de dispositivos e carregamento de drivers em fluxos de trabalho de DFIR e auditoria de segurança. Ela usa o AmcacheParser e orientações baseadas em regipy para apoiar a extração de artefatos, a correlação por SHA-1 e a revisão de linha do tempo.

Security Audit

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

analyzing-network-traffic-of-malware

por mukul975

A skill analyzing-network-traffic-of-malware ajuda a inspecionar PCAPs e telemetria de execuções em sandbox ou de resposta a incidentes para encontrar C2, exfiltração, downloads de payload, DNS tunneling e ideias de detecção. É um guia prático de analyzing-network-traffic-of-malware para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-linux-system-artifacts

por mukul975

A skill analyzing-linux-system-artifacts ajuda a investigar hosts Linux comprometidos por meio da análise de logs de autenticação, histórico do shell, jobs do cron, serviços do systemd, chaves SSH e outros pontos de persistência. Use este guia de analyzing-linux-system-artifacts para Security Audit, resposta a incidentes e triagem forense. Ele traz orientação prática de instalação e uso.

Security Audit

Favoritos 0GitHub 0

analyzing-indicators-of-compromise

por mukul975

O skill analyzing-indicators-of-compromise ajuda a fazer triagem de IOCs como IPs, domínios, URLs, hashes de arquivos e artefatos de e-mail. Ele oferece suporte a fluxos de inteligência de ameaças para enriquecimento, pontuação de confiança e decisões de bloquear/monitorar/listar como confiável, usando verificações apoiadas por fontes e contexto claro para o analista.

Threat Intelligence

Favoritos 0GitHub 0