Fähigkeiten binary-re-dynamic-analysis
🔬

binary-re-dynamic-analysis

Niedriges Risiko ⚙️ Externe Befehle📁 Dateisystemzugriff

Analyser des binaires avec le traçage dynamique à l'exécution

Les chercheurs en sécurité ont besoin d'observer le comportement réel des binaires à l'exécution, pas seulement le code statique. Cette compétence fournit une exécution sécurisée en environnement isolé avec émulation QEMU, débogage GDB et interception Frida pour tracer les appels système, inspecter la mémoire et valider les hypothèses de rétro-ingénierie.

Unterstützt: Claude Codex Code(CC)
⚠️ 67 Schlecht
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "binary-re-dynamic-analysis". Run this binary with QEMU strace and tell me what files it accesses

Erwartetes Ergebnis:

Binaire exécuté en utilisant l'émulation QEMU en mode utilisateur avec traçage des appels système. Patterns d'accès aux fichiers observés :
- Lecture : /etc/config.json (données de configuration)
- Écriture : /var/log/app.log (sortie de journalisation)
- Lecture : /usr/lib/libssl.so (dépendance bibliothèque SSL)
Aucun appel système réseau détecté. Le binaire semble être un processeur de configuration local.

Verwendung von "binary-re-dynamic-analysis". Use Frida to hook the authenticate() function and show me what password it checks

Erwartetes Ergebnis:

Frida attaché au binaire en cours d'exécution et interception de la fonction authenticate() à l'offset 0x2a40. Argument capturé au moment de l'appel : le tampon de mot de passe contient "admin123". La fonction retourne 1 (succès) lorsque cette valeur correspond, 0 sinon. Cela semble être une vérification d'authentification codée en dur.

Verwendung von "binary-re-dynamic-analysis". Debug this binary with GDB and examine memory at the stack pointer when main() starts

Erwartetes Ergebnis:

Binaire démarré sous QEMU avec serveur GDB sur le port 1234. Point d'arrêt défini au symbole main(). Exécution mise en pause à 0x000084c0. Pointeur de pile (sp) à 0xbefff7a0. Dump mémoire montre :
0xbefff7a0: argc=2
0xbefff7a4: pointeur argv
0xbefff7a8: variables d'environnement
La pile est correctement alignée pour l'ABI ARM.

Sicherheitsaudit

Niedriges Risiko
v4 • 1/21/2026

This is a legitimate security research and reverse engineering skill for authorized binary analysis. All static findings are false positives related to documentation examples showing proper use of analysis tools. The skill requires explicit human approval before executing any binaries and emphasizes sandbox isolation. No malicious patterns detected.

2
Gescannte Dateien
1,912
Analysierte Zeilen
3
befunde
4
Gesamtzahl Audits
Probleme mit niedrigem Risiko (1)
SKILL.md:1-564
Documentation Contains Security Tool Examples
The skill documentation includes examples of using QEMU, GDB, Frida, and strace for binary analysis. These are legitimate security research tools used for authorized reverse engineering. The skill explicitly requires human approval before execution and emphasizes sandbox configuration. All flagged patterns are documentation examples, not executable code.

Risikofaktoren

⚙️ Externe Befehle (3)
SKILL.md:26-41 SKILL.md:73-107 SKILL.md:136-202
📁 Dateisystemzugriff (2)
SKILL.md:144 SKILL.md:404-428
Auditiert von: claude Audit-Verlauf anzeigen →

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
87
Inhalt
31
Community
88
Sicherheit
78
Spezifikationskonformität

Was du bauen kannst

Analyse de malware en environnement isolé

Les analystes en sécurité peuvent exécuter en toute sécurité des binaires suspects dans des environnements QEMU isolés pour observer le comportement réseau, les modifications de fichiers et les patterns d'appels système sans risquer le système hôte.

