extracting-memory-artifacts-with-rekall

作者 mukul975

這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式，並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動，適用於數位鑑識。

Stars0

評論0

加入時間2026年5月11日

分類数字取证

安裝指令

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall

編輯評分

這個 skill 的評分為 78/100，代表它是適合需要以 Rekall 進行記憶體鑑識的目錄使用者的穩健候選。此 repository 提供實際工作流程、具體的 plugin 涵蓋範圍，以及可執行的 script，因此使用者能比面對泛用 prompt 更容易判斷是否適合並直接啟用；不過，安裝與使用說明還不算完整精緻。

78/100

亮點

明確的事件回應使用情境：從 Windows 記憶體映像中擷取記憶體 artifacts，且在描述與參考文件中點名了多個具體的 Rekall plugins。
具備可操作的 artifacts：包含 `agent.py` script，以及說明 session 建立、隱藏程序偵測與命令列範例的 API reference。
frontmatter 完整且有效，包含 domain、subdomain、version、license 與 NIST CSF 標籤，有助於提升安裝決策的清晰度與可信度。

注意事項

`SKILL.md` 中沒有安裝命令，因此使用者可能需要自行推敲如何串接依賴項與執行環境設定。
文件雖然實用，但不是完整端到端；從檔案結構來看，流程偏向專注於 Rekall 記憶體分析，而非更廣泛的事件回應覆蓋。

Memory Forensics Rekall Windows Artifacts Malware Analysis Reverse Engineering 取证 Security Operations

總覽

extracting-memory-artifacts-with-rekall 技能概覽

extracting-memory-artifacts-with-rekall 技能可協助你用 Rekall 分析 Windows 記憶體映像，找出在事件應變中真正重要的記憶體工件：隱藏行程、注入程式碼、可疑 VAD 區域、已載入的 DLL，以及網路活動。它特別適合做 extracting-memory-artifacts-with-rekall for Digital Forensics 的分析人員，想要的是一套有引導、可重複的工作流程，而不是自己拼湊零散的 Rekall 指令。

這個 `extracting-memory-artifacts-with-rekall` 技能的用途

當工作目標是把 memory dump 轉成可站得住腳的結論時，就該用這個技能：哪些東西正在執行、哪些東西被藏起來、哪些看起來像是被注入，以及有哪些證據能支持這個判斷。它真正的價值在於「有結構地快速完成分析」，而不只是跑一次 pslist。

適合哪些人使用 `extracting-memory-artifacts-with-rekall`

這個技能適合 SOC 分析師、DFIR 應變人員、威脅獵捕人員，以及在實驗環境中驗證偵測邏輯的紅隊成員。如果你只需要一份大方向的惡意程式初步分流摘要，或手上的證據不是 Windows 記憶體映像，那它就沒那麼合適。

`extracting-memory-artifacts-with-rekall` 有什麼不同

這個技能的核心是 Rekall plugin 與分析模式，專門揭露只存在於記憶體中的工件，尤其是 pslist 與 psscan 的比對，以及 malfind / vadinfo 的檢查。這讓它在處理行程隱藏與程式碼注入問題時，比只會泛泛要求「幫我做 memory forensics」的通用提示詞更有力。

如何使用 `extracting-memory-artifacts-with-rekall` 技能

安裝並找到 `extracting-memory-artifacts-with-rekall` 工作流程

使用 npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-memory-artifacts-with-rekall 安裝。若要驗證 extracting-memory-artifacts-with-rekall install，請先開啟 skills/extracting-memory-artifacts-with-rekall/SKILL.md，再閱讀 references/api-reference.md 了解指令，以及 scripts/agent.py 了解執行模式。這些檔案比快速瀏覽 repo 更能清楚呈現整體流程。

提供 `extracting-memory-artifacts-with-rekall` 正確輸入

要有好的 extracting-memory-artifacts-with-rekall usage，請明確提供：映像檔路徑、已知的擷取類型（如果有）、Windows 版本或可能的 profile 來源，以及你要回答的問題。好的輸入會像這樣：Analyze memory.raw for hidden processes, code injection, and suspicious network connections; prioritize artifacts that support an incident report. 較弱的輸入像 check this dump，會逼模型猜太多。

