Reverse Engineering

memory-forensics skill 用于 RAM 采集与内存转储分析，结合 Volatility 3 覆盖安装背景、使用流程、工件提取，以及面向 Windows、Linux、macOS 和虚拟机内存的事件分诊。

protocol-reverse-engineering 可帮助智能体借助 Wireshark、tshark、tcpdump 以及 MITM 工作流，捕获、检查并记录未知网络协议。适合用于调试自定义客户端/服务器流量、分析 PCAP，以及梳理消息结构、请求流程和字段含义。

anti-reversing-techniques 是一项面向授权场景的逆向工程技能，适用于恶意软件分析、CTF 题目处理、加壳二进制初步研判和安全审计。它可帮助你识别反调试、反 VM、加壳与混淆模式，并结合核心技能与进阶参考资料，选择更实用的分析工作流。

binary-analysis-patterns 是一项面向逆向工程的技能，用于解读 x86-64 反汇编、调用约定、栈帧和控制流，帮助更高效地开展二进制审查与 Security Audit 工作。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

用于恶意软件分析的 analyzing-ransomware-encryption-mechanisms 技能，重点识别勒索软件的加密方式、密钥处理和解密可行性。可用来检查 AES、RSA、ChaCha20、混合方案以及可能支持恢复的实现缺陷。

这是一个关于使用 Rekall 分析 Windows 内存镜像的指南，聚焦于提取内存证据。你可以了解安装与使用模式，查找隐藏进程、注入代码、可疑 VAD、已加载 DLL 以及网络活动，适用于数字取证场景。

detecting-process-injection-techniques 可帮助分析可疑的内存驻留行为、验证 EDR 告警，并识别进程空洞化、APC 注入、线程劫持、反射式加载以及传统 DLL 注入，适用于安全审计和恶意软件分流。

analyzing-windows-prefetch-with-python 使用 windowsprefetch 解析 Windows Prefetch（.pf）文件，重建程序执行历史，识别重命名或伪装的二进制文件，并支持事件分诊与恶意软件分析。

analyzing-uefi-bootkit-persistence 用于调查 UEFI 级持久化，包括 SPI flash 植入、ESP 篡改、Secure Boot 绕过以及可疑的 UEFI 变量变更。它面向固件初筛、事件响应，以及用于 Security Audit 的 analyzing-uefi-bootkit-persistence 分析，提供实用、以证据为导向的指导。

analyzing-command-and-control-communication 可用于分析恶意软件 C2 流量，识别 beaconing、解码命令、梳理基础设施，并借助基于 PCAP 的证据和实用工作流指导，支持 Security Audit、威胁狩猎和恶意软件初步分流。