Malware

analyzing-bootkit-and-rootkit-samples 是一款用于分析 MBR、VBR、UEFI 和 rootkit 的恶意软件分析技能。可用于检查引导扇区、固件模块以及反 rootkit 迹象，适合在恶意入侵持续滞留于 OS 层以下时进行排查。它适合需要实用指南、清晰流程和基于证据的 Malware Analysis 分诊的分析人员。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

analyzing-ransomware-payment-wallets 是一项只读的区块链取证技能，用于追踪勒索软件支付钱包、沿资金流向分析，并对相关地址进行聚类，以支持安全审计和事件响应。适用于你手头有 BTC 地址、交易哈希或可疑钱包，并需要有证据支撑的归因辅助时。

用于恶意软件分析的 analyzing-ransomware-encryption-mechanisms 技能，重点识别勒索软件的加密方式、密钥处理和解密可行性。可用来检查 AES、RSA、ChaCha20、混合方案以及可能支持恢复的实现缺陷。

analyzing-ransomware-leak-site-intelligence 可帮助监控勒索软件数据泄露站点，提取受害者与团伙信号，并生成结构化威胁情报，用于事件响应、行业风险研判和对手追踪。

analyzing-malware-persistence-with-autoruns 是一个面向恶意软件分析的 Sysinternals Autoruns 技能。它帮助你用可重复的工作流检查 Windows 持久化点，包括 Run 键、服务、计划任务、Winlogon、驱动和 WMI，并结合 CSV 导出、可疑项审查和可直接写进报告的结论，完成分析。

面向恶意软件分析的 extracting-iocs-from-malware-samples 技能指南：从样本中提取哈希、IP、域名、URL、主机工件和验证线索，用于威胁情报与检测。

eradicating-malware-from-infected-systems 是一项面向网络安全事件响应的技能，用于在隔离完成后清除恶意软件、后门和持久化机制。它提供工作流程指导、参考文件，以及用于 Windows 和 Linux 清理、凭据轮换、根因修复和验证的脚本。

detecting-process-injection-techniques 可帮助分析可疑的内存驻留行为、验证 EDR 告警，并识别进程空洞化、APC 注入、线程劫持、反射式加载以及传统 DLL 注入，适用于安全审计和恶意软件分流。

analyzing-packed-malware-with-upx-unpacker 是一款恶意软件分析技能，用于识别被 UPX 加壳的样本、处理被修改的 UPX 头部，并恢复原始可执行文件以便在 Ghidra 或 IDA 中进行静态审查。当 `upx -d` 失败，或你需要更快完成 UPX 加壳检查和解包流程时，可以使用它。

analyzing-memory-dumps-with-volatility 是一个用于 Volatility 3 的内存取证技能，适合在 Windows、Linux 或 macOS 的 RAM dump 中进行恶意软件初筛、隐藏进程、注入、网络活动和凭证分析。当你需要一份可重复执行的 analyzing-memory-dumps-with-volatility 指南，用于事件响应和恶意软件分析时，它会很有用。

analyzing-macro-malware-in-office-documents 帮助恶意软件分析师检查 Word、Excel 和 PowerPoint 文件中的恶意 VBA，解码混淆，并提取 IOC、执行路径和载荷分阶段逻辑，适用于钓鱼分流、事件响应和文档恶意软件分析。

analyzing-golang-malware-with-ghidra 帮助分析人员在 Ghidra 中对 Go 编译的恶意软件进行逆向分析，覆盖函数恢复、字符串提取、构建元数据和依赖映射等工作流。analyzing-golang-malware-with-ghidra 适合恶意软件初筛、事件响应和安全审计中需要实用 Go 专项分析步骤的场景。

analyzing-linux-elf-malware 可帮助分析可疑的 Linux ELF 二进制文件，用于恶意软件分析，涵盖架构检查、字符串、导入项、静态初筛，以及对僵尸网络、挖矿程序、rootkit、勒索软件和容器威胁的早期识别。

detecting-fileless-malware-techniques 技能支持恶意软件分析工作流，用于调查通过 PowerShell、WMI、.NET reflection、注册表驻留 payload 以及 LOLBins 在内存中运行的 fileless malware。你可以借助它从可疑告警快速推进到有证据支撑的初步分诊、检测思路和后续狩猎方向。

deobfuscating-javascript-malware 可帮助分析师将高度混淆的恶意 JavaScript 转为可读代码，便于进行恶意软件分析、钓鱼页面、Web skimmer、dropper 以及浏览器下发 payload 的排查。这个 deobfuscating-javascript-malware 技能适用于结构化去混淆、解码追踪和受控审查；当问题不只是简单压缩时尤其有用。

conducting-malware-incident-response 可帮助 IR 团队分诊疑似恶意软件，确认是否感染，评估传播范围，隔离受影响端点，并支持清除与恢复。它面向 Incident Response 工作流中的 conducting-malware-incident-response，提供有证据支撑的步骤、基于遥测的决策，以及实用的遏制指导。

building-c2-infrastructure-with-sliver-framework 可帮助经授权的红队和安全审计工作规划、安装并使用基于 Sliver 的 C2 基础设施，涵盖 redirectors、HTTPS listeners、operator access 和韧性检查。它包含实用指南、workflow 文件以及用于部署和验证的仓库脚本。

analyzing-windows-registry-for-artifacts 可帮助分析人员从 Windows Registry hive 中提取证据，用于识别用户活动、已安装软件、自动运行项、USB 历史和入侵迹象，支持事件响应或 Security Audit 工作流。

使用 analyzing-threat-landscape-with-misp 技能通过 MISP 分析威胁态势。它会汇总事件统计、IoC 分布、威胁行为者和恶意软件趋势，以及随时间变化的情况，帮助生成威胁情报报告、SOC 简报和狩猎优先级建议。

analyzing-pdf-malware-with-pdfid 是一个用于 PDF 恶意代码初筛的技能，可在打开文件前检测嵌入式 JavaScript、利用特征标记、对象流、附件以及可疑行为。它支持用于恶意 PDF 取证、事件响应，以及 Security Audit 工作流中的静态分析。

analyzing-network-traffic-of-malware 可帮助你分析来自沙箱运行或事件响应的 PCAP 和遥测数据，定位 C2、数据外传、载荷下载、DNS 隧道和检测思路。它是面向安全审计和恶意软件初筛的实用 analyzing-network-traffic-of-malware 指南。

analyzing-command-and-control-communication 可用于分析恶意软件 C2 流量，识别 beaconing、解码命令、梳理基础设施，并借助基于 PCAP 的证据和实用工作流指导，支持 Security Audit、威胁狩猎和恶意软件初步分流。