技能 binary-re:dynamic-analysis

▶

binary-re:dynamic-analysis

Name: binary-re:dynamic-analysis
Author: 2389-research

低風險

تشغيل وتصحيح الثنائيات لمراقبة سلوك وقت التشغيل

التحليل الثابت لا يمكنه الكشف عن سلوك وقت التشغيل. توفر هذه المهارة طرقاً منظمة للتحليل الديناميكي باستخدام محاكاة QEMU، وتصحيح GDB، وخطاف Frida لمراقبة التنفيذ الفعلي للثنائيات.

支援: Claude Codex Code(CC)

⚠️ 65 差

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「binary-re:dynamic-analysis」。 شغل هذا الثنائي ARM مع تتبع استدعاءات النظام لمعرفة ما يصل إليه

預期結果:

طريقة التنفيذ: qemu-arm -strace
نشاط الشبكة: socket(2), connect(1) → 192.168.1.100:8443
الملفات التي تم الوصول إليها: /etc/config (قراءة), /var/log/app.log (كتابة)
تم تأكيد الفرضية: الثنائي يقوم باتصالات HTTPS صادرة

安全審計

低風險

v3 • 1/10/2026

Prompt-based skill providing instructional guidance for binary analysis. Contains example commands and scripts for educational purposes. Includes human-in-the-loop safety requirements before execution.

已掃描檔案

564

分析行數

發現項

審計總數

未發現安全問題

審計者: claude 查看審計歷史 →

品質評分

架構

100

可維護性

內容

社群

安全

規範符合性

你能建構什麼

تحليل سلوك البرمجيات الخبيثة

مراقبة ما يفعله الثنائي المشبوه فعلياً في وقت التشغيل دون المخاطرة بنظام المضيف.

تصحيح ثنائيات ARM/MIPS

تصحيح ثنائيات البرامج الثابتة متعددة البنية باستخدام محاكاة QEMU على أي منصة مضيفة.

التحقق من نتائج التحليل الثابت

تأكيد الفرضيات من التحليل الثابت بمراقبة سلوك وقت التشغيل الفعلي واستدعاءات الوظائف.

試試這些提示

تشغيل مع strace

شغل هذا الثنائي ARM تحت QEMI مع تتبع استدعاءات النظام لمعرفة الملفات التي يفتحها واتصالات الشبكة التي يقوم بها.

تصحيح مع GDB

صحح هذا الثنائي على مستوى التعليمات. اضبط نقطة توقف عند العنوان 0x8400 وفحص السجلات عند الوصول إليها.

خطاف استدعاءات الوظائف

اكتب سكريبت Frida لخطاف جميع استدعاءات connect() وتسجيل عنوان IP والمنفذ المتصل به.

تنفيذ متعدد البنية على macOS

شغل هذا الثنائي ARM32 على macOS باستخدام Docker لمراقبة سلوك تحميل المكتبات.

最佳實務

احصل دائماً على موافقة بشرية قبل تنفيذ أي ثنائي في التحليل الديناميكي
استخدم QEMU-strace أولاً لرسم خريطة السلوك الأولي قبل التصحيح الأعمق
عزل التنفيذ مع تكوين صندوق الرمل لاحتواء السلوك الخبيث المحتمل

避免

تشغيل الثنائيات بدون عزل صندوق الرمل أو موافقة بشرية
استخدام Frida على الثنائيات المحاكاة بـ QEMU (بنية غير متوافقة)
تخطي فحوصات اكتشاف التحليل قبل التنفيذ

常見問題

ما المنصات التي تدعم تصحيح QEMU متعدد البنية؟

Linux x86_64 يدعم ARM32/64 و MIPS بشكل أصلي. macOS يتطلب Docker مع binfmt. Windows يتطلب WSL2.

لماذا يفشل strace في Docker؟

ptrace غير منفذة في وضع مستخدم QEMU. استخدم LD_DEBUG=libs,files,bindings كبديل للمراقبة.

هل يمكنني استخدام Frida مع QEMU؟

لا. Frida تتطلب بنية أصلية. للتنفيذ متعدد البنية، استخدم frida-server على الجهاز أو QEMU+GDB بدلاً من ذلك.

هل من الآمن تشغيل ثنائيات غير معروفة؟

استخدم دائماً عزل صندوق الرمل (nsjail، حدود الموارد) واحصل على موافقة بشرية. وضع مستخدم QEMU يوفر بعض العزل.

ماذا لو كان الثنائي يحتوي على فحوصات مكافحة التصحيح؟

استخدم QEMU-strace (عدد أقل من ناقلات الاكتشاف)، أو راجع الفحوصات في r2 قبل التنفيذ، أو استخدم وضع Frida stalker.

كيف يختلف هذا عن التحليل الثابت؟

التحليل الثابت يُظهر بنية الكود. التحليل الديناميكي يكشف سلوك وقت التشغيل الفعلي بما في ذلك السلاسل المخفية ونشاط الشبكة.

開發者詳情

作者

2389-research

授權

MIT

儲存庫

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/dynamic-analysis

引用

main

檔案結構

📄 SKILL.md