使用聚焦的 `extracting-memory-artifacts-with-rekall` 分析順序

先用 pslist、psscan 和 netscan 做廣泛掃描，再針對可疑 PID 進一步用 malfind、vadinfo、dlllist 和 handles 深挖。先比較 active 與 scanned 的行程找出隱藏跡象，再檢查 VAD 權限與已載入模組，確認某個行程是否看起來有注入或 hollowing。如果你已經知道可疑 PID，直接要求針對該 PID 的分析，不必從整個 dump 全面掃過。

依照這個順序讀 repository

先讀 references/api-reference.md 看 plugin 名稱與命令列範例，再看 scripts/agent.py 了解 session 如何建立，以及 hidden-process 邏輯怎麼實作。這個順序能幫你把 extracting-memory-artifacts-with-rekall guide 調整成自己的實驗室流程或自動化管線，而不是照抄容易脆弱的預設值。

`extracting-memory-artifacts-with-rekall` 技能 FAQ

`extracting-memory-artifacts-with-rekall` 只適用於 Windows 記憶體分析嗎？

大致上是。這個 repository 是圍繞 Rekall 的記憶體映像分析與 Windows 導向工件而設計的，例如 EPROCESS、VAD、DLL 和 kernel modules。如果你的案例是 Linux 記憶體、只做磁碟初步分流，或是沒有 dump 的即時端點應變，這個技能通常不是對的工具。

`extracting-memory-artifacts-with-rekall` 和一般提示詞相比有什麼差別？

一般提示詞也許會提到 Rekall 指令，但 extracting-memory-artifacts-with-rekall skill 會給你更可重複的結構：先跑什麼、要比對什麼、哪些結果才算有意義。當映像雜訊很多，或你需要可解釋的結果時，這會大幅降低猜測成分。

`extracting-memory-artifacts-with-rekall` 適合初學者嗎？

如果使用者懂一些基本事件應變概念，這個技能是可以上手的；但當使用者能直接說出自己在意的工件時，輸出會最精準。如果你還不熟隱藏行程、VAD 異常或 DLL 檢查，可能需要先經歷一段學習曲線，才會覺得它夠精確。

什麼情況下不該使用它？

在沒有授權、沒有有效 memory image，或問題其實更適合由端點遙測、磁碟鑑識或 YARA 掃描回答時，不要使用它。如果你只想要一個不用驗證工件的「惡意程式判定」，它也不合適。

如何改進 `extracting-memory-artifacts-with-rekall` 技能

先把證據限制說清楚

最好的 extracting-memory-artifacts-with-rekall usage 會從限制條件開始：映像格式、懷疑的時間區間、作業系統家族，以及什麼才算有用的結果。請說明你要的是程式注入指標、隱藏持久化跡象，還是網路工件，因為分析路徑會明顯不同。

要求輸出以工件為依據

請要求結果綁定 plugin 證據，而不只是敘述式摘要。例如：List hidden processes found by psscan but not pslist, then inspect each with malfind and dlllist, and explain which artifacts support suspicion. 這樣產出的結果更容易稽核，也更方便重用到報告裡。

留意常見失敗模式

最常見的失敗模式包括：profile 偵測不受支援、只看單一 plugin 就下過度自信的結論，以及把每個異常都當成惡意而讓結果過度雜訊化。要改善下一輪分析，可以要求技能把工件分成「有趣」、「可疑」和「已確認」三類，然後只聚焦在訊號最高的 PID。

從初步分流逐步走到確認

有效的流程是：先廣泛枚舉，再縮小到可疑行程，最後用定向檢查與交叉驗證做確認。如果第一輪就找到隱藏行程，下一步就應該追問具體 PID、VAD 範圍、DLL 集合，以及任何網路工件，讓 extracting-memory-artifacts-with-rekall skill 從「發現」收斂到「解釋」。

