Agent Skills Finder
W

memory-forensics

作者 wshobson

memory-forensics skill 適用於 RAM 擷取與記憶體傾印分析,搭配 Volatility 3 進行調查。內容涵蓋安裝前評估、實際使用流程、artifact 擷取,以及 Windows、Linux、macOS 與 VM 記憶體的事件分流與初步研判。

Stars32.6k
收藏0
評論0
加入時間2026年3月30日
分類事件分诊
安裝指令
npx skills add wshobson/agents --skill memory-forensics
編輯評分

這項技能獲得 76/100,對於想找可重複使用的記憶體鑑識操作範本、而不只是一般提示詞的使用者來說,是相當不錯的目錄候選。儲存庫提供清楚的觸發情境,並包含大量以指令與流程為核心的內容,聚焦在擷取與以 Volatility 為基礎的分析;不過使用者也應預期這主要是文件型指引,部分環境設定與判斷仍需自行處理。

76/100
亮點
  • frontmatter 的觸發條件清楚:明確指出此技能適用於記憶體傾印、事件調查,以及從 RAM 擷取進行惡意程式分析。
  • 實務內容扎實:技能內含 Windows、Linux、macOS 與 VM 記憶體來源的具體擷取指令,並提供 Volatility 3 的安裝與設定指引。
  • 適合作為 agent 參考的流程文件:內容篇幅完整、結構清楚,涵蓋多個分析面向,不是佔位用或過於精簡的示範。
注意事項
  • 屬於純文件型技能:沒有附帶腳本、參考檔案、規則或輔助資產,因此實際執行仍仰賴 agent 或使用者本身已具備安全套用這些指令的能力。
  • 安裝與導入資訊的明確度僅屬中等:`SKILL.md` 中沒有安裝指令,整體結構訊號也顯示對限制條件與實務操作的明確說明仍然有限。
Reverse EngineeringSecurityMonitoringPythonCli
總覽

memory-forensics 技能總覽

memory-forensics 技能會做什麼

memory-forensics 技能可協助代理人依循既有工具鏈完成 RAM 擷取與記憶體傾印分析,例如 Volatility 3 與常見擷取工具。它主要面向事件回應、惡意程式初步研判,以及僅靠磁碟跡證不足以完成調查的主機鑑識流程。

這個 memory-forensics 技能最適合誰

這個 memory-forensics 技能特別適合:

  • 處理 Windows、Linux 或 macOS 疑似遭入侵事件的應變人員
  • 分析已擷取記憶體映像或 VM 記憶體檔案的分析師
  • 需要一套可實際上手、可用於程序、網路與各類跡證分析起手式的使用者
  • 進行 Incident Triage 型 memory-forensics,而非深入核心研究的團隊

如果你目前還沒有記憶體映像、無法在法律或操作風險上安全取得,或只需要做基本日誌檢閱,這個技能的幫助就會比較有限。

真正要解決的工作是什麼

多數使用者並不需要一段記憶體分析史。他們真正需要的是協助回答這類問題:

  • 這台系統最安全的 RAM 擷取方式是什麼?
  • 我要怎麼用正確的工具與符號檔分析這份 dump?
  • 哪些程序、注入程式碼、憑證、socket 與持久化線索應該先檢查?
  • 我要怎麼把模糊的懷疑,整理成一套可重複執行的 memory-forensics 指南?

這個技能的價值在於:它把這些任務整合成可直接使用的流程,而不是讓代理人從空白提示自行即興發揮。

這個 memory-forensics 技能的差異點

它最主要的差異,在於橫跨完整的 memory-forensics 路徑:擷取選項、VM 擷取、Volatility 設定,以及程序、DLL、網路、registry 資料、惡意程式指標與檔案抽取等調查面向。相較於泛泛的「分析這份 dump」提示,它更偏向實務操作,尤其適合你需要代理人建議下一步鑑識動作,而不只是列出工具名稱的情境。

安裝前你需要知道的事

這個 repository 路徑內只有一個 SKILL.md 提供指引。skill 資料夾裡沒有輔助腳本、打包好的 symbols、自動化規則或範例資料集。這表示 memory-forensics 安裝本身很輕量,但輸出品質會高度依賴你提供的細節:作業系統、擷取方式、檔案格式、懷疑的威脅類型,以及你真正想回答的問題。

如何使用 memory-forensics 技能

memory-forensics 技能的安裝情境

從 repository 安裝這個 skill 後,當你的任務涉及記憶體擷取、以 Volatility 為主的分析,或從 RAM 抽取跡證時即可呼叫它。

npx skills add https://github.com/wshobson/agents --skill memory-forensics

由於這個 skill 資料夾只暴露 SKILL.md,幾乎沒有隱藏行為。你拿到的是結構化指引,不是可直接一鍵執行的鑑識流程管線。

先讀這個檔案

請先從這裡開始:

  • plugins/reverse-engineering/skills/memory-forensics/SKILL.md

因為資料夾內沒有其他配套腳本或參考檔,對這個 skill 來說,閱讀 SKILL.md 幾乎就等於完整的 repository 閱讀路徑。

這個 memory-forensics 技能需要哪些輸入,效果才會好

當你提供具體的鑑識情境時,memory-forensics 技能表現最好。建議包含:

