analyzing-powershell-script-block-logging
作者 mukul975analyzing-powershell-script-block-logging 技能用于解析 Windows PowerShell Script Block Logging 的 Event ID 4104(来自 EVTX 文件),重建被拆分的脚本块,并标记混淆命令、编码载荷、Invoke-Expression 滥用、下载器手法以及 AMSI 绕过尝试,适合安全审计工作。
该技能评分为 78/100,属于适合目录用户的扎实候选项,尤其适合需要聚焦 PowerShell Script Block Logging 分析流程的人。相比通用提示词,它的范围更明确,事件/日志目标和检测目标都很清楚;不过,在做安装决策时,也要考虑它在操作细节和上手引导方面还有一定缺口。
- 该技能明确聚焦 PowerShell Event ID 4104 分析,并给出了具体的检测目标,如混淆、编码命令、IEX 滥用、下载器手法和 AMSI 绕过尝试。
- 它包含了实用的工作流证据:使用 python-evtx 解析 EVTX、重建拆分的脚本块,以及用于 XML 结构和检测模式的参考资料。
- 脚本文件和参考文档表明它有真实的实现支撑,而不是只有占位描述的技能。
- SKILL.md 中没有提供安装命令,因此用户可能需要根据说明和脚本自行推断安装步骤和依赖项。
- 仓库证据显示其渐进式披露有限、约束也较少;如果用户要做更广泛的 SOC 自动化或非 Windows 日志分析,可能需要自行适配。
analyzing-powershell-script-block-logging 技能概览
这个技能能做什么
analyzing-powershell-script-block-logging 技能可以帮助你从 EVTX 文件中解析 Windows PowerShell Script Block Logging 事件(Event ID 4104),重建被拆分的 script block,并标记常见恶意模式,例如 -EncodedCommand、Invoke-Expression、下载器行为、AMSI 绕过尝试,以及其他“living-off-the-land” 技术。
适合谁使用
它非常适合 SOC 分析师、威胁狩猎人员、DFIR 从业者,以及任何需要对 Windows 终端或服务器日志做 Security Audit 的人。如果你想用遥测数据建立一套可重复的 PowerShell 活动审查方法,而不是只凭一条命令行去猜,这个技能会很有用。
它有什么不同
analyzing-powershell-script-block-logging 技能不只是一个泛泛的“检查日志”提示词。它是围绕 Event 4104 的结构、多段重建,以及仓库脚本和参考资料里的检测导向启发式规则构建的。相比宽泛的 PowerShell 分析提示词,这让它在事件分诊时更实用。
如何使用 analyzing-powershell-script-block-logging 技能
安装并定位核心文件
使用以下命令安装:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-powershell-script-block-logging
为了最快上手,先读 skills/analyzing-powershell-script-block-logging/SKILL.md,然后读 references/api-reference.md,最后读 scripts/agent.py。这三个文件会展示预期的日志结构、解析方式和检测逻辑。
传给技能正确的输入
这个技能在你提供这些信息时效果最好:EVTX 源文件、事件背景、时间窗口,以及你想做出的判断。弱一些的提问是“分析这个日志”。更强的提示词是:Use analyzing-powershell-script-block-logging on Microsoft-Windows-PowerShell%4Operational.evtx from 2024-01-15 10:00–11:00 UTC and identify any Event ID 4104 entries with obfuscation, encoded payloads, or downloader behavior.
使用与仓库匹配的工作流
先确认是否存在 Event 4104,再重建任何多段 ScriptBlockId 分组,然后检查可疑模式,并把发现结果回溯到原始 ScriptBlockText。如果你是在做用于 Security Audit 的 analyzing-powershell-script-block-logging 工作流,除了 detections 之外,还要让它给出 coverage gaps:哪些被标记了,哪些没有被标记,以及哪些命令需要人工复核。
按顺序阅读参考资料
references/api-reference.md 最适合理解字段名,例如 ScriptBlockText、ScriptBlockId、MessageNumber 和 MessageTotal。scripts/agent.py 则适合查看实际的模式集合、置信度逻辑,以及这个技能把哪些 PowerShell 行为视为高风险。
analyzing-powershell-script-block-logging 技能 FAQ
这只适合事件响应吗?
不是。它同样适合基线加固、检测工程和控制验证。如果你的目标是理解 PowerShell 遥测如何支撑检测,即使没有正在发生的事件,analyzing-powershell-script-block-logging 指南也依然有帮助。
能把它当作普通提示词,而不是技能来用吗?
可以,但输出通常不会那么稳定。这个技能提供了一条结构化路径:解析 Event 4104 数据、重建被拆分的块,并对照已知可疑模式检查,这比直接让通用模型“找恶意 PowerShell”更可靠。
主要限制是什么?
它依赖 Script Block Logging 已启用,并且 EVTX 文件里确实包含相关事件。它也偏向检测导向,所以一些看起来正常但不常见的管理脚本可能会被提出来,仍然需要分析师判断。
对新手友好吗?
如果你了解基本的 Windows 日志概念,并且能提供日志文件或明确场景,那它是友好的。如果你不知道 PowerShell Operational 日志从哪里来,或者无法确认是否采集到了 Event 4104,它就不太适合。
如何改进 analyzing-powershell-script-block-logging 技能
提供会改变分析结果的上下文
提升效果最大的方式,是补充主机角色、用户上下文和精确时间范围。比如“域控、管理员账号、14:20–14:40 UTC、钓鱼后分诊”就远比单独给一个原始 EVTX 路径更有价值。
同时要求发现结果和重建结果
想更好地使用 analyzing-powershell-script-block-logging,建议明确要求输出重建后的脚本、可疑指标,以及每个命中的简短理由。这样能迫使结果把碎片拼回完整的 PowerShell 故事,而不是只列出孤立标记。
注意常见失败模式
最常见的遗漏包括:script block 被截断、分段 payload 没有按顺序重组,以及把正常自动化过度自信地判成恶意。如果第一次结果看起来很薄,要求技能重新检查 MessageNumber 的顺序、对比重复的 ScriptBlockId 值,并把“可疑”和“已确认”分开。
用有针对性的后续提示词继续迭代
一个很强的第二轮提示词是:Re-rank the 4104 events by likelihood of malicious use, explain which detections were driven by -EncodedCommand, FromBase64String, or downloader behavior, and note any benign admin scripts that look similar. 这种迭代方式能让 analyzing-powershell-script-block-logging 技能在 Security Audit 决策和分析师快速复核中更有用。