恶意软件分析

analyzing-cobaltstrike-malleable-c2-profiles 可帮助将 Cobalt Strike Malleable C2 profiles 解析为 C2 indicators、规避特征和检测思路，适用于 malware analysis、threat hunting 和 Security Audit 工作流。它使用 dissect.cobaltstrike 和 pyMalleableC2 进行 profile 与 beacon config 分析。

analyzing-android-malware-with-apktool 是一项面向 Android APK 恶意软件的静态分析技能。它结合 apktool、jadx 和 androguard，用于解包应用、检查 manifest 和权限、还原接近源码的代码，并提取可疑 API 和 IOCs，服务于恶意软件分析。

detecting-rootkit-activity 是一项 Malware Analysis 技能，用于发现 rootkit 迹象，例如隐藏进程、被 hook 的系统调用、被篡改的内核结构、隐藏模块以及隐蔽的网络痕迹。它通过交叉视图比对和完整性检查，帮助在标准工具结果不一致时验证可疑主机。

analyzing-bootkit-and-rootkit-samples 是一款用于分析 MBR、VBR、UEFI 和 rootkit 的恶意软件分析技能。可用于检查引导扇区、固件模块以及反 rootkit 迹象，适合在恶意入侵持续滞留于 OS 层以下时进行排查。它适合需要实用指南、清晰流程和基于证据的 Malware Analysis 分诊的分析人员。

detecting-mobile-malware-behavior 技能会分析可疑的 Android 和 iOS 应用，检查权限滥用、运行时活动、网络指标以及类似恶意软件的行为模式。可用于分诊、事件响应，以及面向 Security Audit 工作流的 detecting-mobile-malware-behavior，提供有证据支撑的移动端分析。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

analyzing-ransomware-payment-wallets 是一项只读的区块链取证技能，用于追踪勒索软件支付钱包、沿资金流向分析，并对相关地址进行聚类，以支持安全审计和事件响应。适用于你手头有 BTC 地址、交易哈希或可疑钱包，并需要有证据支撑的归因辅助时。

用于恶意软件分析的 analyzing-ransomware-encryption-mechanisms 技能，重点识别勒索软件的加密方式、密钥处理和解密可行性。可用来检查 AES、RSA、ChaCha20、混合方案以及可能支持恢复的实现缺陷。

analyzing-ransomware-leak-site-intelligence 可帮助监控勒索软件数据泄露站点，提取受害者与团伙信号，并生成结构化威胁情报，用于事件响应、行业风险研判和对手追踪。

analyzing-malware-sandbox-evasion-techniques 可帮助恶意软件分析师查看 Cuckoo 和 AnyRun 的行为，重点排查时间检测、VM 痕迹查询、用户交互门槛和 sleep inflation。它专为恶意软件分析流程中的聚焦型 analyzing-malware-sandbox-evasion-techniques 场景而设计，用于判断样本是否在躲避沙箱。

analyzing-malware-persistence-with-autoruns 是一个面向恶意软件分析的 Sysinternals Autoruns 技能。它帮助你用可重复的工作流检查 Windows 持久化点，包括 Run 键、服务、计划任务、Winlogon、驱动和 WMI，并结合 CSV 导出、可疑项审查和可直接写进报告的结论，完成分析。

面向恶意软件分析的 extracting-iocs-from-malware-samples 技能指南：从样本中提取哈希、IP、域名、URL、主机工件和验证线索，用于威胁情报与检测。

extracting-config-from-agent-tesla-rat 技能，面向恶意代码分析：提取 Agent Tesla .NET 配置、SMTP/FTP/Telegram 凭据、键盘记录器设置和 C2 端点，并提供可重复的工作流指引。

eradicating-malware-from-infected-systems 是一项面向网络安全事件响应的技能，用于在隔离完成后清除恶意软件、后门和持久化机制。它提供工作流程指导、参考文件，以及用于 Windows 和 Linux 清理、凭据轮换、根因修复和验证的脚本。

detecting-stuxnet-style-attacks 技能可帮助防守方检测类似 Stuxnet 的 OT 和 ICS 入侵模式，包括 PLC 逻辑篡改、伪造传感器数据、工程师工作站被入侵，以及 IT 到 OT 的横向移动。可用于威胁狩猎、事件分诊和工艺完整性监控，并结合协议、主机和进程证据进行分析。

detecting-ransomware-encryption-behavior 帮助防御者通过熵分析、文件 I/O 监控和行为启发式规则识别勒索软件式加密行为。它适用于事件响应、SOC 调优和红队验证，能在你需要快速发现批量文件变更、连续重命名和可疑进程活动时派上用场。

detecting-process-injection-techniques 可帮助分析可疑的内存驻留行为、验证 EDR 告警，并识别进程空洞化、APC 注入、线程劫持、反射式加载以及传统 DLL 注入，适用于安全审计和恶意软件分流。

analyzing-packed-malware-with-upx-unpacker 是一款恶意软件分析技能，用于识别被 UPX 加壳的样本、处理被修改的 UPX 头部，并恢复原始可执行文件以便在 Ghidra 或 IDA 中进行静态审查。当 `upx -d` 失败，或你需要更快完成 UPX 加壳检查和解包流程时，可以使用它。

analyzing-memory-dumps-with-volatility 是一个用于 Volatility 3 的内存取证技能，适合在 Windows、Linux 或 macOS 的 RAM dump 中进行恶意软件初筛、隐藏进程、注入、网络活动和凭证分析。当你需要一份可重复执行的 analyzing-memory-dumps-with-volatility 指南，用于事件响应和恶意软件分析时，它会很有用。

analyzing-malicious-pdf-with-peepdf 是一项面向可疑 PDF 的静态恶意软件分析技能。可使用 peepdf、pdfid 和 pdf-parser 对钓鱼附件进行初步研判，检查对象，提取内嵌 JavaScript 或 shellcode，并在不执行文件的情况下安全审查可疑流。

analyzing-macro-malware-in-office-documents 帮助恶意软件分析师检查 Word、Excel 和 PowerPoint 文件中的恶意 VBA，解码混淆，并提取 IOC、执行路径和载荷分阶段逻辑，适用于钓鱼分流、事件响应和文档恶意软件分析。

analyzing-linux-kernel-rootkits 可帮助 DFIR 和威胁狩猎流程通过 Volatility3 的 cross-view 检查、rkhunter 扫描，以及 /proc 与 /sys 对比分析，发现隐藏模块、被劫持的系统调用和被篡改的内核结构。它是一个面向取证初筛的实用 analyzing-linux-kernel-rootkits 指南。

analyzing-golang-malware-with-ghidra 帮助分析人员在 Ghidra 中对 Go 编译的恶意软件进行逆向分析，覆盖函数恢复、字符串提取、构建元数据和依赖映射等工作流。analyzing-golang-malware-with-ghidra 适合恶意软件初筛、事件响应和安全审计中需要实用 Go 专项分析步骤的场景。

analyzing-linux-elf-malware 可帮助分析可疑的 Linux ELF 二进制文件，用于恶意软件分析，涵盖架构检查、字符串、导入项、静态初筛，以及对僵尸网络、挖矿程序、rootkit、勒索软件和容器威胁的早期识别。