Malware

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

analyzing-supply-chain-malware-artifacts 是一個用於追查木馬化更新、遭投毒的依賴項與建置流程竄改的惡意軟體分析技能。可用來比對可信與不可信的工件、擷取指標、評估受影響範圍，並以更少猜測完成回報。

analyzing-ransomware-payment-wallets 是一個唯讀的區塊鏈鑑識技能，用於追蹤勒索軟體收款錢包、追查資金流向，並對相關地址進行群聚分析，以支援資安稽核與事件應變。當你手上有 BTC 地址、交易雜湊或可疑錢包，且需要有證據基礎的歸因支援時，這項技能特別適合。

analyzing-ransomware-encryption-mechanisms 惡意程式分析技能，重點在辨識勒索軟體的加密方式、金鑰處理與解密可行性。可用來檢視 AES、RSA、ChaCha20、混合式方案，以及可能有助於資料復原的實作缺陷。

analyzing-ransomware-leak-site-intelligence 可用來監控勒索軟體資料外洩站、擷取受害者與團伙訊號，並產出結構化威脅情資，支援事件應變、產業風險檢視與對手追蹤。

extracting-iocs-from-malware-samples 的惡意程式分析技能指南：從樣本中擷取雜湊、IP、網域、URL、主機痕跡與驗證線索，用於威脅情報與偵測。

eradicating-malware-from-infected-systems 是一項資安事件應變技能，用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案，以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

analyzing-packed-malware-with-upx-unpacker 是一個惡意程式分析技能，可用來辨識 UPX 打包樣本、處理經過修改的 UPX 標頭，並將原始可執行檔還原以便在 Ghidra 或 IDA 中進行靜態檢視。當 `upx -d` 失敗，或你需要更快的 UPX 打包檢查與解包流程時，就很適合用它。

analyzing-memory-dumps-with-volatility 是一個 Volatility 3 技能，適用於記憶體鑑識、惡意程式初步篩查、隱藏程序、注入、網路活動，以及 Windows、Linux 或 macOS RAM dump 中的憑證分析。當你需要一份可重複使用的 analyzing-memory-dumps-with-volatility 指南，來支援事件應變與惡意程式分析時，就適合使用它。

analyzing-macro-malware-in-office-documents 可協助惡意程式分析人員檢視 Word、Excel 與 PowerPoint 檔案中的惡意 VBA，解碼混淆，並擷取 IOCs、執行路徑與 payload staging 邏輯，適合用於釣魚郵件分流、事件回應與文件惡意程式分析。

analyzing-golang-malware-with-ghidra 可協助分析人員在 Ghidra 中逆向 Go 編譯的惡意軟體，提供函式還原、字串擷取、建置中繼資料與依賴關係映射等工作流程。這個 analyzing-golang-malware-with-ghidra 技能特別適合惡意程式初步判讀、事件回應，以及需要實用 Go 專屬分析步驟的 Security Audit 任務。

analyzing-linux-elf-malware 協助分析可疑的 Linux ELF 二進位檔，用於惡意軟體分析；涵蓋架構檢查、strings、imports、靜態初步篩查，以及辨識殭屍網路、挖礦程式、rootkit、勒索軟體與容器威脅的早期徵兆。

detecting-fileless-malware-techniques 技能支援惡意程式分析工作流程，用來調查透過 PowerShell、WMI、.NET reflection、登錄檔常駐 payload 與 LOLBins 在記憶體中執行的無檔案惡意程式。適合用來把可疑警示轉成有證據支撐的初步分流、偵測構想與後續狩獵方向。

deobfuscating-javascript-malware 可協助分析師把高度混淆的惡意 JavaScript 還原成可讀程式碼，適用於惡意軟體分析、釣魚頁面、web skimmer、dropper，以及透過瀏覽器投遞的 payload。當問題不是單純壓縮 minify，而是需要有條理地去混淆、追蹤解碼流程並進行受控檢視時，這個 deobfuscating-javascript-malware 技能就很適合使用。

conducting-malware-incident-response 可協助 IR 團隊分流可疑惡意軟體、確認是否感染、判定擴散範圍、隔離端點，並支援清除與復原。此技能專為 conducting-malware-incident-response 的 Incident Response 工作流程而設計，提供有證據基礎的步驟、以遙測為依據的判斷，以及實用的封鎖與隔離指引。

building-c2-infrastructure-with-sliver-framework 協助經授權的紅隊與資安稽核工作規劃、安裝並使用以 Sliver 為基礎的 C2 基礎架構，涵蓋 redirectors、HTTPS listeners、operator 存取與韌性檢查。內容包含實用操作指南、workflow 檔案，以及用於部署與驗證的 repo scripts。

analyzing-windows-registry-for-artifacts 可協助分析人員從 Windows Registry hive 中擷取證據，用來辨識使用者活動、已安裝軟體、Autoruns、USB 歷史，以及入侵跡象，支援事件回應或 Security Audit 工作流程。

使用 analyzing-threat-landscape-with-misp 技能透過 MISP 分析威脅態勢。它會整理事件統計、IoC 分布、威脅行為者與惡意軟體趨勢，以及時間變化，協助撰寫 Threat Intelligence 報告、SOC 簡報與威脅狩獵優先順序。

analyzing-pdf-malware-with-pdfid 是一個 PDF 惡意程式初步判讀技能，可在開啟檔案前偵測內嵌 JavaScript、利用程式標記、物件串流、附件與可疑動作。它支援惡意 PDF 調查、事件應變與分析流程中的靜態分析，適合用於 Security Audit 工作流中的 analyzing-pdf-malware-with-pdfid。

analyzing-network-traffic-of-malware 可協助檢視來自沙箱執行或事件應變的 PCAP 與遙測資料，找出 C2、資料外傳、payload 下載、DNS 隧道與偵測靈感。這是一份實用的 analyzing-network-traffic-of-malware 指南，適合 Security Audit 與惡意程式初步分流。

analyzing-command-and-control-communication 可協助分析惡意軟體 C2 流量，辨識 beacon 行為、解碼指令、繪製基礎架構關聯，並以 PCAP 證據與實用工作流程指引，支援 Security Audit、威脅狩獵與惡意軟體初步分流。