analyzing-powershell-empire-artifacts
通过识别 Base64 编码的启动器模式、默认 User-Agent、暂存 URL 结构、stager IOC 以及脚本块日志事件中已知的 Empire 模块签名,检测 Windows 事件日志中的 PowerShell Empire 框架工件。
Best use case
analyzing-powershell-empire-artifacts is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过识别 Base64 编码的启动器模式、默认 User-Agent、暂存 URL 结构、stager IOC 以及脚本块日志事件中已知的 Empire 模块签名,检测 Windows 事件日志中的 PowerShell Empire 框架工件。
Teams using analyzing-powershell-empire-artifacts should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-powershell-empire-artifacts/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-powershell-empire-artifacts Compares
| Feature / Agent | analyzing-powershell-empire-artifacts | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过识别 Base64 编码的启动器模式、默认 User-Agent、暂存 URL 结构、stager IOC 以及脚本块日志事件中已知的 Empire 模块签名,检测 Windows 事件日志中的 PowerShell Empire 框架工件。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 分析 PowerShell Empire 工件 ## 概述 PowerShell Empire 是一个由监听器(listener)、stager 和 agent 组成的后渗透框架。其工件在 Windows 事件日志中留有可检测的痕迹,尤其是 PowerShell 脚本块日志(Script Block Logging,事件 ID 4104)和模块日志(Module Logging,事件 ID 4103)。本技能分析事件日志中 Empire 的默认启动器字符串(`powershell -noP -sta -w 1 -enc`)、包含 `System.Net.WebClient` 和 `FromBase64String` 的 Base64 编码 payload、已知模块调用(Invoke-Mimikatz、Invoke-Kerberoast、Invoke-TokenManipulation)以及暂存 URL 模式。 ## 前置条件 - Python 3.9+,可访问 Windows 事件日志或导出的 EVTX 文件 - 通过组策略启用 PowerShell 脚本块日志(事件 ID 4104) - 启用模块日志(事件 ID 4103)以实现全面覆盖 ## 关键检测模式 1. **默认启动器** — `powershell -noP -sta -w 1 -enc` 后跟 Base64 编码块 2. **Stager 失陷指标** — `System.Net.WebClient`、`DownloadData`、`DownloadString`、`FromBase64String` 3. **模块签名** — Invoke-Mimikatz、Invoke-Kerberoast、Invoke-TokenManipulation、Invoke-PSInject、Invoke-DCOM 4. **User-Agent 字符串** — HTTP 监听器配置中的默认 Empire User-Agent 5. **暂存 URL** — `/login/process.php`、`/admin/get.php` 及类似的默认 URI 模式 ## 输出 JSON 报告,包含匹配的 IOC、解码后的 Base64 payload、可疑事件时间线、MITRE ATT&CK 技术映射以及严重性评分。
Related Skills
investigating-ransomware-attack-artifacts
识别、收集和分析勒索软件攻击制品,以确定变种、初始访问向量、加密范围和恢复选项。
implementing-code-signing-for-artifacts
本技能涵盖为构建产物实施代码签名,以确保软件供应链中的完整性和真实性。 内容包括使用 GPG、Sigstore 和平台专用签名工具对二进制文件、软件包和容器进行签名, 建立信任链,以及在部署管道中验证签名。
hunting-for-anomalous-powershell-execution
通过分析脚本块日志(事件 4104)、模块日志(事件 4103)和进程创建事件,狩猎恶意 PowerShell 活动。 分析员解析 Windows 事件日志 EVTX 文件,检测混淆命令、AMSI 绕过尝试、编码 payload、 凭据转储关键词和可疑下载器(download cradles)。适用于涉及 PowerShell 威胁狩猎、脚本块分析、 编码命令检测或 AMSI 绕过识别的场景。
extracting-windows-event-logs-artifacts
使用 Chainsaw、Hayabusa 和 EvtxECmd 提取、解析和分析 Windows 事件日志(EVTX),以检测横向移动、持久化和权限提升。
extracting-memory-artifacts-with-rekall
使用 Rekall 内存取证框架分析内存转储,检测进程空洞化(process hollowing)、通过 VAD 异常注入的代码、隐藏进程和 rootkit。应用 pslist、psscan、vadinfo、malfind 和 dlllist 等插件从 Windows 内存镜像中提取取证工件。适用于应急响应内存分析场景。
extracting-browser-history-artifacts
从 Chrome、Firefox 和 Edge 中提取并分析浏览器历史记录、Cookie、缓存、下载记录和书签,以获取用户网络活动的取证证据。
detecting-suspicious-powershell-execution
检测可疑的 PowerShell 执行模式,包括编码命令、下载器(download cradles)、AMSI 绕过尝试以及受限语言模式规避。
deobfuscating-powershell-obfuscated-malware
使用 AST 分析、动态追踪以及 PSDecode 和 PowerDecode 等工具,系统地对多层 PowerShell 恶意软件进行去混淆,以揭示隐藏的载荷和 C2 基础设施。
analyzing-windows-shellbag-artifacts
分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。
analyzing-windows-registry-for-artifacts
提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。
analyzing-windows-prefetch-with-python
使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。
analyzing-windows-lnk-files-for-artifacts
解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。