  • 目標 OS 與版本(若已知)
  • 記憶體映像路徑與格式,例如 .raw.lime.elf 或 VM memory
  • 映像來源是 live capture、hypervisor snapshot,還是 endpoint 工具
  • 分析目標:triage、確認惡意程式、憑證竊取、注入程式碼、可疑網路活動
  • 已知指標:hostname、使用者名稱、process 名稱、hash、IP、domain、timestamp
  • 你手上可用的工具:volpython、symbol packs、YARA rules、strings、grep

如果缺少這些資訊,代理人通常只會退回一般化的 memory-forensics 使用計畫,而不是針對性調查流程。

把模糊目標改寫成好 prompt

較弱的 prompt:

  • 「Analyze this memory dump.」

較強的 prompt:

  • 「Use the memory-forensics skill to triage a Windows 10 memory image at evidence/win10.raw. Prioritize suspicious processes, network connections, DLL injection, LSASS access, persistence clues, and files worth extracting. Assume I have Volatility 3 installed but not Windows symbols. Give me a step-by-step command sequence and explain what findings would be high priority for incident triage.”

較強版本之所以效果更好,是因為它同時給了這個 skill 平台、檔案、目標,以及你期待的輸出形式。

Incident Triage 情境下的 memory-forensics 範例 prompt

當速度很重要時,可以用這類 prompt:

Use the memory-forensics skill for Incident Triage on a Linux memory image captured with LiME. I need a prioritized workflow: identify suspicious processes, loaded modules, open sockets, shell history or credentials in memory if feasible, and anything that suggests rootkit or malware activity. Recommend Volatility 3 commands, note any plugin limitations, and tell me what to extract for follow-up.

這樣能讓輸出維持在實務、偏向 triage 的方向,而不會漂到過於寬泛的理論說明。

這個 memory-forensics 技能支援的典型工作流程

一個好的使用模式通常是:

  1. 先辨識記憶體映像的來源與格式。
  2. 確認平台,並選擇對應擷取方式的處理方法。
  3. 設定 Volatility 3 與必要的 symbols(若適用)。
  4. 先做基礎列舉:processes、command lines、network connections、modules 與 handles。
  5. 再轉向可疑跡證:注入程式碼、憑證資料、registry 資料、瀏覽器痕跡,或惡意程式解包線索。
  6. 抽取高價值跡證,供離線檢視。
  7. 以信心等級與下一步建議整理調查結果。

當你把它當成「以決策為導向的工作流程」來問,而不只是索取 plugin 清單時,這個 skill 最有幫助。

這個 memory-forensics 技能實際上最擅長涵蓋哪些內容

從原始內容來看,這份 memory-forensics 指南最強的部分在:

  • Windows、Linux 與 macOS 的 live acquisition 選項
  • virtual machine 記憶體蒐集
  • Volatility 3 安裝與設定
  • 從 dump 進行 process 與 artifact 分析
  • 惡意程式分析與檔案抽取任務

如果你目前卡住的是「下一個指令該下什麼」或「下一類跡證該看哪裡」,這個 skill 就特別有用。

實際安裝與環境注意事項

這個 skill 會提到 Volatility 3,因此你需要預先規劃:

  • Python 環境管理
  • symbols 可用性,尤其是 Windows
  • 大型記憶體映像所需的儲存空間
  • live system 擷取時與權限相關的限制
  • raw dump、ELF 類型擷取,以及 hypervisor 輸出之間的格式差異

實務上,很多第一次執行失敗的原因是環境問題,而不是分析本身有問題。如果你希望代理人幫忙排除,請明確告訴它到底是哪裡失敗:安裝錯誤、symbol 問題、不支援的格式,還是 plugin 不相容。

能明顯提升輸出品質的技巧

若要讓代理人把 memory-forensics 用得更到位,可以這樣問:

  • 要求逐條指令的工作流程,而不是只談概念
  • 要它區分「先做 triage」與「後續深入分析」的檢查項目
  • 提供已知可疑的 process 名稱或 IP,讓它建立 pivot
  • 要求列出預期輸出,以及異常結果應如何解讀
  • 要它標示哪些地方 Volatility 3 可能需要 symbols,或某個 plugin 可能不適用你的 OS

這些提問方式可以減少空泛建議,迫使這個 skill 進入實戰模式。

這個 memory-forensics 技能不會自動化哪些事

這不是一套打包好的鑑識平台。memory-forensics 技能本身不會附帶:

  • acquisition binaries
  • 整理好的 symbol bundles
  • 驗證腳本
  • chain-of-custody 工具
  • 一鍵式報告產生功能

如果你需要端到端自動化,請把這個 skill 視為分析指引與指令骨架,而不是取代既有鑑識工具組。

memory-forensics 技能常見問題

這個 memory-forensics 技能適合初學者嗎?

