技能 binary-re-static-analysis

🔍

binary-re-static-analysis

Name: binary-re-static-analysis
Author: 2389-research

安全 ⚙️ 外部命令📁 文件系统访问

تحليل بنية الثنائي والكود

يتطلب هندسة الثنائيات العكسية فهم هياكل الدوال وتدفقات البيانات ومنطق الكود دون تنفيذها. توفر هذه المهارة طرقًا منهجية للتحليل الثابت باستخدام radare2 و Ghidra لرسم خرائط الكود وتتبع المراجع وفك تجميع الدوال.

支持: Claude Codex Code(CC)

📊 70 充足

下载技能 ZIP

在 Claude 中上传

前往设置 → 功能 → 技能 → 上传技能

开启并开始使用

测试它

正在使用“binary-re-static-analysis”。 Analyze function main

预期结果:

The main function at 0x10800 calls:
- 0x9000: init_config (reads config file)
- 0x8400: network_init (socket, connect)
- 0x10800: main_loop

The network_init function at 0x8400:
- Creates socket(AF_INET, SOCK_STREAM, 0)
- Connects to 192.168.1.100:8080
- Sends data using send()

Key strings found: "config.json", "api.example.com"

正在使用“binary-re-static-analysis”。 Find all crypto functions

预期结果:

Crypto imports detected:
- EVP_EncryptInit at 0x12340 (called by 0x8400, 0x8500)
- AES_encrypt at 0x12348 (called by 0x8450)
- SHA256 at 0x12350 (called by 0x8800)

No hardcoded keys found in analyzed strings.

安全审计

安全

v4 • 1/21/2026

Static analysis tool for binary reverse engineering. All detected patterns are legitimate reverse engineering techniques using radare2 and Ghidra. External command execution is intentional and necessary for invoking analysis tools. No malicious patterns found.

已扫描文件

1,320

分析行数

发现项

审计总数

风险因素

⚙️ 外部命令 (10)

SKILL.md:25-48 SKILL.md:65-67 SKILL.md:71-78 SKILL.md:103-116 SKILL.md:120-129 SKILL.md:160-168 SKILL.md:188-194 SKILL.md:200-208 SKILL.md:219-228 SKILL.md:232-241

📁 文件系统访问 (2)

SKILL.md:202 SKILL.md:34-35

审计者: claude 查看审计历史 →

质量评分

架构

100

可维护性

内容

社区

100

安全

规范符合性

你能构建什么

بحث الثغرات الأمنية

تحليل الثنائيات ذات المصدر المغلق لتحديد الثغرات المحتملة، وتتبع تدفقات البيانات، وفهم مسارات الكود الحرجة قبل الاختبار الديناميكي.

تحليل البرمجيات الخبيثة

فحص البرمجيات الخبيثة بأمان من خلال التقنيات الثابتة. رسم خرائط هياكل الدوال، وتحديد مؤشرات الشبكة، وفهم السلوك دون تشغيل الحمولات.

فهم البرمجيات القديمة

فهم الثنائيات غير الموثقة أو القديمة عندما لا يكون الكود المصدري متاحًا. استرجاع توقيعات الدوال، ورسم خرائط واجهات برمجة التطبيقات، وتوثيق سلوك البرمجيات.

试试这些提示

تحليل الدوال الأساسي

تحليل هذا الثنائي وسرد جميع الدوال. تحديد الدالة الرئيسية وأي دوال متعلقة بالشبكة مثل socket أو connect أو send أو recv.

تتبع المراجع المتقاطعة

البحث عن جميع المُستدعين للدالة على العنوان [ADDRESS]. تتبع سلسلة الاستدعاءات من main لفهم كيفية الوصول إلى هذه الدالة.

طلب فك التجميع

فك تجميع الدالة [FUNCTION_NAME] باستخدام r2ghidra. تقديم الإخراج pseudo-C وشرح ما يبدو أن الدالة تفعله.

التحليل الثابت الكامل

تنفيذ تحليل ثابت كامل: تعداد الدوال، وتحديد استدعاءات التشفير والشبكة، وتتبع المراجع المتقاطعة للدوال المثيرة للاهتمام، وفك تجميع الدالة الرئيسية. تصدير النتائج كـ JSON منظم.

最佳实践

ابدأ بالتحليل الخفيف (aa; aac) وتعمق فقط في الدوال المثيرة للاهتمام لتوفير الوقت على الثنائيات الكبيرة.
استخدم النهج ثنائي المراحل: التعداد والرسم الخرائطي أولاً، ثم فك تجميع دوال محددة بدلاً من الثنائي بأكمله.
وثق دائمًا الفرضيات والأدلة الداعمة أثناء التحليل للتحقق لاحقًا.

避免

تشغيل التحليل الكامل (aaa) على الثنائيات الكبيرة بدون إعدادات المهلة قد يوقف جلسة التحليل.
تخطي تحليل المراجع المتقاطعة والقفز مباشرة إلى فك التجميع يفقد سياق الكود الأوسع.
افتراض أن مخرجات فك التجميع هي الكود المصدري بالضبط - فك التجميع تقريبي وقد يحتوي على عدم دقة.

常见问题

ما الأدوات التي تستخدمها هذه المهارة؟

تستخدم هذه المهارة radare2 (r2) للفك والتحليل، مع إضافة r2ghidra لفك التجميع. للثنائيات الكبيرة، يمكن أيضًا استدعاء وضع headless الخاص بـ Ghidra.

هل يمكن لهذه المهارة تحليل أي تنسيق ثنائي؟

تدعم التنسيقات الشائعة بما في ذلك ELF و PE و Mach-O والثنائيات الخام. الدعم يعتمد على قدرات radare2 للعمارة المحددة.

كم يستغرق التحليل؟

التحليل الخفيف يستغرق ثوانٍ إلى دقائق حسب حجم الثنائي. فك التجميع العميق لدوال محددة يضيف حملًا طفيفًا. قد تتطلب الثنائيات الكبيرة إعدادات المهلة.

هل المخرجات دقيقة؟

الفك دقيق لاسترجاع التعليمات. فك التجميع يوفر تقريبًا معقولًا ولكن قد لا يتطابق مع المصدر الأصلي بالضبط، خاصة مع التحسينات.

هل يمكنني تحليل الثنائيات المقطوعة؟

نعم، يمكن لـ radare2 تحليل الثنائيات المقطوعة من خلال التركيز على بنية الكود بدلاً من الرموز. ستكون أسماء الدوال مبنية على العناوين (sub_XXXX) بدلاً من الأسماء.

ماذا يجب أن أحلل أولاً؟

ابدأ بتعداد الدوال والاستيرادات لفهم سطح الثنائي. ثم حدد الدوال المثيرة للاهتمام بناءً على الاستيرادات والسلاسل قبل التحليل العميق.

开发者详情

作者

2389-research

许可证

MIT

仓库

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/static-analysis

引用

main

文件结构

📄 SKILL.md