技能 binary-re-triage
🔍

binary-re-triage

安全 🌐 網路存取📁 檔案系統存取⚙️ 外部命令

تحديد بنية الملف الثنائي والتبعيات

تحتاج الملفات الثنائية المجهولة من الأجهزة المضمنة إلى تحديد سريع قبل التحليل. تقوم هذه المهارة بتشغيل أوامر rabin2 و file لاستخراج البنية المعمارية ونوع libc وتبعيات المكتبات خلال ثوانٍ.

支援: Claude Codex Code(CC)
📊 69 充足
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「binary-re-triage」。 Run triage on /tmp/unknown_binary

預期結果:

  • Architecture: ARM 32-bit, little endian
  • Libc: musl (/lib/ld-musl-arm.so.1)
  • Dependencies: libcurl, libssl, libpthread
  • Capabilities inferred: HTTP client, TLS encryption, multi-threading
  • Stripped: yes (symbols removed)
  • Size: 153KB

正在使用「binary-re-triage」。 Analyze firmware.bin from IoT device

預期結果:

  • File type: ELF 64-bit LSB executable
  • Architecture: AARCH64 (ARM64)
  • Libc: glibc (ld-linux-aarch64.so.1)
  • Imports: socket, connect, send (network client detected)
  • Strings of interest: api.iotvendor.com/telemetry
  • Assessment: Likely IoT telemetry client

安全審計

安全
v3 • 1/16/2026

This is a documentation-only skill providing guidance for binary reverse engineering analysis. The skill contains no executable code - only markdown documentation describing how to run standard Unix analysis tools (file, rabin2, readelf) for identifying unknown binaries. All patterns flagged as concerning (C2 keywords, crypto references, mmap) are legitimate security research terminology used to describe what analysts should look FOR when analyzing potentially malicious binaries, not how to create them. This is standard security research documentation from a legitimate reverse engineering workflow.

2
已掃描檔案
448
分析行數
3
發現項
3
審計總數

風險因素

🌐 網路存取 (2)
skill-report.json:6 SKILL.md:186
📁 檔案系統存取 (3)
skill-report.json:122 SKILL.md:65 SKILL.md:149
⚙️ 外部命令 (46)
SKILL.md:29-36 SKILL.md:36-47 SKILL.md:47-59 SKILL.md:59-63 SKILL.md:63-74 SKILL.md:74-80 SKILL.md:80-81 SKILL.md:81-82 SKILL.md:82-83 SKILL.md:83-84 SKILL.md:84-85 SKILL.md:85-89 SKILL.md:89-99 SKILL.md:99-103 SKILL.md:103-109 SKILL.md:109-113 SKILL.md:113-123 SKILL.md:123-127 SKILL.md:127-136 SKILL.md:136-142 SKILL.md:142 SKILL.md:142 SKILL.md:142-143 SKILL.md:143 SKILL.md:143 SKILL.md:143-144 SKILL.md:144 SKILL.md:144 SKILL.md:144-145 SKILL.md:145 SKILL.md:145 SKILL.md:145-146 SKILL.md:146-147 SKILL.md:147 SKILL.md:147-148 SKILL.md:148 SKILL.md:148-149 SKILL.md:149 SKILL.md:149-155 SKILL.md:155-195 SKILL.md:195-201 SKILL.md:201-224 SKILL.md:224-228 SKILL.md:228-253 SKILL.md:253-266 SKILL.md:266-267
審計者: claude 查看審計歷史 →

品質評分

38
架構
100
可維護性
87
內容
20
社群
100
安全
91
規範符合性

你能建構什麼

تصنيف سريع للملفات الثنائية

التعرّف بسرعة على ملفات البرامج الثابتة لأجهزة مضمّنة لتحديد منهج التحليل واختيار الأدوات.

تقييم ما قبل التحليل

تأسيس حقائق أساسية حول الملفات التنفيذية المجهولة قبل الالتزام بتحليل ثابت أو ديناميكي مكلف.

جرد التبعيات

حصر تبعيات المكتبات المشتركة وتحديد القدرات التي يحتمل أن يحتويها الملف الثنائي.

試試這些提示

ما هذا الملف الثنائي؟ 
لدي ملف ثنائي في /path/to/file. ما هي معمارية؟ ما المكتبات التي يرتبط بها؟
تحديد التبعيات 
نفّذ triage على هذا الملف الثنائي وأظهر لي جميع الدوال المستوردة وتبعيات المكتبات المشتركة.
تقييم القدرات 
ماذا من المحتمل أن يفعل هذا الملف الثنائي بناءً على وارداته؟ ابحث عن أنماط الشبكات أو التشفير أو إدخال/إخراج الملفات.
توليد تقرير تحليل 
أجرِ triage كاملًا على هذا الملف الثنائي بما في ذلك: نوع الملف، المعمارية، البتّات، ترتيب البايتات، libc، الواردات، الصادرات، والسلاسل النصية المثيرة للاهتمام.

最佳實務

  • شغّل triage دائمًا قبل التحليل الأعمق لاختيار الأدوات الصحيحة (QEMU, GDB architecture)
  • سجّل النتائج في الذاكرة الحدثية حتى تتمكن من استئناف التحليل في جلسات لاحقة
  • استخدم تنسيق إخراج JSON للبيانات المهيكلة التي يمكن لـ Claude تحليلها بشكل موثوق

避免

  • تخطي triage والانتقال مباشرة إلى التفكيك دون معرفة المعمارية
  • استخدام أدوات x86 على ملفات ARM دون محاكاة QEMU
  • افتراض أن الملف الثنائي الساكن آمن للتنفيذ دون بيئة معزولة

常見問題

ما الأدوات التي يجب تثبيتها؟
radare2، readelf، أمر file. التثبيت عبر apt (r2, binutils) على Linux أو brew على macOS.
هل يمكنه تحليل ملفات Windows التنفيذية؟
لا. تستهدف هذه المهارة ملفات ELF الثنائية من أجهزة Linux المضمنة. استخدم أدوات أخرى لتحليل PE/EXE.
كم يستغرق triage؟
ثوانٍ. يشغل أوامر استخراج بيانات وصفية سريعة. قد يستغرق فحص السلاسل النصية الكامل بضع ثوانٍ على الملفات الثنائية الكبيرة.
هل يعدّل الملف الثنائي؟
لا. جميع الأوامر تحليلية للقراءة فقط (file, rabin2 -q, readelf). لا يتم إجراء أي تعديلات.
ماذا لو لم يكن rabin2 مثبتًا؟
ثبّت radare2: apt install radare2 أو brew install radare2. يتطلب triage أداة rabin2 من حزمة radare2.
كيف يختلف هذا عن التحليل الثابت؟
triage هو بصمة سريعة (ثوانٍ) تحدد ما هو الملف الثنائي. التحليل الثابت هو تعداد عميق للدوال يوضح كيف يعمل.

開發者詳情

授權

MIT

儲存庫

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/triage

引用

main

檔案結構

📄 SKILL.md