analyzing-heap-spray-exploitation

使用 Volatility3 插件在内存转储中检测和分析堆喷射攻击,识别 NOP sled 模式、shellcode 落地区域以及进程虚拟地址空间中的可疑大型分配。

9 stars

Best use case

analyzing-heap-spray-exploitation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Volatility3 插件在内存转储中检测和分析堆喷射攻击,识别 NOP sled 模式、shellcode 落地区域以及进程虚拟地址空间中的可疑大型分配。

Teams using analyzing-heap-spray-exploitation should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-heap-spray-exploitation/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-heap-spray-exploitation/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-heap-spray-exploitation/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-heap-spray-exploitation Compares

Feature / Agentanalyzing-heap-spray-exploitationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Volatility3 插件在内存转储中检测和分析堆喷射攻击,识别 NOP sled 模式、shellcode 落地区域以及进程虚拟地址空间中的可疑大型分配。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 分析堆喷射(Heap Spray)利用

## 概述

堆喷射(Heap Spray)是一种利用技术,将攻击者控制的数据(通常是 NOP sled 后跟 shellcode)填充到进程堆的大面积区域,以提高代码执行漏洞利用的可靠性。本技能涵盖使用 Volatility3 的 malfind、vadinfo 和 memmap 插件在内存转储中检测堆喷射工件、识别可疑连续内存分配、扫描 NOP sled 模式(0x90、0x0c0c0c0c)以及提取嵌入的 shellcode 进行分析。

## 前置条件

- Python 3.9+,安装 `volatility3` 框架
- 内存转储文件(.raw、.vmem、.dmp 格式)
- 了解虚拟内存布局和 VAD(虚拟地址描述符)树
- 熟悉常见的 shellcode 模式和 NOP sled 编码

## 工作流程

### 步骤 1:识别可疑进程
使用 Volatility3 的 windows.malfind 扫描具有可执行注入内存区域的进程。

### 步骤 2:分析 VAD 条目
使用 windows.vadinfo 检查 VAD 树条目,查找具有 RWX 权限的大型连续分配。

### 步骤 3:扫描 NOP Sled 模式
在可疑内存区域中搜索 NOP sled 签名(0x90 序列、0x0c0c0c0c 模式)。

### 步骤 4:提取和分析 Shellcode
转储可疑内存区域,使用字节模式分析识别 shellcode。

## 输出格式

JSON 报告,包含可疑进程、堆喷射指标、NOP sled 位置、内存区域大小和提取的 shellcode 哈希值。

Related Skills

performing-ssrf-vulnerability-exploitation

9
from killvxk/cybersecurity-skills-zh

通过探测云元数据端点、内网服务和协议处理器,检测用户可控 URL 参数中的 服务端请求伪造(SSRF)漏洞。测试 AWS/GCP/Azure 元数据 API(169.254.169.254)、 通过 HTTP 进行内网端口扫描、URL 协议绕过技术以及 DNS 重绑定检测。

performing-blind-ssrf-exploitation

9
from killvxk/cybersecurity-skills-zh

使用带外技术、DNS 交互和时序分析检测并利用盲 SSRF 漏洞,以访问内部服务和云元数据端点。

performing-binary-exploitation-analysis

9
from killvxk/cybersecurity-skills-zh

使用 pwntools Python 库分析二进制漏洞利用技术,包括缓冲区溢出(Buffer Overflow)和 ROP 链(ROP Chain)。涵盖 checksec 安全检查分析、使用 ROPgadget 发现 Gadget, 以及针对 CTF 竞赛和授权安全评估的漏洞利用开发。

analyzing-windows-shellbag-artifacts

9
from killvxk/cybersecurity-skills-zh

分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。

analyzing-windows-registry-for-artifacts

9
from killvxk/cybersecurity-skills-zh

提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。

analyzing-windows-prefetch-with-python

9
from killvxk/cybersecurity-skills-zh

使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。

analyzing-windows-lnk-files-for-artifacts

9
from killvxk/cybersecurity-skills-zh

解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。

analyzing-windows-event-logs-in-splunk

9
from killvxk/cybersecurity-skills-zh

在 Splunk 中分析 Windows Security、System 和 Sysmon 事件日志,使用映射到 MITRE ATT&CK 技术的 SPL 查询检测身份验证攻击、权限提升(Privilege Escalation)、持久化(Persistence)机制和横向移动 (Lateral Movement)。适用于 SOC 分析师调查基于 Windows 的威胁、构建检测查询,或对 Windows 终端和域控制器执行取证时间线分析。

analyzing-windows-amcache-artifacts

9
from killvxk/cybersecurity-skills-zh

解析并分析 Windows Amcache.hve 注册表配置单元(Registry Hive),提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史,用于数字取证(Digital Forensics)和事件响应(Incident Response)调查。

analyzing-web-server-logs-for-intrusion

9
from killvxk/cybersecurity-skills-zh

解析 Apache 和 Nginx 访问日志,检测 SQL 注入(SQL Injection)尝试、本地文件包含(Local File Inclusion)、 目录遍历(Directory Traversal)、Web 扫描器指纹及暴力破解(Brute Force)模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源, 以及针对请求频率和响应大小异常值的统计异常检测。

analyzing-usb-device-connection-history

9
from killvxk/cybersecurity-skills-zh

从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史,以追踪可移动存储设备的使用情况和潜在的数据外泄行为。

analyzing-typosquatting-domains-with-dnstwist

9
from killvxk/cybersecurity-skills-zh

使用 dnstwist 生成域名置换变体并识别针对您所在组织已注册的仿冒域名,从而检测域名抢注(Typosquatting)、同形字符钓鱼和品牌冒充域名。