技能 binary-re-dynamic-analysis
🔬

binary-re-dynamic-analysis

低風險 ⚙️ 外部命令📁 檔案系統存取

Binärdateien mit dynamischer Laufzeitverfolgung analysieren

Sicherheitsforscher müssen das tatsächliche Verhalten von Binärdateien zur Laufzeit beobachten, nicht nur statischen Code. Diese Fähigkeit bietet sichere, Sandbox-Ausführung mit QEMU-Emulation, GDB-Debugging und Frida-Hooking zum Verfolgen von Syscalls, Inspizieren von Speicher und Validieren von Reverse-Engineering-Hypothesen.

支援: Claude Codex Code(CC)
⚠️ 67
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「binary-re-dynamic-analysis」。 Führe diese Binärdatei mit QEMU strace aus und sage mir, auf welche Dateien sie zugreift

預期結果:

Binärdatei mit QEMU-Benutzer-Modus-Emulation mit Syscall-Verfolgung ausgeführt. Beobachtete Dateizugriffsmuster:
- Lesen: /etc/config.json (Konfigurationsdaten)
- Schreiben: /var/log/app.log (Protokollausgabe)
- Lesen: /usr/lib/libssl.so (SSL-Bibliotheksabhängigkeit)
Keine Netzwerk-Syscalls erkannt. Binärdatei scheint ein lokaler Konfigurationsprozessor zu sein.

正在使用「binary-re-dynamic-analysis」。 Verwende Frida, um die Funktion authenticate() zu hooken und zeige mir, welches Passwort sie überprüft

預期結果:

Frida mit Binärdatei verbunden und authenticate()-Funktion bei Offset 0x2a40 abgefangen. Erfasstes Argument beim Aufruf: Passwort-Puffer enthält "admin123". Funktion gibt 1 (Erfolg) zurück, wenn dieser Wert übereinstimmt, sonst 0. Dies scheint eine hartcodierte Authentifizierungsprüfung zu sein.

正在使用「binary-re-dynamic-analysis」。 Debugge diese Binärdatei mit GDB und untersuche den Speicher am Stack-Pointer, wenn main() startet

預期結果:

Binärdatei unter QEMU mit GDB-Server auf Port 1234 gestartet. Breakpoint bei main()-Symbol gesetzt. Ausführung bei 0x000084c0 pausiert. Stack-Pointer (sp) ist bei 0xbefff7a0. Speicherauszug zeigt:
0xbefff7a0: argc=2
0xbefff7a4: argv-Zeiger
0xbefff7a8: Umgebungsvariablen
Stack ist korrekt für ARM ABI ausgerichtet.

安全審計

低風險
v4 • 1/21/2026

This is a legitimate security research and reverse engineering skill for authorized binary analysis. All static findings are false positives related to documentation examples showing proper use of analysis tools. The skill requires explicit human approval before executing any binaries and emphasizes sandbox isolation. No malicious patterns detected.

2
已掃描檔案
1,912
分析行數
3
發現項
4
審計總數
低風險問題 (1)
SKILL.md:1-564
Documentation Contains Security Tool Examples
The skill documentation includes examples of using QEMU, GDB, Frida, and strace for binary analysis. These are legitimate security research tools used for authorized reverse engineering. The skill explicitly requires human approval before execution and emphasizes sandbox configuration. All flagged patterns are documentation examples, not executable code.

風險因素

⚙️ 外部命令 (3)
SKILL.md:26-41 SKILL.md:73-107 SKILL.md:136-202
📁 檔案系統存取 (2)
SKILL.md:144 SKILL.md:404-428
審計者: claude 查看審計歷史 →

品質評分

38
架構
100
可維護性
87
內容
31
社群
88
安全
78
規範符合性

你能建構什麼

Malware-Analyse in Sandbox

Sicherheitsanalysten können verdächtige Binärdateien sicher in isolierten QEMU-Umgebungen ausführen, um Netzwerkverhalten, Dateimodifikationen und Syscall-Muster zu beobachten, ohne das Hostsystem zu gefährden.

Cross-Architecture-Firmware-Debugging

Entwickler von eingebetteten Systemen können ARM- oder MIPS-Binärdateien auf x86-Entwicklungsmaschinen mit QEMU-Emulation und GDB debuggen, sodass physische Hardware während der Analyse nicht erforderlich ist.