Débogage de firmware multi-architecture

Les développeurs de systèmes embarqués peuvent déboguer des binaires ARM ou MIPS sur des machines de développement x86 en utilisant l'émulation QEMU avec GDB, éliminant le besoin de matériel physique pendant l'analyse.

Rétro-ingénierie de binaires protégés

Les testeurs d'intrusion peuvent utiliser les hooks Frida pour intercepter les fonctions cryptographiques, les vérifications d'authentification et les protocoles réseau dans les applications compilées pour comprendre leur comportement et trouver des vulnérabilités.

Probiere diese Prompts

Traçage basique des appels système 
Use QEMU to run this ARM binary and trace all syscalls to identify what network connections it makes
Débogage avec points d'arrêt 
Start this binary under QEMU with GDB attached, set a breakpoint at address 0x8400, and show me the register state when it hits
Interception des fonctions réseau 
Create a Frida script to intercept all connect() calls in this binary and log the IP addresses and ports it tries to reach
Exécution multi-plateforme en conteneur 
Run this ARM32 binary in a Docker container on macOS with platform emulation and capture all library loading events using LD_DEBUG

Bewährte Verfahren

  • Toujours obtenir l'approbation humaine explicite avant d'exécuter tout binaire et documenter la configuration de l'environnement isolé utilisé
  • Commencer par le traçage des appels système QEMU avant une analyse plus approfondie pour comprendre le comportement de haut niveau en toute sécurité
  • Utiliser l'isolation réseau dans les environnements isolés lors de l'analyse de binaires avec un comportement réseau inconnu

Vermeiden

  • Exécuter des binaires inconnus sans isolation ou sur des systèmes de production
  • Tenter d'utiliser Frida avec l'émulation QEMU en mode utilisateur (l'incompatibilité d'architecture échouera)
  • Utiliser des chemins du répertoire /tmp pour les montages de volumes Docker sur Colima (échoue silencieusement, utiliser le répertoire personnel à la place)

Häufig gestellte Fragen

Cette compétence peut-elle exécuter des binaires PE Windows ?
Cette compétence se concentre sur les binaires ELF Linux. Pour l'analyse de PE Windows, vous auriez besoin de Wine ou d'une VM Windows plutôt que de l'émulation QEMU en mode utilisateur.
Est-il sûr d'exécuter des malwares avec cette compétence ?
La compétence met l'accent sur l'isolation en environnement sécurisé utilisant QEMU, Docker ou nsjail. Cependant, vous devez configurer une isolation réseau appropriée et obtenir l'approbation humaine avant d'exécuter tout binaire suspect.
Pourquoi Frida ne fonctionne-t-il pas avec les binaires émulés par QEMU ?
Frida nécessite une exécution en architecture native pour injecter son agent. QEMU en mode utilisateur crée un espace de processus différent auquel Frida ne peut pas s'attacher. Utilisez frida-server sur l'appareil pour les cibles multi-architecture.
Quelle configuration d'environnement isolé dois-je utiliser pour des binaires inconnus ?
Commencez avec QEMU en mode utilisateur qui fournit une isolation élevée. Ajoutez le blocage réseau, les limites de ressources et exécutez en tant qu'utilisateur non privilégié. Documentez votre configuration et obtenez l'approbation avant l'exécution.
Puis-je déboguer des binaires ARM sur une machine x86 ?
Oui, l'émulation QEMU en mode utilisateur permet d'exécuter des binaires ARM sur des hôtes x86. Vous pouvez attacher gdb-multiarch pour le débogage. Sur macOS, utilisez Docker avec émulation de plateforme.
Comment gérer les techniques anti-débogage dans les binaires ?
QEMU en mode utilisateur contourne de nombreuses vérifications anti-débogage comme la détection ptrace et l'inspection /proc. Pour les vérifications temporelles, utilisez GDB ou modifiez le code de détection. La compétence fournit des stratégies d'atténuation dans la documentation.

Entwicklerdetails

Lizenz

MIT

Repository

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/dynamic-analysis

Ref

main

Dateistruktur

📄 SKILL.md