評分與評論

尚無評分

分享你的評論

登入後即可為這項技能評分並留言。

0/10000

此分類中的更多技能

conducting-malware-incident-response

作者 mukul975

conducting-malware-incident-response 可協助 IR 團隊分流可疑惡意軟體、確認是否感染、判定擴散範圍、隔離端點，並支援清除與復原。此技能專為 conducting-malware-incident-response 的 Incident Response 工作流程而設計，提供有證據基礎的步驟、以遙測為依據的判斷，以及實用的封鎖與隔離指引。

Incident Response

收藏 0GitHub 0

analyzing-usb-device-connection-history

作者 mukul975

analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史，適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析，以及可移除媒體證據分析。

Digital Forensics

收藏 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

作者 mukul975

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

Malware Analysis

收藏 0GitHub 6.2k

extracting-browser-history-artifacts

作者 mukul975

extracting-browser-history-artifacts 是一項數位鑑識技能，用於從 Chrome、Firefox 和 Edge 擷取瀏覽歷史、Cookie、快取、下載記錄與書籤。適合把瀏覽器設定檔檔案轉成可直接納入時間軸的證據，並提供可重複執行、以案件為中心的工作流程指引。

Digital Forensics

收藏 0GitHub 0

analyzing-network-traffic-for-incidents

作者 mukul975

analyzing-network-traffic-for-incidents 可協助事件應變人員分析 PCAP、流量日誌與封包擷取結果，以確認 C2、橫向移動、資料外傳與利用嘗試。此內容專為 Incident Response 的 analyzing-network-traffic-for-incidents 場景設計，搭配 Wireshark、Zeek 與 NetFlow 類型的調查流程。

Incident Response

收藏 0GitHub 0

deobfuscating-javascript-malware

作者 mukul975

deobfuscating-javascript-malware 可協助分析師把高度混淆的惡意 JavaScript 還原成可讀程式碼，適用於惡意軟體分析、釣魚頁面、web skimmer、dropper，以及透過瀏覽器投遞的 payload。當問題不是單純壓縮 minify，而是需要有條理地去混淆、追蹤解碼流程並進行受控檢視時，這個 deobfuscating-javascript-malware 技能就很適合使用。

Malware Analysis

收藏 0GitHub 0

detecting-process-injection-techniques

作者 mukul975

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

安全稽核

收藏 0GitHub 0

analyzing-macro-malware-in-office-documents

作者 mukul975

analyzing-macro-malware-in-office-documents 可協助惡意程式分析人員檢視 Word、Excel 與 PowerPoint 檔案中的惡意 VBA，解碼混淆，並擷取 IOCs、執行路徑與 payload staging 邏輯，適合用於釣魚郵件分流、事件回應與文件惡意程式分析。

Malware Analysis

收藏 0GitHub 0

collecting-indicators-of-compromise

作者 mukul975

collecting-indicators-of-compromise 技能可用來從事件證據中擷取、豐富、評分並匯出 IOC。當你需要的是一份實用的 collecting-indicators-of-compromise 指南，而不是通用的事件應變提示詞時，可用於 Security Audit 工作流程、威脅情報分享，以及 STIX 2.1 輸出。

安全稽核

收藏 0GitHub 0

analyzing-golang-malware-with-ghidra

作者 mukul975

analyzing-golang-malware-with-ghidra 可協助分析人員在 Ghidra 中逆向 Go 編譯的惡意軟體，提供函式還原、字串擷取、建置中繼資料與依賴關係映射等工作流程。這個 analyzing-golang-malware-with-ghidra 技能特別適合惡意程式初步判讀、事件回應，以及需要實用 Go 專屬分析步驟的 Security Audit 任務。

安全稽核

收藏 0GitHub 0

building-incident-timeline-with-timesketch

作者 mukul975

building-incident-timeline-with-timesketch 可協助 DFIR 團隊在 Timesketch 中建立可協作的事件時間線，透過匯入 Plaso、CSV 或 JSONL 證據，標準化時間戳、關聯事件，並記錄攻擊鏈，支援事件初步分流與報告撰寫。

