malware-analyst
防御性分析恶意软件样本
安全团队需要指导来安全有效地分析恶意软件。本技能提供静态/动态分析、IOC 提取和威胁情报报告的分步方法。
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "malware-analyst". 我有一个名为 sample.exe 的文件被我的杀毒软件标记了。我该如何分析它?
النتيجة المتوقعة:
以下是安全分析 sample.exe 的结构化方法:
1. **初始分类**:首先,计算文件哈希值(MD5、SHA1、SHA256)并在 VirusTotal 上检查。
2. **静态分析**:使用 strings、FLOSS、rabin2 或 diec 等工具识别打包程序并提取有意义的字符串。
3. **导入函数分析**:识别导入的 API 以了解功能(网络、文件、注册表操作)。
4. **动态分析**:在隔离的虚拟机中设置,在运行监控工具的情况下执行,观察行为。
你想让我详细说明任何特定阶段吗?
استخدام "malware-analyst". 恶意软件常用的持久化机制有哪些?
النتيجة المتوقعة:
常见的持久化机制包括:
- **注册表运行键**:HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- **计划任务**:使用 schtasks 或任务计划程序
- **服务**:通过 CreateService 创建 Windows 服务
- **WMI 订阅**:用于持久化执行的事件订阅
- **DLL 劫持**:在应用程序搜索路径中放置 DLL
- **启动文件夹**:将文件放入 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
对于检测,请监控这些位置并查找意外修改。
التدقيق الأمني
آمنThis is a prompt-only defensive malware analysis skill. Static analysis scanned 0 files (0 lines) and found no suspicious patterns. Semantic evaluation confirms the skill is explicitly designed for defensive security work (incident response, threat intelligence, malware triage) with clear ethical guidelines prohibiting malicious use. No executable code, network calls, or file system operations. The skill provides educational guidance on malware analysis techniques.
درجة الجودة
ماذا يمكنك بناءه
事件响应人员分析可疑文件
安全分析师正在调查来自钓鱼邮件的潜在恶意附件,需要结构化的分析方法
威胁情报研究人员分析恶意软件家族
威胁情报分析师研究新的恶意软件变种,以开发检测规则并理解攻击者的战术、技术和程序
安全学生学习恶意软件分析
网络安全学生寻求有关恶意软件分析基础知识和最佳实践的结构化指导
جرّب هذه الموجهات
我有一个可疑文件。你能指导我完成初始识别和分类过程吗?
Windows 可执行文件的静态分析步骤是什么?我需要提取字符串、分析导入函数并识别打包程序。
帮我设置动态分析环境并安全执行恶意软件样本。我应该使用哪些工具?
我分析了一个恶意软件样本。你能帮我提取 IOC 并创建全面的分析报告吗?
أفضل الممارسات
- 始终在具有网络隔离的隔离虚拟机中分析恶意软件,以防止意外感染
- 记录所有发现,包括 IOC、行为和分析步骤,以确保可重复性和团队共享
- 使用结构化报告框架以确保分析结果的全面覆盖
تجنب
- 在没有适当隔离的情况下在生产系统上分析实时恶意软件
- 在没有适当验证和上下文的情况下共享 IOC
- 跳过初始分类阶段直接进行复杂分析