detecting-rootkit-activity
作者 mukul975detecting-rootkit-activity 是一項惡意程式分析技能,用於找出 rootkit 徵兆,例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查,協助在標準工具結果不一致時驗證可疑主機。
這個技能評分為 78/100,屬於表現穩健但未到頂尖的條目:它提供了可信的 rootkit 偵測流程,操作細節也足以支持安裝決策,但需要接受一些外部鑑識工具的相依設定,且 SKILL.md 中沒有內建安裝指令。
- 針對 rootkit 偵測、隱藏程序發現、核心完整性檢查與系統呼叫鉤子分析都有明確可觸發的能力描述。
- 操作內容相當完整:交叉視角偵測步驟、Volatility 3 指令,以及 Linux/Windows 工具覆蓋,都有助於實際代理執行。
- 倉庫內包含看起來可直接使用的腳本與參考檔案,比只有 Markdown 說明的技能更有實作價值。
- SKILL.md 裡沒有安裝指令,因此使用者可能需要手動串接執行流程與相依項目。
- 工具高度依賴外部環境(Volatility 3、GMER、rkhunter、chkrootkit),實用性取決於目標作業系統與分析環境。
detecting-rootkit-activity 技能概覽
detecting-rootkit-activity 的用途
detecting-rootkit-activity 技能可協助你判斷一台已遭入侵的系統,是否在核心或驅動層級隱藏活動。它聚焦於 rootkit 徵象,例如隱藏程序、被竄改的 system call 路徑、修改過的 kernel 結構、隱藏模組,以及隱蔽的網路痕跡。這不是一個泛用的惡意程式提示詞;它是專為 Malware Analysis 設計的 detecting-rootkit-activity 技能,特別適合在一般工具的結果,和記憶體或完整性檢查發現彼此不一致時使用。
誰適合使用
如果你正在做 incident response、鑑識初步分流、EDR 驗證,或是入侵後清理,並且需要一套有結構的方法來確認隱匿行為,就適合使用這個技能。當 Task Manager、ps、netstat,或一般防毒掃描看起來都正常,但主機行為仍然可疑時,它特別有價值。
為什麼它不一樣
detecting-rootkit-activity 的核心價值在於跨視角比對:它會把使用者模式工具回報的內容,和記憶體鑑識與完整性檢查仍能看到的內容拿來對照。這讓它比「掃描惡意程式」這種寬泛提示更有決策價值,尤其是在「躲藏」本身就是問題核心的系統上。
如何使用 detecting-rootkit-activity 技能
安裝並載入技能
先依照 repository 的安裝流程完成 detecting-rootkit-activity install 步驟,接著把你的 agent 指向 skills/detecting-rootkit-activity 的技能路徑。這個 repo 中常見的安裝命令是:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity
安裝完成後,請確認只有在任務涉及隱藏程序、核心竄改,或 rootkit 驗證時,這個技能才會被啟用。
一開始就提供對的輸入
detecting-rootkit-activity usage 的模式,在你提供以下資訊時效果最好:
- 作業系統與版本
- 即時系統還是記憶體映像檔
- 症狀摘要,例如「程序在
pslist看不到,但在psscan裡還在」 - 已經跑過的工具與其輸出
- 你需要的是分流、確認,還是報告
較弱的提示是:「幫我檢查 rootkit。」
較強的提示則是:「分析這份 Windows memory dump,找出隱藏程序與 SSDT hooks。我有 pslist 和 psscan 的輸出,以及可疑的 driver 名稱。」
先讀這些檔案
想快速上手,先看:
SKILL.md:啟用範圍與工作流程references/api-reference.md:Volatility 3 指令與跨視角步驟scripts/agent.py:自動化邏輯與輸出格式
這是你在實際案件中依賴它之前,最快理解這個技能思考方式的路徑。
採用跨視角工作流程
這個 repository 最強的模式,不是只信任單一工具,而是比對多個視角:
- 用
pslist枚舉程序 - 用
psscan掃描記憶體 - 比對 PID,找出隱藏項目
- 一旦確認有隱匿,再擴展到
ssdt、modules、driverirp、callbacks或idt
這套流程很重要,因為 rootkit 常常可以繞過某一種介面,但不一定能騙過全部介面。
detecting-rootkit-activity 技能 FAQ
detecting-rootkit-activity 適合新手嗎?
適合,但前提是你已經懂基本的惡意程式分流。若你還在學 live-response 工具和 memory forensics 的差異,這個技能就不算最適合。當你能提供具體的主機映像、指令輸出,或可疑隱匿行為時,這個技能的效果最好。
它跟一般提示詞有什麼差別?
一般提示詞可能只會給你像「先跑防毒、再檢查程序」這種泛用建議。detecting-rootkit-activity 技能則更聚焦、也更偏操作層面:它會把你導向跨視角檢查、完整性驗證,以及 rootkit 專屬痕跡。這讓它在真實調查中的 detecting-rootkit-activity usage 更合適。
什麼情況下不該用它?
不要把它當成每一次感染事件的第一步。如果問題很明顯是釣魚惡意程式、常見廣告軟體,或單純的持久化檢查,那這個技能通常太專門。當真正的問題是隱匿、核心竄改,或隱藏行為時,再用它最合理。
它適用於 Windows 和 Linux 嗎?
適用,但工具會不同。這個 repository 以 Volatility 3 做記憶體分析為主,並搭配 Windows 取向的檢查,例如 ssdt、callbacks、modules,以及 Linux 工具如 rkhunter、chkrootkit、unhide。請根據實際主機與你手上真的有的證據,選擇對應分支。
如何改進 detecting-rootkit-activity 技能
提供證據,不要只給懷疑
要讓 detecting-rootkit-activity 的結果更好,最有效的方法就是提供具體 artefacts:memory dump 路徑、指令輸出、hash、driver 名稱,以及簡短時間線。模型可比對的資料越多,就越不需要猜測。好的後續輸入例如:「psscan 顯示 PID 4120,但 pslist 沒有;這是完整輸出和可疑 driver 清單。」
明確說出你要回答的問題
這個技能在你先定義終點時表現最好:
- 「這個程序有被隱藏嗎?」
- 「有 SSDT hook 嗎?」
- 「哪個 driver 最可能是元兇?」
- 「這台主機還能信任到足以重灌嗎?」
這樣輸出會更實用,而不是停留在泛泛而談。
留意常見失敗模式
最常見的失敗模式,是只憑單一異常就過度判定為 rootkit。隱藏痕跡也可能來自舊記憶體資料、當機殘留、EDR 干擾,或擷取不完整。你應該要求技能區分「高度可能是 rootkit」、「證據不足」,以及「還需要更多證據」,避免太早硬下二元結論。
第一次結果不完整時,接著補資料再迭代
如果第一次回覆只有部分結論,就把缺少的視角補回去。例如,若懷疑程序隱藏,就再加上 module、callback、IRP 的輸出;若懷疑網路隱藏,就再補 socket 與 port scan。這是在不改變工作流程的前提下,提升 detecting-rootkit-activity skill 輸出品質最有效的方法。