Windows

analyzing-usb-device-connection-history giúp điều tra lịch sử kết nối thiết bị USB trên Windows bằng các hive registry, event log và `setupapi.dev.log` cho forensic số, điều tra mối đe doạ nội gián và ứng phó sự cố. Skill này hỗ trợ dựng lại timeline, đối chiếu thiết bị và phân tích bằng chứng từ thiết bị lưu trữ rời.

Hướng dẫn cấu hình phát hiện xâm nhập dựa trên host để thiết lập HIDS với Wazuh, OSSEC hoặc AIDE, nhằm giám sát tính toàn vẹn tệp, thay đổi hệ thống và bảo mật endpoint theo hướng tuân thủ cho các workflow Security Audit.

Dùng skill windows-vm để tạo, quản lý và SSH vào một VM Windows 11 không giao diện trong Docker với tăng tốc KVM. Skill này phù hợp cho tự động hóa desktop, cài đặt ứng dụng Windows và các workflow tác tử lặp lại khi bạn cần một môi trường Windows thật mà không phải dùng RDP thủ công.

extracting-windows-event-logs-artifacts giúp bạn trích xuất, phân tích cú pháp và phân tích Windows Event Logs (EVTX) cho điều tra số, ứng phó sự cố và săn tìm mối đe dọa. Skill này hỗ trợ rà soát có cấu trúc các sự kiện đăng nhập, tạo tiến trình, cài dịch vụ, tác vụ theo lịch, thay đổi đặc quyền và xóa log bằng Chainsaw, Hayabusa và EvtxECmd.

Skill detecting-wmi-persistence giúp các chuyên gia săn tìm mối đe doạ và analyst DFIR phát hiện cơ chế tồn tại bền bỉ qua WMI event subscription trong telemetry Windows bằng Sysmon Event IDs 19, 20 và 21. Dùng nó để nhận diện hoạt động độc hại của EventFilter, EventConsumer và FilterToConsumerBinding, xác thực phát hiện và phân tách persistence của kẻ tấn công với tự động hoá quản trị hợp lệ.

detecting-process-hollowing-technique giúp săn lùng process hollowing (T1055.012) trong telemetry Windows bằng cách tương quan các lần khởi chạy ở trạng thái treo, hành vi can thiệp bộ nhớ, bất thường quan hệ cha-con và dấu vết API. Được xây dựng cho threat hunter, detection engineer và responder cần một quy trình detecting-process-hollowing-technique thực dụng cho workflow Threat Hunting.

analyzing-memory-dumps-with-volatility là một skill Volatility 3 dành cho phân tích bộ nhớ (memory forensics), sàng lọc mã độc, rà soát process ẩn, injection, hoạt động mạng và thông tin đăng nhập trong RAM dump trên Windows, Linux hoặc macOS. Hãy dùng nó khi bạn cần một hướng dẫn phân tích memory dumps với Volatility có thể lặp lại cho ứng phó sự cố và phân tích mã độc.

detecting-lateral-movement-in-network giúp phát hiện lateral movement sau khi bị xâm nhập trong mạng doanh nghiệp bằng cách sử dụng Windows event logs, Zeek telemetry, SMB, RDP và tương quan SIEM. Skill này hữu ích cho threat hunting, incident response và các đợt Security Audit liên quan đến detecting-lateral-movement-in-network, với quy trình phát hiện thực tiễn, dễ áp dụng.

Hướng dẫn deploying-osquery-for-endpoint-monitoring về cách triển khai và cấu hình osquery để quan sát endpoint, giám sát trên toàn bộ đội máy, và hunting mối đe dọa dựa trên SQL. Dùng tài liệu này để lên kế hoạch cài đặt, đọc quy trình làm việc và tài liệu tham chiếu API, đồng thời vận hành các truy vấn theo lịch, thu thập log, và rà soát tập trung trên các endpoint Windows, macOS và Linux.

deploying-edr-agent-with-crowdstrike giúp lập kế hoạch, cài đặt và xác minh việc triển khai CrowdStrike Falcon sensor trên các endpoint Windows, macOS và Linux. Dùng skill deploying-edr-agent-with-crowdstrike này để nhận hướng dẫn cài đặt, thiết lập policy, tích hợp telemetry với SIEM và chuẩn bị cho Incident Response.

