detecting-process-hollowing-technique
作者 mukul975detecting-process-hollowing-technique 協助在 Windows 遙測中狩獵程序空洞化(T1055.012),透過關聯掛起啟動、記憶體竄改、父子程序異常與 API 證據來提升偵測命中率。它適合需要可落地的 detecting-process-hollowing-technique 來支援 Threat Hunting 工作流程的威脅獵捕者、偵測工程師與應變人員。
這個技能的評分是 81/100,代表它是適合收錄到目錄中的穩健選項,適合正在狩獵程序空洞化(T1055.012)的使用者。這個儲存庫提供足夠的操作細節,讓代理能判斷何時使用、如何跟著偵測流程執行,以及如何運用支援腳本與參考資料,幾乎不需要太多猜測;但整體仍偏向偵測導向,而不是完全開箱即用。
- 觸發條件明確:SKILL.md 清楚鎖定程序空洞化偵測,並點出 EDR 警示、記憶體威脅與紫隊驗證等具體使用情境。
- 操作脈絡完整:儲存庫包含多階段工作流程,並附有 Sysmon、MDE/KQL、Splunk SPL 與 API 序列脈絡的相關參考。
- 對代理很有幫助:腳本與範本提供可直接執行的起點,可用於 Sysmon 日誌分析與獵捕文件整理,而不只是敘述性說明。
- SKILL.md 中沒有安裝指令,因此使用者可能需要自行推斷如何讓腳本與相依項目實際運作。
- 部分工作流程內容在證據中被截斷,而且這個技能明顯以 Windows 遙測為核心,因此在該環境之外的適配度有限。
detecting-process-hollowing-technique 技能概覽
detecting-process-hollowing-technique 技能可協助你在 Windows 遙測中偵測 process hollowing(MITRE ATT&CK T1055.012),透過關聯程序建立、記憶體竄改與父子程序異常來進行獵捕。它最適合威脅獵捕員、偵測工程師與事件應變人員,用來建立實用的 detecting-process-hollowing-technique for Threat Hunting 工作流程,而不是只做泛泛的程序注入說明。
這個技能適合用在什麼情境
當你需要判斷某個可疑程序是否真的被 hollowing,而不只是行為異常時,就該使用這個技能。它聚焦的是實務上真正重要的訊號:暫停狀態下建立程序、映像不一致、遠端記憶體寫入,以及執行緒恢復後出現的異常執行流程。
為什麼它在實際獵捕中有用
detecting-process-hollowing-technique skill 的核心價值在於結構化。它不是只靠單一告警來追查,而是提供一個流程:先找出候選程序,對照 Windows 預期的父子程序關係,再用記憶體與 API 層級證據確認。這能降低誤把正常服務行為當成異常的機率,也能幫你分辨「怪異」與「惡意」的差別。
它與一般作法有什麼不同
當你手上有 EDR 或 Sysmon 遙測、而且需要以偵測為導向的工作流程時,這個技能特別強。它比一個單行提示更有用,因為它已經反映了常見的 hollowing 連鎖步驟,以及那個典型取捨:想要更高信心,就需要更完整的程序與記憶體可視性。如果你只有網路日誌,這個技能不會提供足夠證據。
如何使用 detecting-process-hollowing-technique 技能
安裝並載入
安裝指令:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique
接著先開啟 skills/detecting-process-hollowing-technique/SKILL.md。如果你想理解獵捕邏輯背後的作業脈絡,在自己環境中實際執行之前,也建議先看 references/standards.md 與 references/workflows.md。
從正確的輸入開始
這個技能最適合搭配遙測來源、簡短的懷疑說明,以及時間範圍一起使用。舉例來說:Analyze Sysmon Event IDs 1, 8, 10, and 25 from host X for signs of process hollowing after a suspicious svchost.exe launch at 14:30 UTC. 這會比「幫我檢查有沒有惡意程式」更好,因為它給了模型明確的獵捕目標與驗證路徑。
建議工作流程
- 先用這個技能從 Sysmon 或 EDR 中縮小候選程序範圍。
- 對照 Windows 基線,驗證父子程序關係。
- 檢查 hollowing 指標:暫停啟動、unmap/write/redirect 序列,以及竄改事件。
- 如果可取得,再用記憶體證據進一步確認。
- 以
assets/template.md作為報告格式,把結果整理成獵捕筆記或偵測規則。
先閱讀哪些檔案
在進行 detecting-process-hollowing-technique usage 時,建議優先閱讀:
SKILL.md:獵捕邏輯與前置條件references/api-reference.md:API 序列與 Splunk 範例查詢references/workflows.md:Sysmon 與 MDE 範例assets/template.md:如何清楚記錄發現scripts/agent.py與scripts/process.py:如果你想自動化事件解析或初步分流
detecting-process-hollowing-technique 技能 FAQ
這只適合進階分析師嗎?
不是。detecting-process-hollowing-technique guide 對已經了解基本 Windows 程序概念的初學者也很友善。你確實需要足夠的背景知識,才能分辨正常的服務行為與可疑的注入模式,但這個技能會提供可操作的獵捕路徑,不會要求你先具備深度逆向工程能力。
我需要 EDR 或 Sysmon 嗎?
最好有。這個技能在有 Sysmon 與 EDR 遙測時最強,因為 process hollowing 常常無法從基本端點日誌中直接看出來。若缺少程序建立、竄改或與記憶體相關的遙測,你往往只能得到一個弱推測,而不是站得住腳的結論。
它跟一般提示有什麼不同?
一般提示可能只是從概念上描述 process hollowing。這個技能則更偏向決策導向:它會推著你去檢查具體項目、預期的父子程序基線,以及能支持或推翻 T1055.012 的證據。這通常會產生更好的分流結果,也比較不會得到空泛答案。
什麼情況下不該用它?
如果你的案例主要是瀏覽器利用、巨集惡意程式,或沒有程序注入證據的泛用持久化,就不適合用 detecting-process-hollowing-technique。當你缺少端點遙測、只需要高層級事件摘要時,它也不是好選擇。
如何改進 detecting-process-hollowing-technique 技能
提供更完整的遙測背景
品質提升最大的一步,通常來自更好的輸入資料。請加入作業系統版本、日誌來源、事件 ID,以及一到兩個可疑程序名稱。比如:Windows 11, Sysmon 13, Event 1 and 25, svchost.exe started by cmd.exe, then tampering alert at 14:31. 這能幫模型更準確地對準正確的偵測路徑。
要求結論加上證據
如果你想要真正有用的輸出,就同時要求結論與證據鏈。可以這樣問:Classify the likelihood of process hollowing, list supporting indicators, and note what evidence is still missing. 這會迫使結果把已確認事實與推論分開,不會混在一起。
留意常見失誤模式
最常見的錯誤,是只憑父子程序不一致就過度判定為 hollowing。另一個錯誤,是把每一個暫停建立的程序都當成惡意。若要改善結果,請提供基線中的父子程序預期、已知正常的管理員操作,以及是否有記憶體證據,還是只有事件日誌可用。
第一輪之後再迭代
先用第一次回答找出缺口,再把那些缺口補齊後重新執行技能。如果輸出仍然偏保守,就補上程序雜湊、命令列、已載入模組,以及 CreateProcess、WriteProcessMemory、ResumeThread 之間的時間差。這會把一般性的 detecting-process-hollowing-technique skill 回應,變成更有根據的偵測或獵捕筆記。