binary-re-dynamic-analysis
تحليل الثنائيات عبر تتبع وقت التشغيل الديناميكي
يحتاج باحثو الأمن إلى مراقبة السلوك الفعلي للثنائيات أثناء التشغيل، وليس الكود الساكن فقط. توفر هذه المهارة تنفيذًا آمنًا ومعزولًا باستخدام محاكاة QEMU، وتصحيح GDB، وخطافات Frida لتتبع استدعاءات النظام، وفحص الذاكرة، والتحقق من فرضيات الهندسة العكسية.
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「binary-re-dynamic-analysis」。 Run this binary with QEMU strace and tell me what files it accesses
預期結果:
Executed binary using QEMU user-mode emulation with syscall tracing. Observed file access patterns:
- Read: /etc/config.json (configuration data)
- Write: /var/log/app.log (logging output)
- Read: /usr/lib/libssl.so (SSL library dependency)
No network syscalls detected. Binary appears to be a local configuration processor.
正在使用「binary-re-dynamic-analysis」。 Use Frida to hook the authenticate() function and show me what password it checks
預期結果:
Attached Frida to running binary and intercepted authenticate() function at offset 0x2a40. Captured argument at call time: password buffer contains "admin123". Function returns 1 (success) when this value matches, 0 otherwise. This appears to be a hardcoded authentication check.
正在使用「binary-re-dynamic-analysis」。 Debug this binary with GDB and examine memory at the stack pointer when main() starts
預期結果:
Started binary under QEMU with GDB server on port 1234. Set breakpoint at main() symbol. Execution paused at 0x000084c0. Stack pointer (sp) is at 0xbefff7a0. Memory dump shows:
0xbefff7a0: argc=2
0xbefff7a4: argv pointer
0xbefff7a8: environment variables
Stack is properly aligned for ARM ABI.
安全審計
低風險This is a legitimate security research and reverse engineering skill for authorized binary analysis. All static findings are false positives related to documentation examples showing proper use of analysis tools. The skill requires explicit human approval before executing any binaries and emphasizes sandbox isolation. No malicious patterns detected.
低風險問題 (1)
風險因素
⚙️ 外部命令 (3)
📁 檔案系統存取 (2)
品質評分
你能建構什麼
تحليل البرمجيات الخبيثة في بيئة معزولة
يمكن لمحللي الأمن تنفيذ ثنائيات مشبوهة بأمان في بيئات QEMU المعزولة لمراقبة سلوك الشبكة وتعديلات الملفات وأنماط استدعاءات النظام دون المخاطرة بالنظام المضيف.
تصحيح برامج ثابتة متعددة المعماريات
يمكن لمطوري الأنظمة المضمنة تصحيح ثنائيات ARM أو MIPS على أجهزة تطوير x86 باستخدام محاكاة QEMU مع GDB، مما يلغي الحاجة إلى عتاد فعلي أثناء التحليل.
الهندسة العكسية للثنائيات المحمية
يمكن لمختبري الاختراق استخدام خطافات Frida لاعتراض الدوال التشفيرية وعمليات التحقق من المصادقة وبروتوكولات الشبكة في التطبيقات المترجمة لفهم سلوكها والعثور على الثغرات.
試試這些提示
Use QEMU to run this ARM binary and trace all syscalls to identify what network connections it makes
Start this binary under QEMU with GDB attached, set a breakpoint at address 0x8400, and show me the register state when it hits
Create a Frida script to intercept all connect() calls in this binary and log the IP addresses and ports it tries to reach
Run this ARM32 binary in a Docker container on macOS with platform emulation and capture all library loading events using LD_DEBUG
最佳實務
- احصل دائمًا على موافقة بشرية صريحة قبل تنفيذ أي ثنائي ووثّق إعدادات بيئة العزل المستخدمة
- ابدأ بتتبع استدعاءات النظام عبر QEMU قبل التحليل الأعمق لفهم السلوك عالي المستوى بأمان
- استخدم عزل الشبكة في بيئات العزل عند تحليل ثنائيات ذات سلوك شبكة غير معروف
避免
- تشغيل ثنائيات مجهولة دون عزل أو على أنظمة إنتاج
- محاولة استخدام Frida مع محاكاة QEMU في وضع المستخدم (عدم تطابق المعمارية سيفشل)
- استخدام مسارات مجلد /tmp لتحميل وحدات Docker على Colima (يفشل بصمت، استخدم مجلد المنزل بدلًا من ذلك)