Kỹ năng cấu hình cài đặt nâng cao Windows Defender dành cho việc hardening Microsoft Defender for Endpoint. Bao gồm ASR rules, controlled folder access, network protection, exploit protection, lập kế hoạch triển khai, và hướng dẫn rollout ưu tiên audit cho kỹ sư bảo mật, quản trị viên IT và quy trình Security Audit.

analyzing-windows-registry-for-artifacts giúp nhà phân tích trích xuất bằng chứng từ các hive của Windows Registry để xác định hoạt động người dùng, phần mềm đã cài, autoruns, lịch sử USB và các chỉ dấu xâm nhập phục vụ quy trình điều tra sự cố hoặc Security Audit.

analyzing-windows-prefetch-with-python phân tích các tệp Windows Prefetch (.pf) bằng windowsprefetch để dựng lại lịch sử thực thi, phát hiện các binary bị đổi tên hoặc ngụy trang, và hỗ trợ phân loại sự cố cùng phân tích mã độc.

Kỹ năng analyzing-windows-event-logs-in-splunk giúp các nhà phân tích SOC điều tra log Windows Security, System và Sysmon trong Splunk để tìm các cuộc tấn công xác thực, leo thang đặc quyền, duy trì hiện diện và di chuyển ngang. Hãy dùng kỹ năng này cho phân loại sự cố ban đầu, kỹ thuật phát hiện và phân tích dòng thời gian với các mẫu SPL đã được ánh xạ cùng hướng dẫn event ID.

Kỹ năng analyzing-windows-amcache-artifacts phân tích dữ liệu Windows Amcache.hve để truy xuất bằng chứng về việc chương trình đã chạy, phần mềm đã cài đặt, hoạt động của thiết bị và việc nạp driver cho quy trình DFIR và kiểm tra bảo mật. Kỹ năng này dùng hướng dẫn dựa trên AmcacheParser và regipy để hỗ trợ trích xuất artifact, đối chiếu SHA-1 và rà soát dòng thời gian.

Kỹ năng analyzing-powershell-empire-artifacts giúp các nhóm Security Audit phát hiện dấu vết PowerShell Empire trong nhật ký Windows bằng Script Block Logging, mẫu launcher Base64, IOC của stager, chữ ký module và các tham chiếu phát hiện để hỗ trợ triage và viết rule.

Kỹ năng analyzing-powershell-script-block-logging dùng để phân tích Windows PowerShell Script Block Logging Event ID 4104 từ file EVTX, tái tạo các script block bị chia nhỏ, và phát hiện lệnh bị làm rối, payload mã hóa, lạm dụng `Invoke-Expression`, download cradle, cùng các nỗ lực vượt qua AMSI cho công việc Security Audit.

Kỹ năng winui-app giúp bạn khởi tạo, xây dựng và khắc phục sự cố cho ứng dụng desktop WinUI 3 bằng C# và Windows App SDK. Hãy dùng khi cần kiểm tra sẵn sàng môi trường, tạo ứng dụng mới, chọn shell và điều hướng, làm việc với các điều khiển XAML, theme, khả năng truy cập, triển khai và quy trình sửa lỗi khởi chạy cho Frontend Development.

Kỹ năng screenshot giúp chụp toàn màn hình, cửa sổ ứng dụng hoặc một vùng pixel khi bạn cần ảnh ở cấp hệ điều hành thay vì chỉ chụp trong trình duyệt. Hãy dùng nó cho nhu cầu screenshot trong Workflow Automation, với quy tắc lưu tệp, xử lý quyền trên macOS và hướng dẫn cài đặt rõ ràng để chụp màn hình máy tính ổn định.