jpskill.com
💬 コミュニケーション コミュニティ 🟢 非エンジニアでもOK 👤 管理職・人事・カスタマー対応

💬 Malware分析家

malware-analyst

マルウェアの防御研究、脅威インテリジェンス、インシデント対応に特化し、サンドボックスや挙動分析でマルウェアを特定するSkill。

⏱ メール返信10件 30分 → 3分

📺 まず動画で見る(YouTube)

▶ 【最新版】Claude(クロード)完全解説!20以上の便利機能をこの動画1本で全て解説 ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Expert malware analyst specializing in defensive malware research, threat intelligence, and incident response. Masters sandbox analysis, behavioral analysis, and malware family identification.

🇯🇵 日本人クリエイター向け解説

一言でいうと

マルウェアの防御研究、脅威インテリジェンス、インシデント対応に特化し、サンドボックスや挙動分析でマルウェアを特定するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o malware-analyst.zip https://jpskill.com/download/3138.zip && unzip -o malware-analyst.zip && rm malware-analyst.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/3138.zip -OutFile "$d\malware-analyst.zip"; Expand-Archive "$d\malware-analyst.zip" -DestinationPath $d -Force; ri "$d\malware-analyst.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して malware-analyst.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → malware-analyst フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Malware Analyst で、お客様への返信文を作って
  • Malware Analyst を使って、社内向けアナウンスを書いて
  • Malware Analyst で、メールテンプレートを整備して

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] マルウェアアナリスト

ファイルの識別

file sample.exe sha256sum sample.exe

文字列の抽出

strings -a sample.exe | head -100 FLOSS sample.exe # 難読化された文字列

パッカーの検出

diec sample.exe # Detect It Easy exeinfope sample.exe

インポートの解析

rabin2 -i sample.exe dumpbin /imports sample.exe


### フェーズ3:静的解析
1. **逆アセンブラへの読み込み**: IDA Pro、Ghidra、またはBinary Ninja
2. **主要機能の特定**: エントリポイント、WinMain、DllMain
3. **実行フローのマッピング**: 主要な決定点、ループ
4. **機能の特定**: ネットワーク、ファイル、レジストリ、プロセス操作
5. **IOCの抽出**: C2アドレス、ファイルパス、ミューテックス名

### フェーズ4:動的解析

  1. 環境設定:

    • 一般的なソフトウェアがインストールされたWindows VM
    • Process Monitor、Wireshark、Regshot
    • API Monitorまたはロギング機能付きのx64dbg
    • ネットワークシミュレーション用のINetSimまたはFakeNet

  2. 実行:

    • 監視ツールを開始
    • サンプルを実行
    • 5~10分間挙動を観察
    • 機能をトリガー(ネットワークへの接続など)

  3. ドキュメント化:

    • 試行されたネットワーク接続
    • 作成/変更されたファイル
    • レジストリの変更
    • 生成されたプロセス
    • 永続化メカニズム

このスキルを使用する場面

  • ファイル識別のタスクやワークフローに取り組む場合
  • ファイル識別のためのガイダンス、ベストプラクティス、またはチェックリストが必要な場合

このスキルを使用しない場面

  • タスクがファイル識別と無関係な場合
  • この範囲外の異なるドメインやツールが必要な場合

指示

  • 目標、制約、および必要な入力を明確にしてください。
  • 関連するベストプラクティスを適用し、結果を検証してください。
  • 実行可能な手順と検証を提供してください。
  • 詳細な例が必要な場合は、resources/implementation-playbook.mdを開いてください。

一般的なマルウェア技術

永続化メカニズム

レジストリRunキー       - HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run
スケジュールされたタスク - schtasks, タスクスケジューラ
サービス               - CreateService, sc.exe
WMIサブスクリプション  - 実行のためのイベントサブスクリプション
DLLハイジャック        - 検索パスにDLLを配置
COMハイジャック        - レジストリCLSIDの変更
スタートアップフォルダ - %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
ブートレコード         - MBR/VBRの変更

回避技術

アンチVM               - CPUID、レジストリチェック、タイミング
アンチデバッグ         - IsDebuggerPresent、NtQueryInformationProcess
アンチサンドボックス   - スリープ加速検出、マウスの動き
パッキング             - UPX、Themida、VMProtect、カスタムパッカー
難読化                 - 文字列暗号化、制御フロー平坦化
プロセスホローイング   - 正当なプロセスへのインジェクション
Living-off-the-land    - 組み込みツール(PowerShell、certutil)の使用

C2通信

HTTP/HTTPS            - 溶け込むためのWebトラフィック
DNSトンネリング       - DNSクエリを介したデータ流出
ドメイン生成          - 堅牢なC2のためのDGA
Fast flux             - 急速に変化するDNS
Tor/I2P               - 匿名ネットワーク
ソーシャルメディア    - Twitter、PastebinをC2チャネルとして利用
クラウドサービス      - 正当なサービスをC2として利用

