スキル memory-forensics
🔍

memory-forensics

安全 ⚙️ 外部コマンド📁 ファイルシステムへのアクセス

Volatility を使用したメモリダンプの分析

メモリフォレンジックは、ディスクベースの分析では検出できない高度な脅威を検出するために不可欠です。このスキルでは、メモリダンプの取得と Volatility 3 を使用した分析に関する包括的なガイダンスを提供し、アーティファクトの抽出、マルウェアの検出、インシデント調査を実施できます。

対応: Claude Codex Code(CC)
🥉 75 ブロンズ
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「memory-forensics」を使用しています。 ネットワーク接続のためにメモリダンプを分析するにはどうすればよいですか?

期待される結果:

Volatility 3 の windows.netscan を使用してネットワーク接続を一覧表示します。'memory.raw' という名前のメモリダンプファイルの場合、vol -f memory.raw windows.netscan を実行します。これにより、ローカル/リモートアドレス、ポート、状態を含むアクティブな接続が表示されます。接続状態の情報については windows.netstat を使用します。

「memory-forensics」を使用しています。 メモリ内のマルウェアを分析するワークフローは何ですか?

期待される結果:

このワークフローに従ってください:(1) プロセスの概要については windows.pstree と windows.pslist を実行、(2) ネットワークアーティファクトについては windows.netscan を使用、(3) コードインジェクションを検出するために windows.malfind を実行、(4) windows.dlllist で疑わしいプロセスを分析、(5) pslist --pid <PID> --dump で疑わしい実行ファイルをダンプ、(6) 文字列を抽出して YARA スキャンを実行。

セキュリティ監査

安全
v1 • 2/25/2026

This is a legitimate defensive security documentation skill for memory forensics. All 86 static findings are false positives: command examples are documentation for forensic tools (Volatility, WinPmem, LiME), Cobalt Strike references are YARA detection rules for defensive use, and privilege escalation patterns are standard forensic acquisition techniques. Safe for marketplace publication.

1
スキャンされたファイル
494
解析された行数
2
検出結果
1
総監査数

リスク要因

⚙️ 外部コマンド (10)
SKILL.md:27 SKILL.md:34-46 SKILL.md:46-49 SKILL.md:49-58 SKILL.md:58-61 SKILL.md:61-66 SKILL.md:66-70 SKILL.md:70-82 SKILL.md:82-88 SKILL.md:88-100
📁 ファイルシステムへのアクセス (4)
SKILL.md:53-54 SKILL.md:56-57 SKILL.md:116 SKILL.md:453

検出されたパターン

External Commands DocumentationCobalt Strike Detection RulePrivilege Escalation Patterns
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
50
コミュニティ
100
セキュリティ
100
仕様準拠

作れるもの

インシデントレスポンス調査

侵害されたシステムのメモリダンプを分析し、攻撃者が使用した悪意のあるプロセス、ネットワーク接続、永続化メカニズムを特定します。

マルウェアアーティファクトの抽出

プロセスメモリから疑わしい実行ファイルとペイロードを抽出し、サンドボックス環境でさらなる分析を行います。

エンタープライズフォレンジック分析

より広範なフォレンジック調査の一環として体系的なメモリフォレンジックを実行し、タイムラインを確立して攻撃者の活動を特定します。

これらのプロンプトを試す

メモリ取得ガイド 
I need to acquire memory from a Windows 10 system for forensic analysis. What tools should I use and what are the recommended commands?
プロセス分析 
I have a memory dump file. How do I use Volatility 3 to list all running processes and identify hidden or suspicious processes?
インジェクション検出 
What Volatility commands can help me detect code injection and DLL injection in a Windows memory dump?
認証情報の抽出 
How do I extract password hashes and LSA secrets from a Windows memory dump using Volatility?

ベストプラクティス

  • 揮発性データを保持するために、ディスク分析の前に常に最初にメモリを取得する
  • 証拠保全の連鎖を維持するために、取得直後にメモリダンプをハッシュする
  • 結果を相互参照して検証するために、複数の Volatility プラグインを使用する
  • 分析を通じてすべてのコマンド、タイムスタンプ、調査結果を文書化する

回避

  • 汚染を避けるために、生成元のシステムと同じシステム上でメモリダンプを分析しない
  • 単一のプラグイン結果に依存しない - 常に代替プラグインで相互参照する
  • シンボルテーブルの設定をスキップしない - 不正確なシンボルは誤検知につながる

よくある質問

メモリフォレンジックを開始するために必要なツールは何ですか?
メモリ取得ツール(Windows 用の WinPmem、Linux 用の LiME、macOS 用の osxpmem)と Volatility 3 フレームワークが必要です。pip install volatility3 でインストールします。
適切な Volatility プロファイルをどのように選択しますか?
プロファイルは、メモリダンプのオペレーティングシステムバージョンとビルド番号に一致する必要があります。windows.info(Volatility 2)を使用するか、分析中に識別します。不正確なプロファイルは解析エラーを引き起こします。
Volatility 3 で Linux メモリダンプを分析できますか?
はい、Volatility 3 は linux.pslist、linux.pstree、linux.bash、linux.sockstat などのプラグインを使用して Linux 分析をサポートしています。適切な Linux プロファイルを持っていることを確認してください。
メモリ内の隠されたプロセスをどのように検出しますか?
windows.pslist(アクティブなプロセス)の出力と windows.psscan(メモリプールからスキャン)を比較します。隠されたプロセスは psscan には表示されますが pslist には表示されません。親子関係については windows.pstree を使用します。
windows.malfind と windows.ldrmodules の違いは何ですか?
malfind は、疑わしい保護フラグを持つ実行可能メモリ領域を見つけることでコードインジェクションを検出します。ldrmodules は、PEB には表示されないがロードされている DLL を検出します。これは DLL インジェクションの兆候です。
メモリからファイルを抽出するにはどうすればよいですか?
windows.dumpfiles を使用してメモリからファイルを抽出し、windows.memmap --pid <PID> --dump を使用して特定のプロセスのメモリ空間をダンプします。暗号化されたファイルは回復できない場合があることに注意してください。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/memory-forensics

参照

main

ファイル構成

📄 SKILL.md