analyzing-powershell-script-block-logging
作者 mukul975這個 analyzing-powershell-script-block-logging 技能可用來解析 Windows PowerShell Script Block Logging 的 Event ID 4104(來自 EVTX 檔案),重建被拆分的 script block,並標記混淆指令、編碼 payload、Invoke-Expression 濫用、download cradle,以及 AMSI bypass 嘗試,適合 Security Audit 工作。
這個技能得分 78/100,代表它很適合作為需要專注於 PowerShell Script Block Logging 分析流程的目錄收錄項目。它的範圍夠明確,能比通用提示更有效降低試錯成本,事件與日誌目標、偵測目標也都寫得清楚;不過在決定是否安裝時,仍要考慮它在操作細節與導入說明上還不夠完整。
- 這個技能明確聚焦於 PowerShell Event ID 4104 分析,並具體列出混淆、編碼命令、IEX 濫用、download cradle 與 AMSI bypass 嘗試等偵測目標。
- 它提供了實際工作流程的依據:使用 python-evtx 解析 EVTX、重建拆分的 script block,以及對 XML 結構與偵測模式的參考資料。
- 從 script 檔與參考文件可看出這不是只有空殼說明,而是有實作支援的技能。
- SKILL.md 中沒有提供安裝命令,因此使用者可能需要根據說明與 script 自行推敲設定步驟與相依套件。
- 倉庫中的證據顯示逐步揭露程度有限,且限制條件不多;若要做更廣泛的 SOC 自動化或非 Windows 日誌分析,使用者可能需要自行調整。
analyzing-powershell-script-block-logging 技能概覽
這個技能能做什麼
analyzing-powershell-script-block-logging 技能可協助你從 EVTX 檔案解析 Windows PowerShell Script Block Logging 事件(Event ID 4104)、重建被切分的 script block,並標記常見惡意樣式,例如 -EncodedCommand、Invoke-Expression、下載器手法、AMSI bypass 嘗試,以及其他 living-off-the-land 技術。
適合誰使用
這個技能很適合 SOC 分析師、威脅獵捕人員、DFIR 從業者,以及任何需要對 Windows 端點或伺服器日誌做 Security Audit 的人。如果你想用遙測資料建立可重複的 PowerShell 活動審視流程,而不是只靠單一命令列猜測,這個技能會很實用。
它為什麼不一樣
analyzing-powershell-script-block-logging 技能不是一個泛用的「檢查日誌」提示詞。它是根據 Event 4104 的結構、多段重建,以及 repo 內 script 與參考資料中的偵測導向 heuristic 所設計。這讓它在事件初步分流上,比寬泛的 PowerShell 分析提示詞更實際。
如何使用 analyzing-powershell-script-block-logging 技能
安裝並找到核心檔案
使用以下指令安裝:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-powershell-script-block-logging
為了最快上手,先讀 skills/analyzing-powershell-script-block-logging/SKILL.md,再讀 references/api-reference.md,最後看 scripts/agent.py。這三個檔案會告訴你預期的 log 結構、解析方法,以及偵測邏輯。
提供正確的輸入給技能
這個技能在你提供以下資訊時效果最好:EVTX 來源、事件背景、時間範圍,以及你想做的判斷。差的提問是「分析這個 log」。更好的提示詞會像這樣:Use analyzing-powershell-script-block-logging on Microsoft-Windows-PowerShell%4Operational.evtx from 2024-01-15 10:00–11:00 UTC and identify any Event ID 4104 entries with obfuscation, encoded payloads, or downloader behavior.
用符合 repo 的工作流程
先確認是否有 Event 4104,再重建任何多段的 ScriptBlockId 群組,接著檢視可疑樣式,最後把結果對回原始 ScriptBlockText。如果你是在做 Security Audit 的 analyzing-powershell-script-block-logging 使用流程,請同時要求偵測結果與覆蓋缺口:哪些被標記了、哪些沒有、哪些命令需要人工複查。
依照順序閱讀參考資料
references/api-reference.md 最適合用來理解欄位名稱,例如 ScriptBlockText、ScriptBlockId、MessageNumber、MessageTotal。scripts/agent.py 則很適合用來看實際的 pattern 集合、信心邏輯,以及這個技能會把哪些 PowerShell 行為視為高風險。
analyzing-powershell-script-block-logging 技能 FAQ
這只適用於事件回應嗎?
不是。它也適合基線強化、偵測工程,以及控制驗證。如果你的目標是了解 PowerShell 遙測如何支援偵測,即使沒有正在進行的事件,analyzing-powershell-script-block-logging 指南仍然能提供幫助。
我可以把它當成一般提示詞,而不是技能嗎?
可以,但通常輸出會比較不穩定。這個技能提供你一條結構化路徑,去解析 Event 4104 資料、重建被切分的區塊,並對照已知可疑樣式;這比直接叫一般模型「找出惡意 PowerShell」更可靠。
主要限制是什麼?
它取決於 Script Block Logging 是否已啟用,以及 EVTX 檔案是否包含相關事件。它也偏向偵測導向,所以看起來正常但很少見的管理腳本可能會被拉出來,仍需要分析師判斷。
對初學者友善嗎?
如果你知道基本的 Windows logging 概念,並且能提供 log 檔或明確情境,那就算友善。若你不知道 PowerShell Operational log 來自哪裡,或無法確認是否已收集 Event 4104,就比較不適合。
如何改善 analyzing-powershell-script-block-logging 技能
提供會改變分析結果的背景
最大幅度的品質提升,來自補上主機角色、使用者背景,以及精確時間範圍。像「Domain controller、admin account、14:20–14:40 UTC、post-phishing triage」這種資訊,遠比只有原始 EVTX 路徑有用。
同時要求結果與重建內容
若要更好地使用 analyzing-powershell-script-block-logging,請明確要求重建後的 script、可疑指標,以及每個命中的簡短理由。這會逼輸出把碎片串回完整的 PowerShell 故事,而不是只列出零散標記。
留意常見失敗模式
最常見的漏判包括:script block 被截斷、分段 payload 沒有按順序重組、以及把正常自動化過度武斷地標成惡意。若第一次結果看起來很單薄,請要求技能重新檢查 MessageNumber 的排序、比對重複的 ScriptBlockId 值,並把「可疑」和「已確認」分開。
用針對性的追問反覆迭代
一個強而有力的第二輪提示詞可以是:Re-rank the 4104 events by likelihood of malicious use, explain which detections were driven by -EncodedCommand, FromBase64String, or downloader behavior, and note any benign admin scripts that look similar. 這種反覆迭代方式,能讓 analyzing-powershell-script-block-logging 技能更適合 Security Audit 決策,也更利於分析師快速複查。