適合,但前提是你已經理解基本命令列操作,並知道什麼是記憶體映像。這個 skill 提供了足夠的結構讓你開始上手,但它無法取代你對平台、工具可用性與調查目標的基本掌握。若是完全新手,Volatility 安裝與 symbols 處理仍可能需要外部協助。

什麼時候 memory-forensics 技能會比一般 prompt 更適合?

當你希望代理人維持在鑑識工作流程內思考時,就應該用 memory-forensics 技能:擷取、triage、artifact extraction,以及偏向惡意程式分析的 pivot。一般 prompt 容易給出模糊建議;這個 skill 則更有機會提出貼近實務的工具、指令與調查順序。

安裝這個 memory-forensics 會包含像 Volatility 這類工具嗎?

不會。memory-forensics 安裝加入的是 skill 指引,不是鑑識 binary。像 volatility3 這類工具仍需要你自行安裝並驗證可正常使用。

我可以用它來取得 live memory acquisition 的指引嗎?

可以。原始內容明確涵蓋 Windows、Linux、macOS 的 live acquisition 方法,以及 virtual machine 記憶體擷取。不過,在 production 或可能不穩定的主機上收集 RAM 之前,你仍應自行確認操作風險。

它適合拿來做惡意程式分析嗎?

適合。當惡意程式只有透過注入程式碼、解包後 payload、可疑 modules,或 live process 跡證才看得出來時,這個 skill 很合適。特別是在以磁碟為主的掃描結果不完整時,它更有價值。

什麼情況下不該使用這個 memory-forensics 技能?

以下情況就不建議使用這份 memory-forensics 指南:

  • 你沒有記憶體映像,也無法進行擷取
  • 你的任務純粹是磁碟鑑識或 SIEM 檢閱
  • 你需要的是法庭等級的程序文件,而不是分析指引
  • 你期待的是不需工具設定與操作人員輸入的自動化解析

它只適用於 Windows 分析嗎?

不是。這個 skill 涵蓋 Windows、Linux、macOS,以及 VM 記憶體擷取路徑。不過,實務深度通常仍取決於你手上工具與 symbols 的完整度,因此請儘早告知代理人你的目標平台。

如何改善 memory-forensics 技能的使用效果

先給代理人更完整的鑑識情境

想提升 memory-forensics 輸出品質,最快的方法就是一開始就提供更完整的證據背景。請包含:

  • 精確檔名與格式
  • 擷取來源
  • OS 類型
  • 懷疑行為
  • 已知 IOC
  • 你已經嘗試過的步驟

這能幫助代理人挑選正確的 plugins、分析順序與 pivot,而不是產出一份泛用檢查清單。

要求「優先順序」,不要只要「完整列舉」

常見失敗模式之一,是拿到一大串可能檢查項目,卻沒有 triage 順序。你可以要求 memory-forensics 技能將步驟分級為:

  • 立即 triage
  • 高價值後續追查
  • 可選的深入分析

在事件回應情境下,這種格式會實用得多。

強制要求解讀 command output

不要只要求指令,也要要求它說明什麼樣的輸出算可疑。例如:

  • 不尋常的 parent-child process chain
  • 隱藏程序,或已終止但仍殘留於記憶體中的程序
  • 異常的 network listener
  • LSASS access 的跡象
  • 未簽章或位置異常的 modules

相較於單純的指令清單,輸出解讀指引才是這個 skill 更能發揮價值的地方。

用範圍限制來改善 prompt 品質

好的 prompt 會先定義限制條件,例如:

  • 「Windows only」
  • 「Volatility 3 only」
  • 「No internet access for symbol downloads」
  • 「Need findings in under 30 minutes」
  • 「Focus on credential theft and C2」

這些限制會讓 memory-forensics 建議更貼近現實,也更容易直接執行。

第一輪輸出後要繼續迭代

收到第一輪回覆後,把實際發現再餵給代理人,例如:

  • 可疑 PIDs
  • module 名稱
  • IP addresses
  • process command lines
  • 抽取出的檔名
  • plugin 錯誤訊息

接著再要求下一步 pivot。當 memory-forensics 技能能從廣泛 triage 縮小到以證據驅動的後續追查時,實用性會明顯提升。

留意常見失敗模式

常見問題包括:

  • 對 OS profile 或 symbols 做了錯誤假設
  • 在 dump 已經存在時,仍建議進行 acquisition 步驟
  • 過度偏向完整列舉,而不是 triage 優先
  • 只給 plugins,卻沒解釋它們為何重要
  • 忽略檔案格式或 hypervisor 情境

要降低這些問題,最有效的方法就是清楚說明你目前所處階段:acquisition、setup、baseline triage、malware hunt,或 extraction。

把這個 skill 當成工作流程範本使用

實務上,要把這份 memory-forensics 指南用得更好,其中一個最佳做法就是在不同案件間重複使用它的結構。你可以要求代理人把這個 skill 轉成:

  • triage checklist
  • 針對個案的 runbook
  • 團隊可重複使用的 prompt template
  • 帶有 image path、host 與 IOC set 佔位符的 command plan

這樣就能把一次性的回答,轉成可重複使用的事件回應資產。

評分與評論

尚無評分
分享你的評論
登入後即可為這項技能評分並留言。
G
0/10000
最新評論
儲存中...