Agent Skills Finder
M

detecting-rootkit-activity

bởi mukul975

detecting-rootkit-activity là một skill Phân tích Phần mềm độc hại giúp tìm các dấu hiệu rootkit như tiến trình ẩn, system call bị hook, cấu trúc kernel bị sửa đổi, module ẩn và các dấu vết mạng bí mật. Skill này dùng đối chiếu đa nguồn và kiểm tra tính toàn vẹn để hỗ trợ xác thực các máy chủ đáng ngờ khi các công cụ tiêu chuẩn cho kết quả không nhất quán.

Stars6.2k
Yêu thích0
Bình luận0
Đã thêm11 thg 5, 2026
Danh mụcMalware Analysis
Lệnh cài đặt
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity
Điểm tuyển chọn

Skill này đạt 78/100, thuộc nhóm khá nhưng chưa phải lựa chọn hàng đầu: người dùng thư mục có được một quy trình phát hiện rootkit đáng tin cậy với đủ chi tiết vận hành để đáng cân nhắc cài đặt, nhưng cần lưu ý sự phụ thuộc vào các công cụ pháp chứng bên ngoài và không có lệnh cài đặt ngay trong skill.

78/100
Điểm mạnh
  • Nêu rõ khả năng kích hoạt cho phát hiện rootkit, tìm tiến trình ẩn, kiểm tra tính toàn vẹn kernel và phân tích hook của system call.
  • Nội dung vận hành khá dày: các bước phát hiện đa nguồn, lệnh Volatility 3, và phạm vi công cụ cho Linux/Windows giúp agent có thể thực thi thực tế.
  • Kho lưu trữ có một script trông như dùng được cùng một tệp tham chiếu, mang lại giá trị hơn so với một skill chỉ có markdown.
Điểm cần lưu ý
  • Không có lệnh cài đặt trong SKILL.md, nên người dùng có thể phải tự cấu hình thực thi và phần phụ thuộc.
  • Phụ thuộc nhiều vào công cụ bên ngoài (Volatility 3, GMER, rkhunter, chkrootkit), vì vậy mức hữu ích sẽ thay đổi theo hệ điều hành đích và môi trường phân tích.
RootkitMemory ForensicsBehavioral AnalysisVolatility3Windows SecurityLinuxSysinternals
Tổng quan

Tổng quan về kỹ năng detecting-rootkit-activity

detecting-rootkit-activity làm gì

Kỹ năng detecting-rootkit-activity giúp bạn điều tra xem một hệ thống đã bị xâm nhập có đang che giấu hoạt động ở cấp kernel hoặc driver hay không. Kỹ năng này tập trung vào các dấu hiệu rootkit như process ẩn, đường đi system call bị thay đổi, cấu trúc kernel bị sửa, module bị giấu và các dấu vết mạng bí mật. Đây không phải là một prompt malware chung chung; đây là kỹ năng detecting-rootkit-activity dành cho Malware Analysis khi các công cụ thông thường không khớp với những gì kiểm tra bộ nhớ hoặc kiểm tra tính toàn vẹn đang cho thấy.

Ai nên dùng

Hãy dùng kỹ năng này nếu bạn đang làm incident response, forensic triage, EDR validation hoặc dọn dẹp sau khai thác và cần một cách có cấu trúc để xác nhận hành vi ẩn mình. Nó hữu ích nhất khi Task Manager, ps, netstat hoặc các lần quét AV tiêu chuẩn đều trông sạch sẽ nhưng máy chủ vẫn có biểu hiện đáng ngờ.

Vì sao nó khác biệt

Giá trị cốt lõi của detecting-rootkit-activity là so sánh đa góc nhìn: nó đối chiếu những gì công cụ user-mode báo cáo với những gì phân tích bộ nhớ và kiểm tra tính toàn vẹn vẫn có thể nhìn thấy. Nhờ vậy, kỹ năng này hữu ích hơn nhiều so với một prompt kiểu “quét malware” chung chung, đặc biệt trên các hệ thống mà che giấu chính là vấn đề cốt lõi.

Cách dùng kỹ năng detecting-rootkit-activity

Cài đặt và nạp kỹ năng

Hãy dùng luồng cài đặt của repository cho bước detecting-rootkit-activity install, rồi trỏ agent của bạn tới đường dẫn kỹ năng trong skills/detecting-rootkit-activity. Một lệnh cài đặt điển hình trong repo này là:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity

Sau khi cài xong, hãy đảm bảo kỹ năng chỉ kích hoạt khi tác vụ liên quan đến process ẩn, can thiệp kernel hoặc xác minh rootkit.

Bắt đầu với đầu vào phù hợp

Mẫu detecting-rootkit-activity usage hoạt động tốt nhất khi bạn cung cấp:

  • Hệ điều hành và phiên bản
  • Hệ thống trực tiếp hay ảnh bộ nhớ
  • Tóm tắt triệu chứng, chẳng hạn “process biến mất khỏi pslist nhưng vẫn có trong psscan
  • Các công cụ đã chạy và đầu ra của chúng
  • Bạn cần triage, xác nhận hay báo cáo

Một prompt yếu là: “Kiểm tra rootkit.”
Một prompt mạnh hơn là: “Phân tích memory dump Windows này để tìm process ẩn và SSDT hook. Tôi có output pslistpsscan, cùng tên driver đáng ngờ.”

