Habilidades binary-re-static-analysis
📦

binary-re-static-analysis

v1.0.0 Riesgo medio ⚙️ Comandos externos📁 Acceso al sistema de archivos

Analizar binarios con herramientas de RE estáticas

La ingeniería inversa de binarios es difícil cuando las funciones, cadenas, importaciones y el flujo de datos están dispersos entre herramientas. Esta skill proporciona a Claude, Codex y Claude Code un flujo de trabajo estructurado para análisis estático con radare2 y Ghidra.

Compatible con: Claude Codex Code(CC)
📊 72 Adecuado
1

Descargar el ZIP de la habilidad

2

Subir en Claude

Ve a Configuración → Capacidades → Habilidades → Subir habilidad

3

Activa y empieza a usar

Pruébalo

Usando "binary-re-static-analysis". Analiza un componente de firmware ARM sin símbolos para detectar lógica probable de inicialización de red.

Resultado esperado:

  • Mapa de funciones con rutinas candidatas de inicialización y bucle principal.
  • Resumen de referencias cruzadas que muestra llamadas a wrappers de socket, connect, send y receive.
  • Lista de hipótesis con niveles de confianza y comprobaciones dinámicas recomendadas.

Usando "binary-re-static-analysis". Explica qué parece hacer una función descompilada.

Resultado esperado:

  • Resumen en lenguaje claro del propósito de la función.
  • Entradas, salidas, cadenas importantes y APIs llamadas.
  • Incertidumbres causadas por símbolos faltantes, llamadas indirectas o descompilación incompleta.

Usando "binary-re-static-analysis". Documenta evidencia estática de comportamiento criptográfico en un binario.

Resultado esperado:

  • Importaciones criptográficas relevantes y referencias cruzadas cercanas.
  • Material de clave candidato o ubicaciones de manejo de buffers.
  • Notas que separan hechos confirmados de hipótesis.

Auditoría de seguridad

Riesgo medio
v5 • 6/27/2026

Static findings for external commands are mostly true positives as tool-invocation guidance, but they are not evidence of malicious code in the skill. The skill legitimately supports reverse engineering with radare2, Ghidra, QEMU, Docker, shell loops, and temporary project files; this creates elevated operational risk when analyzing untrusted binaries. No prompt injection, credential exfiltration, hidden network beaconing, or malicious intent was found in SKILL.md.

1
Archivos escaneados
407
Líneas analizadas
4
Review items
2
False positives ignored

Confirmed security concerns (2)

Medio
External Analysis Tool Execution Guidance
The skill repeatedly instructs use of radare2, Ghidra headless, QEMU, Docker, shell loops, and comparison utilities. This is expected for binary reverse engineering, but agents following the guidance may run tools against attacker-supplied binaries and should require isolation and approval.
The command examples are visible throughout SKILL.md and are semantically central to the workflow. They are legitimate analysis commands, so the confidence is high for elevated operational risk but not for malicious intent.
Medio
Optional Native Execution of Untrusted Binary
The pre-analysis workflow includes native execution of a target binary after approval. The skill warns that approval is required, but native execution of unknown binaries can still compromise the analyst environment if isolation is not used.
Line 38 directly shows running the target binary, and nearby text frames it as approval-gated. The risk is clear, although the safety warning reduces concern about malicious author intent.
Static false positives ignored (2)

These static matches were dismissed by semantic review or matched schema-only tokens, so they are shown for transparency but do not drive the quality score.

Bajo
Filesystem Access Is Limited to Analysis Artifacts
The filesystem findings relate to checking a tool via standard streams and creating a temporary Ghidra project. These are normal local analysis actions and do not show unauthorized file harvesting or persistence.
The cited lines show ordinary local tool checks and temporary project setup. There is no evidence of sensitive file collection or writes outside expected analysis paths.
Bajo
Crypto and Network Terms Are Analysis Targets
The weak cryptography and network reconnaissance flags appear to come from the description and analysis patterns that tell users how to identify crypto and network behavior in binaries. No evidence found that the skill performs cryptography or scans networks itself.
The suspicious terms are used as reverse-engineering topics, not as executable network or crypto operations. The confidence is slightly below very high because the skill can help analyze potentially malicious network-capable binaries.

Factores de riesgo

Patrones detectados

Shell Command Examples for Binary AnalysisTemporary Ghidra Project Creation

Puntuación de calidad

55
Arquitectura
100
Mantenibilidad
87
Contenido
70
Comunidad
55
Seguridad
83
Cumplimiento de la especificación

Lo que puedes crear

Mapear binarios de firmware desconocidos

Identificar funciones, importaciones, cadenas y configuraciones de análisis específicas de la arquitectura antes de una investigación más profunda.

Triaje estático de malware sospechoso

Rastrear APIs de red, rutas de configuración, rutinas criptográficas y cadenas de llamadas sin ejecutar inicialmente la muestra.

Explicar funciones descompiladas

Usar descompilación dirigida y referencias cruzadas para explicar qué hacen las funciones seleccionadas y cómo se conectan.

Prueba estos prompts

Iniciar triaje estático
Analiza este binario de forma estática. Comienza con enumeración de funciones consciente de la arquitectura, importaciones, cadenas y funciones de alto valor para inspeccionar a continuación.
Rastrear una función
Usa análisis estático para explicar la función objetivo. Incluye llamadores, llamados, cadenas referenciadas, variables locales y un resumen del comportamiento con nivel de confianza.
Encontrar comportamiento de red
Rastrea importaciones y cadenas relacionadas con la red. Mapea cadenas de llamadores, endpoints probables, construcción de solicitudes y cualquier pregunta de flujo de datos sin resolver.
Crear un informe de análisis estático
Produce un informe de análisis estático con funciones analizadas, aspectos destacados del grafo de llamadas, hipótesis de flujo de datos, niveles de confianza y próximas comprobaciones dinámicas.

Mejores prácticas

  • Analizar binarios no confiables en un entorno aislado con aprobación explícita antes de cualquier ejecución.
  • Registrar hechos, hipótesis, niveles de confianza y fuentes de comandos por separado.
  • Comenzar con una enumeración amplia y luego descompilar solo las funciones que respondan a la pregunta de investigación.

Evitar

  • Ejecutar binarios desconocidos de forma nativa antes del triaje estático y la aprobación.
  • Usar análisis profundo en binarios grandes antes de acotar las funciones objetivo.
  • Tratar la salida del descompilador como verdad absoluta sin comprobar el desensamblado y las referencias cruzadas.

Preguntas frecuentes

¿Esta skill ejecuta binarios automáticamente?
No. Proporciona comandos y señala repetidamente que la ejecución requiere aprobación humana.
¿Qué herramientas espera?
Principalmente espera radare2, r2ghidra, Ghidra headless, jq, grep y opcionalmente QEMU o Docker.
¿Puede analizar malware de forma segura?
Puede admitir triaje estático de malware, pero las muestras deben permanecer en un entorno de análisis aislado.
¿Requiere código fuente?
No. Está diseñada para binarios compilados, binarios sin símbolos y componentes de firmware.
¿Puede recuperar código fuente perfecto?
No. La descompilación es aproximada y debe validarse contra el desensamblado y la evidencia en tiempo de ejecución.
¿Por qué el riesgo en el marketplace es medio?
La skill es legítima, pero guía la ejecución de comandos externos y el análisis de binarios potencialmente hostiles.

Detalles del desarrollador

Estructura de archivos

📄 SKILL.md