恶意软件分析

detecting-rootkit-activity 是一項惡意程式分析技能，用於找出 rootkit 徵兆，例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查，協助在標準工具結果不一致時驗證可疑主機。

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

detecting-mobile-malware-behavior 技能會分析可疑的 Android 與 iOS App，檢查權限濫用、執行時活動、網路指標，以及類似惡意程式的行為模式。適合用於分流判斷、事件應變，以及 Security Audit 工作流程中的 detecting-mobile-malware-behavior，並以可佐證的行動裝置分析提供依據。

analyzing-supply-chain-malware-artifacts 是一個用於追查木馬化更新、遭投毒的依賴項與建置流程竄改的惡意軟體分析技能。可用來比對可信與不可信的工件、擷取指標、評估受影響範圍，並以更少猜測完成回報。

analyzing-ransomware-payment-wallets 是一個唯讀的區塊鏈鑑識技能，用於追蹤勒索軟體收款錢包、追查資金流向，並對相關地址進行群聚分析，以支援資安稽核與事件應變。當你手上有 BTC 地址、交易雜湊或可疑錢包，且需要有證據基礎的歸因支援時，這項技能特別適合。

analyzing-ransomware-encryption-mechanisms 惡意程式分析技能，重點在辨識勒索軟體的加密方式、金鑰處理與解密可行性。可用來檢視 AES、RSA、ChaCha20、混合式方案，以及可能有助於資料復原的實作缺陷。

analyzing-ransomware-leak-site-intelligence 可用來監控勒索軟體資料外洩站、擷取受害者與團伙訊號，並產出結構化威脅情資，支援事件應變、產業風險檢視與對手追蹤。

extracting-iocs-from-malware-samples 的惡意程式分析技能指南：從樣本中擷取雜湊、IP、網域、URL、主機痕跡與驗證線索，用於威脅情報與偵測。

適用於惡意程式分析的 extracting-config-from-agent-tesla-rat 技能：可依可重複的工作流程，擷取 Agent Tesla 的 .NET 設定、SMTP/FTP/Telegram 憑證、keylogger 設定與 C2 端點。

eradicating-malware-from-infected-systems 是一項資安事件應變技能，用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案，以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。

detecting-stuxnet-style-attacks 技能可協助防禦者偵測類 Stuxnet 的 OT 與 ICS 入侵模式，包括 PLC 邏輯竄改、感測器資料偽造、工程工作站遭入侵，以及 IT 到 OT 的橫向移動。適合用於威脅狩獵、事件初步分流與製程完整性監控，並可結合通訊協定、主機與程序層證據進行判讀。

detecting-ransomware-encryption-behavior 可協助防守方透過熵值分析、檔案 I/O 監控與行為式啟發規則，辨識類勒索軟體的加密行為。適合事件應變、SOC 調校與紅隊驗證等情境，當你需要快速偵測大量檔案變更、批次重新命名與可疑程序活動時特別有用。

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

analyzing-packed-malware-with-upx-unpacker 是一個惡意程式分析技能，可用來辨識 UPX 打包樣本、處理經過修改的 UPX 標頭，並將原始可執行檔還原以便在 Ghidra 或 IDA 中進行靜態檢視。當 `upx -d` 失敗，或你需要更快的 UPX 打包檢查與解包流程時，就很適合用它。

analyzing-memory-dumps-with-volatility 是一個 Volatility 3 技能，適用於記憶體鑑識、惡意程式初步篩查、隱藏程序、注入、網路活動，以及 Windows、Linux 或 macOS RAM dump 中的憑證分析。當你需要一份可重複使用的 analyzing-memory-dumps-with-volatility 指南，來支援事件應變與惡意程式分析時，就適合使用它。

analyzing-malicious-pdf-with-peepdf 是一個用於可疑 PDF 的靜態惡意程式分析技能。可搭配 peepdf、pdfid 和 pdf-parser 進行釣魚附件初步判讀、檢查物件、擷取內嵌 JavaScript 或 shellcode，並在不執行檔案的情況下安全檢視可疑串流。

analyzing-macro-malware-in-office-documents 可協助惡意程式分析人員檢視 Word、Excel 與 PowerPoint 檔案中的惡意 VBA，解碼混淆，並擷取 IOCs、執行路徑與 payload staging 邏輯，適合用於釣魚郵件分流、事件回應與文件惡意程式分析。

analyzing-linux-kernel-rootkits 可協助 DFIR 與威脅狩獵工作流程，透過 Volatility3 的 cross-view 檢查、rkhunter 掃描，以及 /proc 與 /sys 比對，偵測 Linux kernel rootkit，找出隱藏模組、被掛鉤的系統呼叫與遭竄改的核心結構。這是一份實用的 analyzing-linux-kernel-rootkits 指南，適合用於鑑識初步分流。

analyzing-golang-malware-with-ghidra 可協助分析人員在 Ghidra 中逆向 Go 編譯的惡意軟體，提供函式還原、字串擷取、建置中繼資料與依賴關係映射等工作流程。這個 analyzing-golang-malware-with-ghidra 技能特別適合惡意程式初步判讀、事件回應，以及需要實用 Go 專屬分析步驟的 Security Audit 任務。

analyzing-linux-elf-malware 協助分析可疑的 Linux ELF 二進位檔，用於惡意軟體分析；涵蓋架構檢查、strings、imports、靜態初步篩查，以及辨識殭屍網路、挖礦程式、rootkit、勒索軟體與容器威脅的早期徵兆。

detecting-mimikatz-execution-patterns 可協助分析人員透過命令列樣式、LSASS 存取訊號、二進位指標與記憶體痕跡來偵測 Mimikatz 執行。若你要用這個 detecting-mimikatz-execution-patterns 技能進行安裝，可用於安全稽核、威脅狩獵與事件回應，並搭配範本、參考資料與工作流程指引。

detecting-fileless-malware-techniques 技能支援惡意程式分析工作流程，用來調查透過 PowerShell、WMI、.NET reflection、登錄檔常駐 payload 與 LOLBins 在記憶體中執行的無檔案惡意程式。適合用來把可疑警示轉成有證據支撐的初步分流、偵測構想與後續狩獵方向。

detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊，使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照，以及可將可疑 DLL 載入轉化為可重複偵測的腳本。

deobfuscating-javascript-malware 可協助分析師把高度混淆的惡意 JavaScript 還原成可讀程式碼，適用於惡意軟體分析、釣魚頁面、web skimmer、dropper，以及透過瀏覽器投遞的 payload。當問題不是單純壓縮 minify，而是需要有條理地去混淆、追蹤解碼流程並進行受控檢視時，這個 deobfuscating-javascript-malware 技能就很適合使用。