Dfir

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

eradicating-malware-from-infected-systems é uma habilidade de resposta a incidentes de cibersegurança para remover malware, backdoors e mecanismos de persistência após o containment. Inclui orientação de fluxo de trabalho, arquivos de referência e scripts para limpeza em Windows e Linux, rotação de credenciais, correção da causa raiz e validação.

A skill detecting-wmi-persistence ajuda threat hunters e analistas de DFIR a detectar persistência por WMI Event Subscription em telemetria do Windows usando os Sysmon Event IDs 19, 20 e 21. Use-a para identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding, validar achados e separar persistência de atacante de automação administrativa legítima.

analyzing-malicious-pdf-with-peepdf é uma skill de análise estática de malware para PDFs suspeitos. Use peepdf, pdfid e pdf-parser para fazer a triagem de anexos de phishing, inspecionar objetos, extrair JavaScript ou shellcode incorporado e revisar com segurança fluxos suspeitos sem executar o arquivo.

conducting-memory-forensics-with-volatility ajuda você a analisar dumps de RAM com o Volatility 3 para encontrar código injetado, processos suspeitos, conexões de rede, roubo de credenciais e atividade oculta no kernel. É uma skill prática de conducting-memory-forensics-with-volatility para triagem de Digital Forensics e resposta a incidentes.

analyzing-windows-prefetch-with-python analisa arquivos Windows Prefetch (.pf) com windowsprefetch para reconstruir o histórico de execução, identificar binários renomeados ou que tentam se passar por outros e apoiar a triagem de incidentes e a análise de malware.

A skill analyzing-windows-amcache-artifacts faz o parsing dos dados do Windows Amcache.hve para recuperar evidências de execução de programas, software instalado, atividade de dispositivos e carregamento de drivers em fluxos de trabalho de DFIR e auditoria de segurança. Ela usa o AmcacheParser e orientações baseadas em regipy para apoiar a extração de artefatos, a correlação por SHA-1 e a revisão de linha do tempo.

analyzing-mft-for-deleted-file-recovery ajuda a recuperar metadados de arquivos deletados e possíveis indícios de caminho ou conteúdo, analisando registros NTFS de $MFT, $LogFile, $UsnJrnl e o espaço slack do MFT. Foi criado para fluxos de trabalho de DFIR e Security Audit com MFTECmd, analyzeMFT e X-Ways Forensics.