Reverse Engineering

memory-forensics skill 適用於 RAM 擷取與記憶體傾印分析，搭配 Volatility 3 進行調查。內容涵蓋安裝前評估、實際使用流程、artifact 擷取，以及 Windows、Linux、macOS 與 VM 記憶體的事件分流與初步研判。

protocol-reverse-engineering 可協助代理透過 Wireshark、tshark、tcpdump 與 MITM 流程，擷取、檢視並整理未知網路協定。特別適合用於除錯自訂 client/server 流量、分析 PCAP，以及釐清訊息結構、請求流程與欄位意義。

anti-reversing-techniques 是一項用於授權情境下逆向工程的技能，適合惡意程式分析、CTF 題目處理、加殼二進位檔初步研判與安全稽核。它可協助你辨識 anti-debugging、anti-VM、packing 與 obfuscation 等常見模式，並結合核心技能與進階參考資料，選擇務實可行的分析流程。

binary-analysis-patterns 是一項逆向工程技能，專門用來解讀 x86-64 反組譯、呼叫慣例、堆疊框架與控制流程，協助更快速完成二進位檢視與 Security Audit 工作。

analyzing-supply-chain-malware-artifacts 是一個用於追查木馬化更新、遭投毒的依賴項與建置流程竄改的惡意軟體分析技能。可用來比對可信與不可信的工件、擷取指標、評估受影響範圍，並以更少猜測完成回報。

analyzing-ransomware-encryption-mechanisms 惡意程式分析技能，重點在辨識勒索軟體的加密方式、金鑰處理與解密可行性。可用來檢視 AES、RSA、ChaCha20、混合式方案，以及可能有助於資料復原的實作缺陷。

這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式，並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動，適用於數位鑑識。

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

analyzing-windows-prefetch-with-python 會使用 windowsprefetch 解析 Windows Prefetch（.pf）檔案，重建執行歷史、找出重新命名或偽裝的二進位檔，並支援事件初步分流與惡意程式分析。

analyzing-uefi-bootkit-persistence 協助調查 UEFI 層級的持久化，包括 SPI flash 置入、ESP 竄改、Secure Boot 規避，以及可疑的 UEFI 變數變更。它適用於韌體初步分流、事件回應，以及針對 Security Audit 工作所需的 analyzing-uefi-bootkit-persistence 分析，提供務實、以證據為本的指引。

analyzing-command-and-control-communication 可協助分析惡意軟體 C2 流量，辨識 beacon 行為、解碼指令、繪製基礎架構關聯，並以 PCAP 證據與實用工作流程指引，支援 Security Audit、威脅狩獵與惡意軟體初步分流。