逆向工程

analyzing-android-malware-with-apktool 是一项面向 Android APK 恶意软件的静态分析技能。它结合 apktool、jadx 和 androguard，用于解包应用、检查 manifest 和权限、还原接近源码的代码，并提取可疑 API 和 IOCs，服务于恶意软件分析。

exploiting-insecure-deserialization 技能可帮助经过授权的渗透测试人员识别序列化输入，匹配 Java、PHP、Python 和 .NET 目标，并以安全方式验证是否可被利用。它提供工作流指引、检测线索和工具参考，便于开展有针对性的测试。

analyzing-malware-sandbox-evasion-techniques 可帮助恶意软件分析师查看 Cuckoo 和 AnyRun 的行为，重点排查时间检测、VM 痕迹查询、用户交互门槛和 sleep inflation。它专为恶意软件分析流程中的聚焦型 analyzing-malware-sandbox-evasion-techniques 场景而设计，用于判断样本是否在躲避沙箱。

面向恶意软件分析的 extracting-iocs-from-malware-samples 技能指南：从样本中提取哈希、IP、域名、URL、主机工件和验证线索，用于威胁情报与检测。

extracting-config-from-agent-tesla-rat 技能，面向恶意代码分析：提取 Agent Tesla .NET 配置、SMTP/FTP/Telegram 凭据、键盘记录器设置和 C2 端点，并提供可重复的工作流指引。

analyzing-packed-malware-with-upx-unpacker 是一款恶意软件分析技能，用于识别被 UPX 加壳的样本、处理被修改的 UPX 头部，并恢复原始可执行文件以便在 Ghidra 或 IDA 中进行静态审查。当 `upx -d` 失败，或你需要更快完成 UPX 加壳检查和解包流程时，可以使用它。

analyzing-memory-dumps-with-volatility 是一个用于 Volatility 3 的内存取证技能，适合在 Windows、Linux 或 macOS 的 RAM dump 中进行恶意软件初筛、隐藏进程、注入、网络活动和凭证分析。当你需要一份可重复执行的 analyzing-memory-dumps-with-volatility 指南，用于事件响应和恶意软件分析时，它会很有用。

analyzing-malicious-pdf-with-peepdf 是一项面向可疑 PDF 的静态恶意软件分析技能。可使用 peepdf、pdfid 和 pdf-parser 对钓鱼附件进行初步研判，检查对象，提取内嵌 JavaScript 或 shellcode，并在不执行文件的情况下安全审查可疑流。

analyzing-golang-malware-with-ghidra 帮助分析人员在 Ghidra 中对 Go 编译的恶意软件进行逆向分析，覆盖函数恢复、字符串提取、构建元数据和依赖映射等工作流。analyzing-golang-malware-with-ghidra 适合恶意软件初筛、事件响应和安全审计中需要实用 Go 专项分析步骤的场景。

analyzing-linux-elf-malware 可帮助分析可疑的 Linux ELF 二进制文件，用于恶意软件分析，涵盖架构检查、字符串、导入项、静态初筛，以及对僵尸网络、挖矿程序、rootkit、勒索软件和容器威胁的早期识别。