binary-re-static-analysis
Binärstruktur und Code analysieren
Das Reverse Engineering von Binärdateien erfordert das Verstehen von Funktionsstrukturen, Datenflüssen und Codelogik ohne Ausführung. Diese Fähigkeit bietet systematische Methoden für die statische Analyse mit radare2 und Ghidra zum Mappen von Code, Verfolgen von Referenzen und Dekompilieren von Funktionen.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "binary-re-static-analysis". Analyze function main
Résultat attendu:
Die Hauptfunktion bei 0x10800 ruft auf:
- 0x9000: init_config (liest Konfigurationsdatei)
- 0x8400: network_init (socket, connect)
- 0x10800: main_loop
Die network_init Funktion bei 0x8400:
- Erstellt socket(AF_INET, SOCK_STREAM, 0)
- Verbindet sich mit 192.168.1.100:8080
- Sendet Daten mit send()
Gefundene Schlüsselstrings: "config.json", "api.example.com"
Utilisation de "binary-re-static-analysis". Find all crypto functions
Résultat attendu:
Erkannte Krypto-Importe:
- EVP_EncryptInit bei 0x12340 (aufgerufen von 0x8400, 0x8500)
- AES_encrypt bei 0x12348 (aufgerufen von 0x8450)
- SHA256 bei 0x12350 (aufgerufen von 0x8800)
Keine hardcodierten Schlüssel in analysierten Strings gefunden.
Audit de sécurité
SûrStatic analysis tool for binary reverse engineering. All detected patterns are legitimate reverse engineering techniques using radare2 and Ghidra. External command execution is intentional and necessary for invoking analysis tools. No malicious patterns found.
Facteurs de risque
⚙️ Commandes externes (10)
📁 Accès au système de fichiers (2)
Score de qualité
Ce que vous pouvez construire
Sicherheitslückenforschung
Analysieren Sie Closed-Source-Binärdateien, um potenzielle Sicherheitslücken zu identifizieren, Datenflüsse zu verfolgen und sicherheitskritische Codepfade vor dynamischen Tests zu verstehen.
Malware-Analyse
Untersuchen Sie Schadsoftware sicher durch statische Techniken. Kartieren Sie Funktionsstrukturen, identifizieren Sie Netzwerkindikatoren und verstehen Sie das Verhalten, ohne Payload-Auslöser zu aktivieren.
Verständnis von Legacy-Software
Verstehen Sie undocumented oder Legacy-Binärdateien, wenn der Quellcode nicht verfügbar ist. Stellen Sie Funktionssignaturen wieder her, mappen Sie APIs und dokumentieren Sie das Softwareverhalten.
Essayez ces prompts
Analysieren Sie diese Binärdatei und listen Sie alle Funktionen auf. Identifizieren Sie die Hauptfunktion und alle netzwerkbezogenen Funktionen wie socket, connect, send oder recv.
Finden Sie alle Aufrufer der Funktion an Adresse [ADDRESS]. Verfolgen Sie die Aufrufkette von main, um zu verstehen, wie diese Funktion erreicht wird.
Dekompilieren Sie die Funktion [FUNCTION_NAME] mit r2ghidra. Geben Sie die Pseudo-C-Ausgabe an und erklären Sie, was die Funktion zu tun scheint.
Führen Sie eine vollständige statische Analyse durch: Zählen Sie Funktionen auf, identifizieren Sie Krypto- und Netzwerkaufrufe, verfolgen Sie Kreuzreferenzen für interessante Funktionen und dekompilieren Sie die Hauptfunktion. Exportieren Sie die Ergebnisse als strukturiertes JSON.
Bonnes pratiques
- Beginnen Sie mit leichter Analyse (aa; aac) und steigern Sie sich nur bei Funktionen von Interesse zu tiefer Analyse, um Zeit bei großen Binärdateien zu sparen.
- Verwenden Sie den Zwei-Stufen-Ansatz: Zuerst aufzählen und mappen, dann spezifische Funktionen dekompilieren, anstatt die gesamte Binärdatei.
- Dokumentieren Sie immer Hypothesen und unterstützende Beweise während der Analyse für spätere Verifizierung.
Éviter
- Das Ausführen einer vollständigen Analyse (aaa) auf großen Binärdateien ohne Timeout-Einstellungen kann die Analyse-Sitzung zum Absturz bringen.
- Das Überspringen der Kreuzreferenzanalyse und das direkte Springen zur Dekompilierung verpasst den breiteren Code-Kontext.
- Annehmen, dass die dekompilierte Ausgabe exakter Quellcode ist - Dekompilierung ist eine Approximation und kann Ungenauigkeiten enthalten.