技能 memory-forensics
🔍

memory-forensics

安全 ⚙️ 外部命令📁 文件系统访问

Анализ дампов памяти с помощью Volatility

Рамочная форензика (memory forensics) необходима для обнаружения продвинутых угроз, которые обходят анализ на диске. Этот навык предоставляет комплексное руководство по получению дампов памяти и их анализу с помощью Volatility 3 для извлечения артефактов, обнаружения малвари и расследования инцидентов.

支持: Claude Codex Code(CC)
📊 71 充足
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“memory-forensics”。 Как проанализировать дамп памяти на наличие сетевых подключений?

预期结果:

Используйте Volatility 3 windows.netscan для списка сетевых подключений. Для файла дампа памяти с именем 'memory.raw', выполните: vol -f memory.raw windows.netscan. Это покажет активные подключения, включая локальные/удаленные адреса, порты и состояние. Используйте windows.netstat для информации о состоянии подключения.

正在使用“memory-forensics”。 Какой рабочий процесс для анализа малвари в памяти?

预期结果:

Следуйте этому рабочему процессу: (1) Запустите windows.pstree и windows.pslist для обзора процессов, (2) Используйте windows.netscan для сетевых артефактов, (3) Запустите windows.malfind для обнаружения внедрения кода, (4) Анализируйте подозрительные процессы с помощью windows.dlllist, (5) Скиньте подозрительные исполняемые файлы с помощью pslist --pid <PID> --dump, (6) Извлеките строки и запустите сканирование YARA.

安全审计

安全
v1 • 2/25/2026

This is a legitimate defensive security documentation skill for memory forensics. All 86 static findings are false positives: command examples are documentation for forensic tools (Volatility, WinPmem, LiME), Cobalt Strike references are YARA detection rules for defensive use, and privilege escalation patterns are standard forensic acquisition techniques. Safe for marketplace publication.

1
已扫描文件
494
分析行数
2
发现项
1
审计总数

风险因素

⚙️ 外部命令 (10)
SKILL.md:27 SKILL.md:34-46 SKILL.md:46-49 SKILL.md:49-58 SKILL.md:58-61 SKILL.md:61-66 SKILL.md:66-70 SKILL.md:70-82 SKILL.md:82-88 SKILL.md:88-100
📁 文件系统访问 (4)
SKILL.md:53-54 SKILL.md:56-57 SKILL.md:116 SKILL.md:453

检测到的模式

External Commands DocumentationCobalt Strike Detection RulePrivilege Escalation Patterns
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
22
社区
100
安全
100
规范符合性

你能构建什么

Расследование инцидентов

Анализ дампа памяти скомпрометированной системы для идентификации вредоносных процессов, сетевых подключений и механизмов сохранения, используемых атакующими.

Извлечение артефактов малвари

Извлечение подозрительных исполняемых файлов и полезных нагрузок из памяти процессов для дальнейшего анализа в изолированной среде.

Корпоративный форензик-анализ

Выполнение систематической рамочной форензики как части более широкого форензик-расследования для установления временных шкал и идентификации активности атакующего.

试试这些提示

Руководство по получению памяти 
Мне нужно получить память из системы Windows 10 для форензик-анализа. Какие инструменты я должен использовать и какие рекомендуемые команды?
Анализ процессов 
У меня есть файл дампа памяти. Как использовать Volatility 3 для списка всех запущенных процессов и идентификации скрытых или подозрительных процессов?
Обнаружение внедрения 
Какие команды Volatility могут помочь мне обнаружить внедрение кода и внедрение DLL в дампе памяти Windows?
Извлечение учетных данных 
Как извлечь хеши паролей и секреты LSA из дампа памяти Windows с помощью Volatility?

最佳实践

  • Всегда получайте память сначала перед любым анализом диска для сохранения энергозависимых данных
  • Вычисляйте хеш дампов памяти сразу после получения для сохранения цепочки хранения
  • Используйте несколько плагинов Volatility для перекрестной ссылки результатов и проверки данных
  • Документируйте все команды, метки времени и находки на протяжении всего анализа

避免

  • Не анализируйте дампы памяти в той же системе, которая их сгенерировала, чтобы избежать загрязнения
  • Не полагайтесь на результат одного плагина - всегда делайте перекрестную ссылку с альтернативными плагинами
  • Не пропускайте конфигурацию таблицы символов - неправильные символы приводят к ложным отрицательным результатам

常见问题

Какие инструменты мне нужны для начала рамочной форензики?
Вам нужен инструмент получения памяти (WinPmem для Windows, LiME для Linux, osxpmem для macOS) и фреймворк Volatility 3. Установите с помощью: pip install volatility3
Как выбрать правильный профиль Volatility?
Профиль должен соответствовать версии операционной системы и номеру сборки дампа памяти. Используйте windows.info (Volatility 2) или идентифицируйте во время анализа. Неправильные профили вызывают ошибки парсинга.
Могу ли я анализировать дампы памяти Linux с помощью Volatility 3?
Да, Volatility 3 поддерживает анализ Linux с плагинами, такими как linux.pslist, linux.pstree, linux.bash и linux.sockstat. ��бедитесь, что у вас правильный профиль Linux.
Как обнаружить скрытые процессы в памяти?
Сравните вывод из windows.pslist (активные процессы) с windows.psscan (просканировано из пула памяти). Скрытые процессы появляются в psscan, но не в pslist. Используйте windows.pstree для отношений родитель-потомок.
В чем разница между windows.malfind и windows.ldrmodules?
malfind обнаруживает внедрение кода путем нахождения исполняемых областей памяти с подозрительными флагами защиты. ldrmodules находит DLL, которые загружены, но не видны в PEB - признак внедрения DLL.
Как извлечь файлы из памяти?
Используйте windows.dumpfiles для извлечения файлов из памяти и windows.memmap --pid <PID> --dump для сброса конкретного пространства памяти процесса. Обратите внимание, что зашифрованные файлы могут не подлежать восстановлению.

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/memory-forensics

引用

main

文件结构

📄 SKILL.md