memory-forensics
Memory Dumps mit Volatility analysieren
Memory-Forensik ist wesentlich für die Erkennung von fortgeschrittenen Bedrohungen, die einer analysebasierten Erkennung entgehen. Diese Fähigkeit bietet umfassende Anleitungen zur Erfassung von Memory Dumps und deren Analyse mit Volatility 3 zur Extraktion von Artefakten, Erkennung von Malware und Untersuchung von Vorfällen.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "memory-forensics". How do I analyze a memory dump for network connections?
النتيجة المتوقعة:
Use Volatility 3 windows.netscan to list network connections. For a memory dump file named 'memory.raw', run: vol -f memory.raw windows.netscan. This shows active connections including local/remote addresses, ports, and state. Use windows.netstat for connection state information.
استخدام "memory-forensics". What is the workflow for analyzing malware in memory?
النتيجة المتوقعة:
Follow this workflow: (1) Run windows.pstree and windows.pslist for process overview, (2) Use windows.netscan for network artifacts, (3) Run windows.malfind to detect code injection, (4) Analyze suspicious processes with windows.dlllist, (5) Dump suspicious executables with pslist --pid <PID> --dump, (6) Extract strings and run YARA scanning.
التدقيق الأمني
آمنThis is a legitimate defensive security documentation skill for memory forensics. All 86 static findings are false positives: command examples are documentation for forensic tools (Volatility, WinPmem, LiME), Cobalt Strike references are YARA detection rules for defensive use, and privilege escalation patterns are standard forensic acquisition techniques. Safe for marketplace publication.
عوامل الخطر
⚙️ الأوامر الخارجية (10)
📁 الوصول إلى نظام الملفات (4)
الأنماط المكتشفة
درجة الجودة
ماذا يمكنك بناءه
Incident-Response-Untersuchung
Analysieren Sie einen kompromittierten System-Memory-Dump, um bösartige Prozesse, Netzwerkverbindungen und Persistenzmechanismen der Angreifer zu identifizieren.
Malware-Artefakt-Extraktion
Extrahieren Sie verdächtige Executables und Payloads aus dem Prozessspeicher zur weiteren Analyse in einer Sandbox-Umgebung.
Enterprise-Forensische Analyse
Führen Sie systematische Memory-Forensik als Teil einer umfassenderen forensischen Untersuchung durch, um Zeitlinien zu erstellen und Angreiferaktivitäten zu identifizieren.
جرّب هذه الموجهات
I need to acquire memory from a Windows 10 system for forensic analysis. What tools should I use and what are the recommended commands?
I have a memory dump file. How do I use Volatility 3 to list all running processes and identify hidden or suspicious processes?
What Volatility commands can help me detect code injection and DLL injection in a Windows memory dump?
How do I extract password hashes and LSA secrets from a Windows memory dump using Volatility?
أفضل الممارسات
- Erfassen Sie immer zuerst den Speicher vor jeder Festplattenanalyse, um flüchtige Daten zu bewahren
- Hashen Sie Memory Dumps sofort nach der Erfassung, um die Beweiskette aufrechtzuerhalten
- Verwenden Sie mehrere Volatility-Plugins, um Ergebnisse zu vergleichen und zu validieren
- Dokumentieren Sie alle Befehle, Zeitstempel und Ergebnisse während der gesamten Analyse
تجنب
- Analysieren Sie keine Memory Dumps auf demselben System, das sie generiert hat, um Kontamination zu vermeiden
- Verlassen Sie sich nicht auf ein einzelnes Plugin-Ergebnis - vergleichen Sie immer mit alternativen Plugins
- Überspringen Sie nicht die Symboltabellenkonfiguration - falsche Symbole führen zu falsch-negativen Ergebnissen