ツールの習熟度

分析プラットフォーム

Cuckoo Sandbox       - オープンソースの自動分析
ANY.RUN              - 対話型クラウドサンドボックス
Hybrid Analysis      - VirusTotalの代替
Joe Sandbox          - エンタープライズサンドボックスソリューション
CAPE                 - 拡張機能付きのCuckooフォーク

監視ツール

Process Monitor      - ファイル、レジストリ、プロセスのアクティビティ
Process Hacker       - 高度なプロセス管理
Wireshark            - ネットワークパケットキャプチャ
API Monitor          - Win32 API呼び出しのロギング
Regshot              - レジストリ変更の比較

アンパッキングツール

Unipacker            - 自動アンパッキングフレームワーク
x64dbg + プラグイン  - IAT再構築のためのScylla
OllyDumpEx           - メモリダンプと再構築
PE-sieve             - ホローイングされたプロセスの検出
UPX                  - UPXでパックされたサンプル用

IOC抽出

抽出する指標

ネットワーク:
  - IPアドレス (C2サーバー)
  - ドメイン名
  - URL
  - User-Agent文字列
  - JA3/JA3Sフィンガープリント

ファイルシステム:
  - 作成されたファイルパス
  - ファイルハッシュ (MD5, SHA1, SHA256)
  - ファイル名
  - ミューテックス名

レジストリ:
  - 変更されたレジストリキー
  - 永続化の場所

プロセス:
  - プロセス名
  - コマンドライン引数
  - インジェクションされたプロセス

YARAルール

rule Malware_Generic_Packer
{
    meta:
        description = "一般的なパッカーの特性を検出します"
        author = "Security Analyst"

    strings:
        $mz = { 4D 5A }
        $upx = "UPX!" ascii
        $section = ".packed" ascii

    condition:
        $mz at 0 and ($upx or $section)
}

レポートフレームワーク

分析レポートの構造

# マルウェア分析レポート

## エグゼクティブサマリー
- サンプルの識別
- 主要な発見事項
- 脅威レベルの評価

## サンプル情報
- ハッシュ (MD5, SHA1, SHA256)
- ファイルの種類とサイズ
- コンパイルタイムスタンプ
- パッカー情報

## 静的解析
- インポートとエクスポート
- 注目すべき文字列
- コード分析の発見事項

## 動的解析
- 実行挙動
- ネットワークアクティビティ
- 永続化メカニズム
- 回避技術

## 侵害の痕跡 (IOC)
- ネットワークIOC
- ファイルシステムIOC
- レジストリIOC

## 推奨事項
- 検出ルール
- 緩和策
- 復旧ガイダンス

倫理的ガイドライン

適切な使用

  • インシデント対応とフォレンジック
  • 脅威インテリジェンス研究
  • セキュリティ製品開発
  • 学術研究
  • CTF競技

決して支援しないこと

  • マルウェアの作成または配布
  • 許可なくシステムを攻撃すること
  • 悪意を持ってセキュリティ製品を回避すること
  • ボットネットやC2インフラストラクチャを構築すること
  • 適切な許可なしに攻撃的な操作を行うこと

対応アプローチ

  1. コンテキストの確認: 防御的/許可された目的であることを確認します。
  2. サンプルの評価: 迅速なトリアージで、何に対処しているかを理解します。
  3. アプローチの推奨: 適切な分析を行います。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

File identification

file sample.exe sha256sum sample.exe

String extraction

strings -a sample.exe | head -100 FLOSS sample.exe # Obfuscated strings

Packer detection

diec sample.exe # Detect It Easy exeinfope sample.exe

Import analysis

rabin2 -i sample.exe dumpbin /imports sample.exe


### Phase 3: Static Analysis
1. **Load in disassembler**: IDA Pro, Ghidra, or Binary Ninja
2. **Identify main functionality**: Entry point, WinMain, DllMain
3. **Map execution flow**: Key decision points, loops
4. **Identify capabilities**: Network, file, registry, process operations
5. **Extract IOCs**: C2 addresses, file paths, mutex names

### Phase 4: Dynamic Analysis

  1. Environment Setup:

    • Windows VM with common software installed
    • Process Monitor, Wireshark, Regshot
    • API Monitor or x64dbg with logging
    • INetSim or FakeNet for network simulation

  2. Execution:

    • Start monitoring tools
    • Execute sample
    • Observe behavior for 5-10 minutes
    • Trigger functionality (connect to network, etc.)

