memory-forensics
Analisar Memory Dumps com Volatility
A forense de memória é essencial para detectar ameaças avançadas que evitam a análise baseada em disco. Esta skill fornece orientação abrangente sobre a aquisição de memory dumps e sua análise com Volatility 3 para extrair artefatos, detectar malware e investigar incidentes.
Baixar o ZIP da skill
Upload no Claude
Vá em Configurações → Capacidades → Skills → Upload skill
Ative e comece a usar
Testar
A utilizar "memory-forensics". Como analiso um memory dump em busca de conexões de rede?
Resultado esperado:
Use o windows.netscan do Volatility 3 para listar conexões de rede. Para um arquivo de memory dump chamado 'memory.raw', execute: vol -f memory.raw windows.netscan. Isso mostra conexões ativas incluindo endereços locais/remotos, portas e estado. Use windows.netstat para informações sobre o estado da conexão.
A utilizar "memory-forensics". Qual é o fluxo de trabalho para analisar malware na memória?
Resultado esperado:
Siga este fluxo de trabalho: (1) Execute windows.pstree e windows.pslist para visão geral dos processos, (2) Use windows.netscan para artefatos de rede, (3) Execute windows.malfind para detectar injeção de código, (4) Analise processos suspeitos com windows.dlllist, (5) Faça dump de executáveis suspeitos com pslist --pid <PID> --dump, (6) Extraia strings e execute varredura YARA.
Auditoria de Segurança
SeguroThis is a legitimate defensive security documentation skill for memory forensics. All 86 static findings are false positives: command examples are documentation for forensic tools (Volatility, WinPmem, LiME), Cobalt Strike references are YARA detection rules for defensive use, and privilege escalation patterns are standard forensic acquisition techniques. Safe for marketplace publication.
Fatores de risco
⚙️ Comandos externos (10)
📁 Acesso ao sistema de arquivos (4)
Padrões Detectados
Pontuação de qualidade
O Que Você Pode Construir
Investigação de Resposta a Incidentes
Analisar um memory dump de sistema comprometido para identificar processos maliciosos, conexões de rede e mecanismos de persistência usados pelos invasores.
Extração de Artefatos de Malware
Extrair executáveis suspeitos e payloads da memória do processo para análise posterior em um ambiente sandbox.
Análise Forense Empresarial
Realizar forense de memória sistemática como parte de uma investigação forense mais ampla para estabelecer linhas do tempo e identificar a atividade do invasor.
Tente Estes Prompts
Preciso adquirir memória de um sistema Windows 10 para análise forense. Quais ferramentas devo usar e quais são os comandos recomendados?
Tenho um arquivo de memory dump. Como uso o Volatility 3 para listar todos os processos em execução e identificar processos ocultos ou suspeitos?
Quais comandos do Volatility podem me ajudar a detectar injeção de código e injeção de DLL em um memory dump do Windows?
Como extraio hashes de senha e segredos LSA de um memory dump do Windows usando o Volatility?
Melhores Práticas
- Sempre adquira memória primeiro antes de qualquer análise de disco para preservar dados voláteis
- Gere hash dos memory dumps imediatamente após a aquisição para manter a cadeia de custódia
- Use múltiplos plugins do Volatility para cruzar descobertas e validar resultados
- Documente todos os comandos, timestamps e descobertas durante a análise
Evitar
- Não analise memory dumps no mesmo sistema que os gerou para evitar contaminação
- Não confie em um resultado único de plugin - sempre cruze com plugins alternativos
- Não pule a configuração da tabela de símbolos - símbolos incorretos levam a falsos negativos