Đọc các file này trước

Để làm quen nhanh, hãy kiểm tra:

  • SKILL.md để xem phạm vi kích hoạt và quy trình làm việc
  • references/api-reference.md cho các lệnh Volatility 3 và các bước đối chiếu đa góc nhìn
  • scripts/agent.py cho logic tự động hóa và dạng đầu ra

Đây là con đường ngắn nhất để hiểu kỹ năng này “nghĩ” như thế nào trước khi bạn dựa vào nó trong một vụ việc thực tế.

Dùng quy trình đối chiếu đa góc nhìn

Điểm mạnh nhất của repository là so sánh nhiều góc nhìn thay vì tin vào một công cụ duy nhất:

  1. Liệt kê process bằng pslist
  2. Quét bộ nhớ bằng psscan
  3. Đối chiếu PID để tìm mục bị ẩn
  4. Mở rộng sang ssdt, modules, driverirp, callbacks hoặc idt nếu đã xác nhận có che giấu

Quy trình này quan trọng vì rootkit thường phá vỡ được một giao diện, nhưng không phải tất cả.

Câu hỏi thường gặp về kỹ năng detecting-rootkit-activity

detecting-rootkit-activity có phù hợp cho người mới không?

Có, nếu bạn đã nắm được kiến thức cơ bản về triage malware. Nó sẽ kém phù hợp hơn nếu bạn هنوز đang học sự khác nhau giữa công cụ live response và memory forensics. Kỹ năng này hiệu quả nhất khi bạn có thể cung cấp ảnh máy chủ cụ thể, output lệnh hoặc hành vi ẩn đáng nghi.

Nó khác gì so với một prompt thông thường?

Một prompt thông thường có thể đưa ra lời khuyên chung như “chạy antivirus và kiểm tra process.” Kỹ năng detecting-rootkit-activity hẹp hơn và mang tính thao tác nhiều hơn: nó đẩy bạn tới các bước kiểm tra đa góc nhìn, xác thực tính toàn vẹn và các artefact đặc trưng của rootkit. Vì vậy, nó phù hợp hơn cho cách dùng detecting-rootkit-activity trong các cuộc điều tra thực tế.

Khi nào tôi không nên dùng nó?

Đừng dùng nó như bước đầu tiên cho mọi ca nhiễm. Nếu vấn đề là phishing malware hiển nhiên, adware phổ thông hoặc chỉ cần kiểm tra persistence đơn giản, kỹ năng này có lẽ quá chuyên biệt. Hãy dùng nó khi câu hỏi thật sự là che giấu, can thiệp kernel hoặc hành vi ẩn mình.

Nó có phù hợp với Windows và Linux không?

Có, nhưng bộ công cụ sẽ khác nhau. Repository này nhấn mạnh Volatility 3 cho phân tích bộ nhớ, cùng các kiểm tra thiên về Windows như ssdt, callbacksmodules, bên cạnh các công cụ Linux như rkhunter, chkrootkitunhide. Hãy chọn nhánh phù hợp với host và bằng chứng bạn thực sự có.

Cách cải thiện kỹ năng detecting-rootkit-activity

Cung cấp bằng chứng cho kỹ năng, không chỉ cảm giác nghi ngờ

Cách tốt nhất để cải thiện kết quả detecting-rootkit-activity là đưa vào các artefact: đường dẫn memory dump, output lệnh, hash, tên driver và một timeline ngắn. Càng nhiều thứ để model đối chiếu, nó càng ít phải đoán. Một đầu vào tiếp theo tốt là: “psscan thấy PID 4120, nhưng pslist thì không; đây là toàn bộ output và danh sách driver đáng ngờ.”

Nêu đúng câu hỏi bạn cần được trả lời

Kỹ năng này hoạt động tốt hơn khi bạn xác định rõ mục tiêu cuối:

  • “Process này có bị ẩn không?”
  • “Có hook SSDT không?”
  • “Driver nào nhiều khả năng là thủ phạm?”
  • “Tôi có đủ tin cậy vào host này để reimage không?”

Làm vậy sẽ giữ cho đầu ra thực dụng thay vì lan man.

Cảnh giác với các chế độ lỗi thường gặp

Chế độ lỗi lớn nhất là kết luận rootkit quá sớm chỉ từ một bất thường. Artefact ẩn cũng có thể đến từ memory cũ, crash artifact, EDR can thiệp hoặc quá trình thu thập không đầy đủ. Hãy yêu cầu kỹ năng phân biệt giữa “khả năng cao là rootkit”, “chưa đủ kết luận” và “cần thêm bằng chứng” để nó không ép ra câu trả lời nhị phân quá sớm.

Lặp lại sau vòng đầu tiên

Nếu kết quả đầu tiên còn thiếu, hãy bổ sung đúng góc nhìn còn thiếu. Ví dụ, nếu nghi process bị ẩn, hãy thêm output module, callback và IRP; nếu nghi che giấu lưu lượng mạng, hãy thêm socket và port scan. Đây là cách hiệu quả nhất để nâng chất lượng đầu ra của detecting-rootkit-activity skill mà không phải đổi quy trình làm việc.

Đánh giá & nhận xét

Chưa có đánh giá nào
Chia sẻ nhận xét của bạn
Đăng nhập để chấm điểm và để lại nhận xét cho skill này.
G
0/10000
Nhận xét mới nhất
Đang lưu...