detecting-process-hollowing-technique
作者 mukul975detecting-process-hollowing-technique 通过关联挂起启动、内存篡改、父子进程异常和 API 证据,帮助在 Windows telemetry 中狩猎进程空洞化(T1055.012)。面向威胁狩猎、检测工程和响应人员,适合作为 Threat Hunting 工作流中实用的 detecting-process-hollowing-technique。
该技能评分为 81/100,说明它是一个适合目录收录的稳健条目,尤其适合正在狩猎进程空洞化(T1055.012)的用户。仓库提供了足够的操作细节,便于 agent 判断何时使用它、按检测工作流执行,并结合支持脚本与参考资料完成任务,整体上无需太多猜测,但它仍更偏向检测思路,而不是开箱即用的全自动方案。
- 触发性强:SKILL.md 明确指向进程空洞化检测,并点出了 EDR 告警、内存威胁、purple-team 验证等具体场景。
- 操作支撑完善:仓库包含多阶段工作流,并提供 Sysmon、MDE/KQL、Splunk SPL 以及 API 序列上下文等配套参考。
- 便于 agent 落地:脚本和模板提供了可执行的起点,用于 Sysmon 日志分析和狩猎文档编写,而不只是叙述性说明。
- SKILL.md 中没有安装命令,因此用户可能需要自行推断如何将脚本和依赖真正落地运行。
- 部分工作流内容在证据中被截断,而且该技能明显以 Windows telemetry 为中心,因此在该环境之外适配性有限。
detecting-process-hollowing-technique 技能概览
detecting-process-hollowing-technique 技能帮助你在 Windows 监测数据中通过关联进程创建、内存篡改和父子进程异常,来排查进程空洞化(process hollowing,MITRE ATT&CK T1055.012)。它更适合威胁猎手、检测工程师和事件响应人员,尤其是需要一套实用的 detecting-process-hollowing-technique for Threat Hunting 工作流,而不是对进程注入做泛泛说明的人。
这个技能是做什么的
当你需要判断一个可疑进程是不是真的被空洞化,而不只是“行为异常”时,就该用这个技能。它关注的是运维上真正有用的信号:挂起状态下创建进程、镜像不匹配、远程内存写入,以及线程恢复后的异常执行流。
它在真实排查中的价值
detecting-process-hollowing-technique skill 的核心价值在于结构化。它不是让你从单一告警出发盲查,而是给你一条清晰链路:先找候选进程,再对照 Windows 预期的父子关系做验证,最后用内存和 API 级证据确认。这样可以减少把良性服务行为误判成恶意的情况,也能更容易区分“怪异”与“恶意”。
它为什么与众不同
当你手头有 EDR 或 Sysmon 监测数据,并且需要的是面向检测的工作流时,这个技能最有优势。相比一段简单提示词,它更有用,因为它已经体现了进程空洞化常见链路,以及一个常见取舍:想要更高置信度,就必须有更好的进程与内存可见性。若你只有网络日志,这个技能给不出足够证据。
如何使用 detecting-process-hollowing-technique 技能
安装并加载它
安装命令:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-process-hollowing-technique
然后先打开 skills/detecting-process-hollowing-technique/SKILL.md。如果你想了解排查逻辑背后的操作上下文,在自己的环境中运行该技能前,也建议先读 references/standards.md 和 references/workflows.md。
先提供合适的输入
这个技能最适合的提示信息,应该包含遥测来源、简短怀疑点说明和时间窗口。例如: “分析主机 X 上 14:30 UTC 之后 svchost.exe 的可疑启动,检查 Sysmon Event IDs 1、8、10 和 25 是否存在进程空洞化迹象。” 这比“帮我查恶意软件”更有效,因为它给了模型明确的排查目标和验证路径。
推荐工作流
- 用这个技能从 Sysmon 或 EDR 中缩小候选进程范围。
- 对照 Windows 基线验证父子进程关系。
- 检查空洞化指示器:挂起启动、unmap/write/redirect 序列,以及篡改事件。
- 如果有内存证据,进一步确认。
- 使用
assets/template.md作为报告结构,把结果整理成排查笔记或检测规则。
优先先读哪些文件
在 detecting-process-hollowing-technique usage 场景下,建议优先查看:
SKILL.md:排查逻辑和前置条件references/api-reference.md:API 序列和 Splunk 示例查询references/workflows.md:Sysmon 和 MDE 示例assets/template.md:如何清晰记录发现scripts/agent.py和scripts/process.py:如果你想自动化事件解析或初筛
detecting-process-hollowing-technique 技能 FAQ
这个技能只适合高级分析师吗?
不。detecting-process-hollowing-technique guide 对已经理解基础 Windows 进程概念的初学者也很友好。你确实需要足够的上下文,才能区分正常服务行为和可疑注入模式,但这个技能会给你一条可执行的排查路径,而不是默认你已经掌握深度逆向知识。
我需要 EDR 或 Sysmon 吗?
最好有。这个技能在 Sysmon 和 EDR 遥测下最强,因为进程空洞化往往不会直接暴露在基础终端日志里。如果没有进程创建、篡改或内存相关遥测,你通常只能得到一个弱怀疑,而不是可以站得住脚的结论。
它和普通提示词有什么不同?
普通提示词往往只是泛泛讲解进程空洞化。而这个技能更偏向决策:它会推动你去做具体检查、对照预期的父子进程基线,并寻找能够支持或否定 T1055.012 的证据。这样通常能输出更好的分诊结果,也更少出现空泛回答。
什么时候不该用它?
如果你的案例主要是浏览器利用、宏恶意软件,或者没有进程注入证据的通用持久化场景,就不要用 detecting-process-hollowing-technique。当你缺少终端遥测、只需要高层事件摘要时,它也不合适。
如何改进 detecting-process-hollowing-technique 技能
提供更强的遥测上下文
提升质量最大的办法,就是提供更好的输入数据。加入操作系统版本、日志来源、事件 ID,以及一两个可疑进程名。例如: “Windows 11,Sysmon 13,Event 1 和 25,svchost.exe 由 cmd.exe 启动,随后在 14:31 出现篡改告警。” 这样可以帮助模型更准确地锚定检测路径。
同时要求结论和证据
如果你想要真正有用的输出,就同时要求结论和证据链。一个更好的请求方式是: “判断进程空洞化的可能性,列出支持性指示器,并说明还缺少哪些证据。” 这样能迫使结果把已确认发现和推测分开。
注意常见失败模式
最常见的错误,是仅凭父子进程不匹配就过度认定为空洞化。另一个错误,是把任何挂起进程都当作恶意。要改进结果,就要提供父子进程的基线预期、已知正常的管理员行为,以及当前是否有内存证据还是只有事件日志。
先跑一轮,再迭代
先用第一轮答案找出缺口,再把这些缺口补齐后重新运行技能。如果输出仍然偏保守,就补充进程哈希、命令行、加载模块,以及 CreateProcess、WriteProcessMemory 和 ResumeThread 之间的时间差。这样就能把一段泛化的 detecting-process-hollowing-technique skill 响应,变成更有依据的检测结论或排查笔记。