Compétences binary-re:dynamic-analysis

binary-re:dynamic-analysis

Risque faible

تشغيل وتصحيح الثنائيات لمراقبة سلوك وقت التشغيل

التحليل الثابت لا يمكنه الكشف عن سلوك وقت التشغيل. توفر هذه المهارة طرقاً منظمة للتحليل الديناميكي باستخدام محاكاة QEMU، وتصحيح GDB، وخطاف Frida لمراقبة التنفيذ الفعلي للثنائيات.

Prend en charge: Claude Codex Code(CC)
⚠️ 63 Médiocre
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "binary-re:dynamic-analysis". شغل هذا الثنائي ARM مع تتبع استدعاءات النظام لمعرفة ما يصل إليه

Résultat attendu:

  • طريقة التنفيذ: qemu-arm -strace
  • نشاط الشبكة: socket(2), connect(1) → 192.168.1.100:8443
  • الملفات التي تم الوصول إليها: /etc/config (قراءة), /var/log/app.log (كتابة)
  • تم تأكيد الفرضية: الثنائي يقوم باتصالات HTTPS صادرة

Audit de sécurité

Risque faible
v3 • 1/10/2026

Prompt-based skill providing instructional guidance for binary analysis. Contains example commands and scripts for educational purposes. Includes human-in-the-loop safety requirements before execution.

1
Fichiers analysés
564
Lignes analysées
0
résultats
3
Total des audits
Aucun problème de sécurité trouvé
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
81
Contenu
21
Communauté
90
Sécurité
61
Conformité aux spécifications

Ce que vous pouvez construire

تحليل سلوك البرمجيات الخبيثة

مراقبة ما يفعله الثنائي المشبوه فعلياً في وقت التشغيل دون المخاطرة بنظام المضيف.

تصحيح ثنائيات ARM/MIPS

تصحيح ثنائيات البرامج الثابتة متعددة البنية باستخدام محاكاة QEMU على أي منصة مضيفة.

التحقق من نتائج التحليل الثابت

تأكيد الفرضيات من التحليل الثابت بمراقبة سلوك وقت التشغيل الفعلي واستدعاءات الوظائف.

Essayez ces prompts

تشغيل مع strace 
شغل هذا الثنائي ARM تحت QEMI مع تتبع استدعاءات النظام لمعرفة الملفات التي يفتحها واتصالات الشبكة التي يقوم بها.
تصحيح مع GDB 
صحح هذا الثنائي على مستوى التعليمات. اضبط نقطة توقف عند العنوان 0x8400 وفحص السجلات عند الوصول إليها.
خطاف استدعاءات الوظائف 
اكتب سكريبت Frida لخطاف جميع استدعاءات connect() وتسجيل عنوان IP والمنفذ المتصل به.
تنفيذ متعدد البنية على macOS 
شغل هذا الثنائي ARM32 على macOS باستخدام Docker لمراقبة سلوك تحميل المكتبات.

Bonnes pratiques

  • احصل دائماً على موافقة بشرية قبل تنفيذ أي ثنائي في التحليل الديناميكي
  • استخدم QEMU-strace أولاً لرسم خريطة السلوك الأولي قبل التصحيح الأعمق
  • عزل التنفيذ مع تكوين صندوق الرمل لاحتواء السلوك الخبيث المحتمل

Éviter

  • تشغيل الثنائيات بدون عزل صندوق الرمل أو موافقة بشرية
  • استخدام Frida على الثنائيات المحاكاة بـ QEMU (بنية غير متوافقة)
  • تخطي فحوصات اكتشاف التحليل قبل التنفيذ

Foire aux questions

ما المنصات التي تدعم تصحيح QEMU متعدد البنية؟
Linux x86_64 يدعم ARM32/64 و MIPS بشكل أصلي. macOS يتطلب Docker مع binfmt. Windows يتطلب WSL2.
لماذا يفشل strace في Docker؟
ptrace غير منفذة في وضع مستخدم QEMU. استخدم LD_DEBUG=libs,files,bindings كبديل للمراقبة.
هل يمكنني استخدام Frida مع QEMU؟
لا. Frida تتطلب بنية أصلية. للتنفيذ متعدد البنية، استخدم frida-server على الجهاز أو QEMU+GDB بدلاً من ذلك.
هل من الآمن تشغيل ثنائيات غير معروفة؟
استخدم دائماً عزل صندوق الرمل (nsjail، حدود الموارد) واحصل على موافقة بشرية. وضع مستخدم QEMU يوفر بعض العزل.
ماذا لو كان الثنائي يحتوي على فحوصات مكافحة التصحيح؟
استخدم QEMU-strace (عدد أقل من ناقلات الاكتشاف)، أو راجع الفحوصات في r2 قبل التنفيذ، أو استخدم وضع Frida stalker.
كيف يختلف هذا عن التحليل الثابت؟
التحليل الثابت يُظهر بنية الكود. التحليل الديناميكي يكشف سلوك وقت التشغيل الفعلي بما في ذلك السلاسل المخفية ونشاط الشبكة.

Détails du développeur

Licence

MIT

Dépôt

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/dynamic-analysis

Réf

main

Structure de fichiers

📄 SKILL.md