Reverse Engineering geschützter Binärdateien

Penetration-Tester können Frida-Hooks verwenden, um kryptografische Funktionen, Authentifizierungsprüfungen und Netzwerkprotokolle in kompilierten Anwendungen abzufangen, um ihr Verhalten zu verstehen und Schwachstellen zu finden.

試試這些提示

Grundlegender Syscall-Trace 
Verwende QEMU, um diese ARM-Binärdatei auszuführen und alle Syscalls zu verfolgen, um zu identifizieren, welche Netzwerkverbindungen sie herstellt
Debuggen mit Breakpoints 
Starte diese Binärdatei unter QEMU mit verbundenem GDB, setze einen Breakpoint bei Adresse 0x8400 und zeige mir den Registerzustand, wenn sie erreicht wird
Netzwerkfunktionen hooken 
Erstelle ein Frida-Skript, um alle connect()-Aufrufe in dieser Binärdatei abzufangen und die IP-Adressen und Ports zu protokollieren, die sie zu erreichen versucht
Cross-Platform-Container-Ausführung 
Führe diese ARM32-Binärdatei in einem Docker-Container auf macOS mit Plattformemulierung aus und erfasse alle Bibliotheksladeereignisse mit LD_DEBUG

最佳實務

  • Hole immer explizite menschliche Genehmigung ein, bevor du irgendeine Binärdatei ausführst, und dokumentiere die verwendete Sandbox-Konfiguration
  • Beginne mit QEMU-Syscall-Verfolgung vor tieferer Analyse, um das Verhalten auf hoher Ebene sicher zu verstehen
  • Verwende Netzwerkisolation in Sandbox-Umgebungen beim Analysieren von Binärdateien mit unbekanntem Netzwerkverhalten

避免

  • Ausführen unbekannter Binärdateien ohne Sandbox-Isolierung oder auf Produktionssystemen
  • Versuchen, Frida mit QEMU-Benutzer-Modus-Emulation zu verwenden (Architekturkonflikt wird fehlschlagen)
  • Verwenden von /tmp-Verzeichnispfaden für Docker-Volume-Mounts auf Colima (schlägt stillschweigend fehl, verwende stattdessen das Home-Verzeichnis)

常見問題

Kann diese Fähigkeit Windows-PE-Binärdateien ausführen?
Diese Fähigkeit konzentriert sich auf Linux-ELF-Binärdateien. Für Windows-PE-Analyse benötigen Sie Wine oder eine Windows-VM anstelle von QEMU-Benutzer-Modus-Emulation.
Ist es sicher, Malware mit dieser Fähigkeit auszuführen?
Die Fähigkeit betont Sandbox-Isolierung mit QEMU, Docker oder nsjail. Sie müssen jedoch geeignete Netzwerkisolation konfigurieren und menschliche Genehmigung einholen, bevor Sie eine verdächtige Binärdatei ausführen.
Warum funktioniert Frida nicht mit QEMU-emulierten Binärdateien?
Frida erfordert native Architekturausführung, um seinen Agenten zu injizieren. QEMU-Benutzer-Modus erstellt einen anderen Prozessraum, zu dem Frida keine Verbindung herstellen kann. Verwenden Sie on-device frida-server für Cross-Arch-Ziele.
Welche Sandbox-Konfiguration sollte ich für unbekannte Binärdateien verwenden?
Beginne mit QEMU-Benutzer-Modus, der hohe Isolation bietet. Füge Netzwerkblockierung, Ressourcenlimits hinzu und führe als nicht-privilegierten Benutzer aus. Dokumentiere deine Konfiguration und hole vor der Ausführung Genehmigung ein.
Kann ich ARM-Binärdateien auf einer x86-Maschine debuggen?
Ja, QEMU-Benutzer-Modus-Emulation ermöglicht das Ausführen von ARM-Binärdateien auf x86-Hosts. Du kannst gdb-multiarch zum Debuggen verwenden. Auf macOS verwende Docker mit Plattformemulierung.
Wie gehe ich mit Anti-Debugging-Techniken in Binärdateien um?
QEMU-Benutzer-Modus umgeht viele Anti-Debug-Checks wie ptrace-Erkennung und /proc-Inspektion. Für Timing-Checks verwende GDB oder patche den Erkennungscode. Die Fähigkeit bietet Mitigationsstrategien in der Dokumentation.

開發者詳情

授權

MIT

儲存庫

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/dynamic-analysis

引用

main

檔案結構

📄 SKILL.md