Analyzes heap spray attacks in memory dumps using Volatility3 plugins, detecting NOP sled patterns, shellcode landing areas, and suspicious large allocations in process VAS.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
堆喷射(Heap Spray)是一种利用技术,将攻击者控制的数据(通常是 NOP sled 后跟 shellcode)填充到进程堆的大面积区域,以提高代码执行漏洞利用的可靠性。本技能涵盖使用 Volatility3 的 malfind、vadinfo 和 memmap 插件在内存转储中检测堆喷射工件、识别可疑连续内存分配、扫描 NOP sled 模式(0x90、0x0c0c0c0c)以及提取嵌入的 shellcode 进行分析。
Detects heap spray attacks in memory dumps using Volatility3 plugins to identify NOP sleds, shellcode landing zones, and suspicious large allocations.
Detects and analyzes heap spray attacks in memory dumps using Volatility3 plugins to identify NOP sleds, shellcode landing zones, and suspicious large allocations. For malware forensics and incident response.
Analyzes RAM memory dumps from compromised Windows/Linux/macOS systems using Volatility to detect malicious processes, code injections, network connections, loaded modules, and extract credentials. For memory forensics and incident response.
Share bugs, ideas, or general feedback.
堆喷射(Heap Spray)是一种利用技术,将攻击者控制的数据(通常是 NOP sled 后跟 shellcode)填充到进程堆的大面积区域,以提高代码执行漏洞利用的可靠性。本技能涵盖使用 Volatility3 的 malfind、vadinfo 和 memmap 插件在内存转储中检测堆喷射工件、识别可疑连续内存分配、扫描 NOP sled 模式(0x90、0x0c0c0c0c)以及提取嵌入的 shellcode 进行分析。
volatility3 框架使用 Volatility3 的 windows.malfind 扫描具有可执行注入内存区域的进程。
使用 windows.vadinfo 检查 VAD 树条目,查找具有 RWX 权限的大型连续分配。
在可疑内存区域中搜索 NOP sled 签名(0x90 序列、0x0c0c0c0c 模式)。
转储可疑内存区域,使用字节模式分析识别 shellcode。
JSON 报告,包含可疑进程、堆喷射指标、NOP sled 位置、内存区域大小和提取的 shellcode 哈希值。