技能 malware-analyst
🛡️

malware-analyst

安全

分析惡意軟體樣本(防禦性)

安全團隊需要指導來安全有效地分析惡意軟體。此技能提供靜態/動態分析、威脅指標提取和威脅情報報告的逐步方法。

支援: Claude Codex Code(CC)
🥉 75 青銅
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「malware-analyst」。 I have a file called sample.exe that was flagged by my antivirus. How do I analyze it?

預期結果:

Here is a structured approach to analyze sample.exe safely:

1. **Initial Triage**: First, compute file hashes (MD5, SHA1, SHA256) and check against VirusTotal.
2. **Static Analysis**: Use tools like strings, FLOSS, rabin2, or diec to identify packers and extract interesting strings.
3. **Import Analysis**: Identify imported APIs to understand capabilities (network, file, registry operations).
4. **Dynamic Analysis**: Set up in an isolated VM, execute with monitoring tools running, observe behavior.

Would you like me to elaborate on any specific phase?

正在使用「malware-analyst」。 What are common persistence mechanisms used by malware?

預期結果:

Common persistence mechanisms include:

- **Registry Run Keys**: HKCU\HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- **Scheduled Tasks**: Using schtasks or Task Scheduler
- **Services**: Creating Windows services via CreateService
- **WMI Subscriptions**: Event subscriptions for persistent execution
- **DLL Hijacking**: Planting DLLs in application search paths
- **Startup Folder**: Dropping files in %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

For detection, monitor these locations and look for unexpected modifications.

安全審計

安全
v1 • 2/25/2026

This is a prompt-only defensive malware analysis skill. Static analysis scanned 0 files (0 lines) and found no suspicious patterns. Semantic evaluation confirms the skill is explicitly designed for defensive security work (incident response, threat intelligence, malware triage) with clear ethical guidelines prohibiting malicious use. No executable code, network calls, or file system operations. The skill provides educational guidance on malware analysis techniques.

0
已掃描檔案
0
分析行數
0
發現項
1
審計總數
未發現安全問題
審計者: claude

品質評分

38
架構
100
可維護性
87
內容
50
社群
100
安全
100
規範符合性

你能建構什麼

事件回應人員分析可疑檔案

安全分析師正在調查來自網路釣魚郵件的可疑附件,需要結構化的分析方法

威脅情報研究人員分析惡意軟體家族

威脅情報分析師研究新的惡意軟體變種,以開發偵測規則並了解攻擊者的戰術、技術和程序

安全學生學習惡意軟體分析

網路安全學生尋求關於惡意軟體分析基礎知識和最佳實踐的結構化指導

試試這些提示

基本檔案識別 
我有一個可疑檔案。你能引導我完成初始識別和分類流程嗎?
靜態分析工作流程 
對 Windows 執行檔進行靜態分析的步驟是什麼?我需要提取字串、分析匯入,並識別封裝器。
動態分析指導 
幫助我設定動態分析環境並安全地執行惡意軟體樣本。我應該使用哪些工具?
IOC 提取和報告 
我已經分析了一個惡意軟體樣本。你能幫我提取 IOC 並建立全面的分析報告嗎?

最佳實務

  • 始終在具有網路隔離的隔離虛擬機器中分析惡意軟體,以防止意外感染
  • 記錄所有發現,包括 IOC、行為和分析步驟,以確保可重現性和團隊共享
  • 使用結構化報告框架以確保全面涵蓋分析結果

避免

  • 在生產系統上分析活體惡意軟體而沒有適當的隔離
  • 在沒有適當驗證和上下文的情況下共享 IOC
  • 跳過初始分類階段直接進入複雜分析

常見問題

我需要哪些工具來開始惡意軟體分析?
必備工具包括反組譯器(Ghidra、IDA Pro)、除錯器(x64dbg)、十六進位編輯器,以及 Cuckoo 或 ANY.RUN 等沙箱解決方案。從免費工具開始,如 FLOSS 用於字串提取,Detect It Easy 用於封裝器識別。
分析惡意軟體是否合法?
是的,出於防禦目的(如事件回應、威脅情報或研究)分析惡意軟體是合法的。但是,請確保您有適當的授權來取得樣本,不要分發惡意軟體或將發現用於攻擊目的。
靜態分析與動態分析的危險程度如何?
靜態分析相對安全,因為它只檢查檔案而不執行它。動態分析會執行惡意軟體,因此必須在隔離的環境(如沒有網路連線的 VM)中執行,以防止傳播。
什麼是 IOC?為什麼它很重要?
IOC(威脅指標)是惡意活動的證據,如 IP 位址、網域、檔案雜湊或登錄檔金鑰。IOC 有助於偵測威脅、阻止攻擊,並實現安全團隊之間的威脅情報共享。
Claude Code 可以為我執行惡意軟體嗎?
不。此技能僅提供指導和方法論。它不會執行程式碼或直接分析樣本。您必須在自己的隔離環境中執行分析工具。
在分析惡意軟體時如何保持安全?
使用隔離的 VM,停用網路連線,在分析前拍攝快照,使用監控工具安全地觀察行為,並遵循嚴格的處理程序。切勿在生產系統上進行分析。

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/malware-analyst

引用

main

檔案結構

📄 SKILL.md