事件分诊

收藏 0GitHub 6.1k

analyzing-linux-kernel-rootkits

作者 mukul975

analyzing-linux-kernel-rootkits 可協助 DFIR 與威脅狩獵工作流程，透過 Volatility3 的 cross-view 檢查、rkhunter 掃描，以及 /proc 與 /sys 比對，偵測 Linux kernel rootkit，找出隱藏模組、被掛鉤的系統呼叫與遭竄改的核心結構。這是一份實用的 analyzing-linux-kernel-rootkits 指南，適合用於鑑識初步分流。

Digital Forensics

收藏 0GitHub 0

detecting-mimikatz-execution-patterns

作者 mukul975

detecting-mimikatz-execution-patterns 可協助分析人員透過命令列樣式、LSASS 存取訊號、二進位指標與記憶體痕跡來偵測 Mimikatz 執行。若你要用這個 detecting-mimikatz-execution-patterns 技能進行安裝，可用於安全稽核、威脅狩獵與事件回應，並搭配範本、參考資料與工作流程指引。

安全稽核

收藏 0GitHub 0

detecting-rootkit-activity

作者 mukul975

detecting-rootkit-activity 是一項惡意程式分析技能，用於找出 rootkit 徵兆，例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查，協助在標準工具結果不一致時驗證可疑主機。

Malware Analysis

收藏 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

作者 mukul975

analyzing-browser-forensics-with-hindsight 可協助數位鑑識團隊使用 Hindsight 分析 Chromium 瀏覽器痕跡，包括瀏覽紀錄、下載項目、Cookie、自動填入、書籤、已儲存憑證中繼資料、快取與擴充功能。可用來重建網路活動、檢視時間軸，並調查 Chrome、Edge、Brave 與 Opera 使用者設定檔。

Digital Forensics

收藏 0GitHub 6.2k

hunting-advanced-persistent-threats

作者 mukul975

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

Threat Hunting

收藏 0GitHub 0

extracting-memory-artifacts-with-rekall

extracting-memory-artifacts-with-rekall 技能概覽

這個 extracting-memory-artifacts-with-rekall 技能的用途

適合哪些人使用 extracting-memory-artifacts-with-rekall

extracting-memory-artifacts-with-rekall 有什麼不同

如何使用 extracting-memory-artifacts-with-rekall 技能

安裝並找到 extracting-memory-artifacts-with-rekall 工作流程

提供 extracting-memory-artifacts-with-rekall 正確輸入

使用聚焦的 extracting-memory-artifacts-with-rekall 分析順序

依照這個順序讀 repository

extracting-memory-artifacts-with-rekall 技能 FAQ

extracting-memory-artifacts-with-rekall 只適用於 Windows 記憶體分析嗎？

extracting-memory-artifacts-with-rekall 和一般提示詞相比有什麼差別？

extracting-memory-artifacts-with-rekall 適合初學者嗎？

什麼情況下不該使用它？

如何改進 extracting-memory-artifacts-with-rekall 技能

先把證據限制說清楚

要求輸出以工件為依據

留意常見失敗模式

從初步分流逐步走到確認

評分與評論

這個 `extracting-memory-artifacts-with-rekall` 技能的用途

適合哪些人使用 `extracting-memory-artifacts-with-rekall`

`extracting-memory-artifacts-with-rekall` 有什麼不同

如何使用 `extracting-memory-artifacts-with-rekall` 技能

安裝並找到 `extracting-memory-artifacts-with-rekall` 工作流程

提供 `extracting-memory-artifacts-with-rekall` 正確輸入

使用聚焦的 `extracting-memory-artifacts-with-rekall` 分析順序

`extracting-memory-artifacts-with-rekall` 技能 FAQ

`extracting-memory-artifacts-with-rekall` 只適用於 Windows 記憶體分析嗎？

`extracting-memory-artifacts-with-rekall` 和一般提示詞相比有什麼差別？

`extracting-memory-artifacts-with-rekall` 適合初學者嗎？

如何改進 `extracting-memory-artifacts-with-rekall` 技能