detecting-rootkit-activity
作者 mukul975detecting-rootkit-activity 是一项 Malware Analysis 技能,用于发现 rootkit 迹象,例如隐藏进程、被 hook 的系统调用、被篡改的内核结构、隐藏模块以及隐蔽的网络痕迹。它通过交叉视图比对和完整性检查,帮助在标准工具结果不一致时验证可疑主机。
这项技能得分 78/100,属于扎实但还不是顶级的条目:目录用户可以获得一套可信的 rootkit 检测工作流,具备足够的实操细节,值得安装;但也要预期它对外部取证工具有一定依赖,且技能内缺少安装命令。
- 对 rootkit 检测、隐藏进程发现、内核完整性检查和系统调用 hook 分析有明确的触发价值。
- 实操内容比较充实:交叉视图检测步骤、Volatility 3 命令,以及 Linux/Windows 工具覆盖,足以支持实际代理执行。
- 仓库里包含一个看起来可直接运行的脚本和一个参考文件,比纯 Markdown 技能更有操作空间。
- SKILL.md 中没有安装命令,因此用户可能需要手动配置执行方式和依赖。
- 工具链依赖外部组件(Volatility 3、GMER、rkhunter、chkrootkit),实际可用性取决于目标操作系统和分析环境。
detecting-rootkit-activity 技能概览
detecting-rootkit-activity 的作用
detecting-rootkit-activity 技能用于判断一台已被入侵的系统是否在内核或驱动层隐藏活动。它重点关注 rootkit 迹象,例如隐藏进程、被篡改的系统调用路径、被修改的内核结构、隐藏模块以及隐蔽的网络痕迹。这不是一个泛化的恶意软件提示词;它是面向 Malware Analysis 的 detecting-rootkit-activity 技能,适用于当常规工具的结果与内存检查或完整性检查发现不一致时的分析场景。
适合哪些人使用
如果你在做事件响应、取证分诊、EDR 验证,或者事后清理,并且需要一种结构化方式来确认隐蔽行为,就应该使用这个技能。它在 Task Manager、ps、netstat 或标准 AV 扫描看起来都很干净,但主机行为仍然可疑时,价值尤其高。
它为什么不一样
detecting-rootkit-activity 的核心价值在于跨视图比较:它会把用户态工具报告的结果与内存取证和完整性检查仍能看到的内容进行对照。这让它比“扫描恶意软件”这类宽泛提示更适合做决策,尤其是在“隐藏”本身就是问题核心的系统上。
如何使用 detecting-rootkit-activity 技能
安装并加载技能
按照仓库的安装流程执行 detecting-rootkit-activity install 步骤,然后把你的 agent 指向 skills/detecting-rootkit-activity 下的技能路径。这个仓库里的典型安装命令是:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-rootkit-activity
安装完成后,确保只有在任务涉及隐藏进程、内核篡改或 rootkit 验证时才激活该技能。
先提供正确的输入
detecting-rootkit-activity usage 模式在你提供以下信息时效果最好:
- 操作系统及版本
- 实时系统还是内存镜像
- 症状摘要,例如“进程在
pslist里消失,但在psscan里还存在” - 已运行过的工具及其输出
- 你需要的是分诊、确认,还是报告
一个弱提示是:“检查 rootkit。”
一个更强的提示是:“分析这个 Windows 内存转储,查找隐藏进程和 SSDT hooks。我已经有 pslist 和 psscan 的输出,还有可疑的驱动名称。”
先读这些文件
为了快速上手,先查看:
SKILL.md:激活范围和工作流references/api-reference.md:Volatility 3 命令和跨视图步骤scripts/agent.py:自动化逻辑和输出格式
在真正把它用于案件之前,这是理解这个技能如何思考的最短路径。
使用跨视图工作流
这个仓库最强的模式不是只信一个工具,而是对比多个视图:
- 用
pslist枚举进程 - 用
psscan扫描内存 - 对比 PID,找出隐藏项
- 如果确认存在隐藏,再扩展到
ssdt、modules、driverirp、callbacks或idt
这个工作流很重要,因为 rootkit 往往能绕过某一个接口,但很难同时骗过全部接口。
detecting-rootkit-activity 技能常见问题
detecting-rootkit-activity 适合初学者吗?
适合,但前提是你已经掌握基础的恶意软件分诊。若你还在学习实时响应工具和内存取证之间的区别,它就不太合适。这个技能最适合你能提供具体主机镜像、命令输出,或可疑隐藏行为时使用。
它和普通提示词有什么区别?
普通提示词往往只会给出“运行杀毒软件并检查进程”这类通用建议。detecting-rootkit-activity 技能更窄,也更偏实战:它会把你引导到跨视图检查、完整性验证和 rootkit 专属痕迹上。因此,在真实调查中做 detecting-rootkit-activity usage 时,它更有用。
什么时候不该用它?
不要把它当作每次感染的第一步。如果问题很明显就是钓鱼投递的恶意软件、普通广告软件,或者只需要做简单的持久化检查,这个技能通常过于专门。只有当隐蔽性、内核篡改或隐藏行为才是核心问题时,再用它。
它适用于 Windows 和 Linux 吗?
适用,但工具不同。这个仓库强调用 Volatility 3 做内存分析,同时配合 Windows 侧的 ssdt、callbacks 和 modules 等检查,以及 Linux 工具如 rkhunter、chkrootkit 和 unhide。应根据主机类型和你实际掌握的证据选择对应分支。
如何改进 detecting-rootkit-activity 技能
提供证据,不要只给怀疑
要提升 detecting-rootkit-activity 的结果,最有效的方法是提供具体证据:内存转储路径、命令输出、hash、驱动名称和简短时间线。模型可比较的信息越多,就越少需要猜测。一个好的后续输入是:“psscan 显示 PID 4120,但 pslist 没有;这里是完整输出和可疑驱动列表。”
明确你要回答的具体问题
这个技能在你明确终点时表现更好:
- “这个进程是否被隐藏了?”
- “是否存在 SSDT hook?”
- “最可能是哪一个驱动导致的?”
- “这台主机还够不够可信,是否应该直接重装?”
这样能让输出更实用,而不是泛泛而谈。
留意常见失效模式
最常见的失效模式,是因为单一异常就过早判定为 rootkit。隐藏痕迹也可能来自残留内存、崩溃产物、EDR 干扰,或者采集不完整。你可以要求技能区分“很可能是 rootkit”“结论不足”和“还需要更多证据”,避免它过早给出二元判断。
在第一轮之后继续迭代
如果第一次结果不完整,就把缺失的视图补回去。例如,如果怀疑进程隐藏,就补充 module、callback 和 IRP 输出;如果怀疑网络隐藏,就补充 socket 和端口扫描。对于不改工作流的前提下提升 detecting-rootkit-activity skill 输出质量,这通常是最有效的方法。