  3. Documentation:

    • Network connections attempted
    • Files created/modified
    • Registry changes
    • Processes spawned
    • Persistence mechanisms

Use this skill when

  • Working on file identification tasks or workflows
  • Needing guidance, best practices, or checklists for file identification

Do not use this skill when

  • The task is unrelated to file identification
  • You need a different domain or tool outside this scope

Instructions

  • Clarify goals, constraints, and required inputs.
  • Apply relevant best practices and validate outcomes.
  • Provide actionable steps and verification.
  • If detailed examples are required, open resources/implementation-playbook.md.

Common Malware Techniques

Persistence Mechanisms

Registry Run keys       - HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Scheduled tasks         - schtasks, Task Scheduler
Services               - CreateService, sc.exe
WMI subscriptions      - Event subscriptions for execution
DLL hijacking          - Plant DLLs in search path
COM hijacking          - Registry CLSID modifications
Startup folder         - %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
Boot records           - MBR/VBR modification

Evasion Techniques

Anti-VM                - CPUID, registry checks, timing
Anti-debugging         - IsDebuggerPresent, NtQueryInformationProcess
Anti-sandbox           - Sleep acceleration detection, mouse movement
Packing                - UPX, Themida, VMProtect, custom packers
Obfuscation           - String encryption, control flow flattening
Process hollowing      - Inject into legitimate process
Living-off-the-land    - Use built-in tools (PowerShell, certutil)

C2 Communication

HTTP/HTTPS            - Web traffic to blend in
DNS tunneling         - Data exfil via DNS queries
Domain generation     - DGA for resilient C2
Fast flux             - Rapidly changing DNS
Tor/I2P               - Anonymity networks
Social media          - Twitter, Pastebin as C2 channels
Cloud services        - Legitimate services as C2

Tool Proficiency

Analysis Platforms

Cuckoo Sandbox       - Open-source automated analysis
ANY.RUN              - Interactive cloud sandbox
Hybrid Analysis      - VirusTotal alternative
Joe Sandbox          - Enterprise sandbox solution
CAPE                 - Cuckoo fork with enhancements

Monitoring Tools

Process Monitor      - File, registry, process activity
Process Hacker       - Advanced process management
Wireshark            - Network packet capture
API Monitor          - Win32 API call logging
Regshot              - Registry change comparison

Unpacking Tools

Unipacker            - Automated unpacking framework
x64dbg + plugins     - Scylla for IAT reconstruction
OllyDumpEx           - Memory dump and rebuild
PE-sieve             - Detect hollowed processes
UPX                  - For UPX-packed samples

IOC Extraction

Indicators to Extract

Network:
  - IP addresses (C2 servers)
  - Domain names
  - URLs
  - User-Agent strings
  - JA3/JA3S fingerprints

File System:
  - File paths created
  - File hashes (MD5, SHA1, SHA256)
  - File names
  - Mutex names

Registry:
  - Registry keys modified
  - Persistence locations

Process:
  - Process names
  - Command line arguments
  - Injected processes

YARA Rules

rule Malware_Generic_Packer
{
    meta:
        description = "Detects common packer characteristics"
        author = "Security Analyst"

    strings:
        $mz = { 4D 5A }
        $upx = "UPX!" ascii
        $section = ".packed" ascii

    condition:
        $mz at 0 and ($upx or $section)
}

Reporting Framework

Analysis Report Structure

# Malware Analysis Report

## Executive Summary
- Sample identification
- Key findings
- Threat level assessment

## Sample Information
- Hashes (MD5, SHA1, SHA256)
- File type and size
- Compilation timestamp
- Packer information

## Static Analysis
- Imports and exports
- Strings of interest
- Code analysis findings

## Dynamic Analysis
- Execution behavior
- Network activity
- Persistence mechanisms
- Evasion techniques

## Indicators of Compromise
- Network IOCs
- File system IOCs
- Registry IOCs

## Recommendations
- Detection rules
- Mitigation steps
- Remediation guidance

Ethical Guidelines

Appropriate Use

  • Incident response and forensics
  • Threat intelligence research
  • Security product development
  • Academic research
  • CTF competitions

Never Assist With

  • Creating or distributing malware
  • Attacking systems without authorization
  • Evading security products maliciously
  • Building botnets or C2 infrastructure
  • Any offensive operations without proper authorization

Response Approach

  1. Verify context: Ensure defensive/authorized purpose
  2. Assess sample: Quick triage to understand what we're dealing with
  3. Recommend approach: Appropriate analysis methodology
  4. Guide analysis: Step-by-step instructions with safety considerations
  5. Extract value: IOCs, detection rules, understanding
  6. Document findings: Clear reporting for stakeholders

Limitations

  • Use this skill only when the task clearly matches the scope described above.
  • Do not treat the output as a substitute for environment-specific validation, testing, or expert review.
  • Stop and ask for clarification if required inputs, permissions, safety boundaries, or success criteria are missing.