Compétences binary-analysis-patterns
🔍

binary-analysis-patterns

Sûr

Analyser les modèles de code binaire

Comprendre les exécutables compilés sans code source. Cette compétence fournit des modèles en langage assembleur, la reconnaissance du flux de contrôle et des conseils de décompilation pour les tâches de rétro-ingénierie.

Prend en charge: Claude Codex Code(CC)
🥉 75 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "binary-analysis-patterns". Que fait ce modèle assembleur ? ```asm lea eax, [rax + rax*4] add eax, eax ```

Résultat attendu:

Ce modèle multiplie une valeur par 10. L'instruction LEA calcule rax * 5 (rax + rax*4), puis l'ADD le double pour obtenir rax * 10. Les compilateurs utilisent cette optimisation shift-and-add au lieu de l'instruction MUL plus lente pour la multiplication par constante.

Utilisation de "binary-analysis-patterns". Comment identifier une instruction switch dans le désassemblage ?

Résultat attendu:

Recherchez deux modèles : (1) Tables de saut - un registre est utilisé comme index dans un tableau d'adresses (jmp [table + reg*8]), ou (2) Comparaisons séquentielles - plusieurs chaînes cmp/je comparant la même variable contre différentes constantes. Le modèle de table de saut est plus courant pour les instructions switch plus grandes avec nombreux cas.

Utilisation de "binary-analysis-patterns". Quelle est la différence entre ces deux modèles ? Pattern A: mov eax, [rdi] Pattern B: movzx eax, byte [rdi]

Résultat attendu:

Le Pattern A lit un entier 4 octets (dword) depuis la mémoire, suggérant un type int ou uint32. Le Pattern B lit un seul octet et l'étend à zéro vers 32 bits, suggérant un type unsigned char ou uint8. La variante movzx est couramment utilisée lors du travail avec des flags booléens, des caractères ASCII ou des petites valeurs non signées qui doivent être promues vers des registres plus grands pour les opérations.

Audit de sécurité

Sûr
v1 • 2/25/2026

All 47 static analysis findings are false positives. The detected patterns are Markdown code fence delimiters and assembly code examples in documentation. No executable code, external commands, or security risks present. This is purely educational content about binary analysis patterns.

1
Fichiers analysés
453
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
100
Conformité aux spécifications

Ce que vous pouvez construire

Rétro-ingénierie de malwares

Les chercheurs en sécurité utilisent les modèles assembleur pour comprendre le comportement des malwares, identifier les fonctions malveillantes et reconstruire la logique du programme sans accès au code source.

Maintenance de code legacy

Les développeurs maintenant des systèmes legacy sans documentation utilisent les modèles de désassemblage pour comprendre les binaires compilés, corriger des bugs et ajouter des fonctionnalités à de vieilles applications.

Résolution de défis CTF

Les participants aux Capture The Flag analysent les exécutables binaires pour trouver des flags cachés, comprendre le flux du programme et exploiter des vulnérabilités en utilisant la reconnaissance de modèles assembleur.

Essayez ces prompts

Identifier un modèle assembleur 
Expliquez ce que représente ce modèle de code assembleur en code de haut niveau :

```asm
xor ecx, ecx
loop_start:
cmp ecx, [n]
jge loop_end
; ... body ...
inc ecx
jmp loop_start
loop_end:
```

Quelle construction de programmation ce modèle implémente-t-il ?
Analyser la structure d'une fonction 
J'ai désassemblé cette fonction. Aidez-moi à comprendre :
1. Quelle est la signature de la fonction (paramètres et type de retour) ?
2. Quelle convention d'appel est utilisée (System V ou Microsoft x64) ?
3. Quelle est la logique globale de cette fonction ?

[collez le code assembleur ici]
Récupération de structure de données 
Ce code assembleur accède à une structure de données complexe. Aidez-moi à identifier :
1. Quel type de structure de données est-ce (struct, tableau, liste chaînée) ?
2. Quels sont les offsets des champs et leurs types probables ?
3. Que représente cette structure dans le code original ?

```asm
mov rdi, [struct_ptr]
mov eax, [rdi]
movzx eax, byte [rdi+4]
mov rax, [rdi+8]
```
Script d'analyse Ghidra 
J'ai besoin d'un script Python Ghidra pour :
1. Trouver toutes les fonctions qui appellent 'strcpy'
2. Identifier les vulnérabilités potentielles de buffer
3. Créer un type de structure pour une disposition de données que j'ai découverte

Fournissez le script avec des explications de ce que fait chaque partie.

Bonnes pratiques

  • Commencez par l'analyse des chaînes pour identifier les fonctions intéressantes - les chaînes référencées dans le code révèlent souvent le but de la logique environnante
  • Suivez le flux de données en arrière depuis les appels API intéressants ou les fonctions bibliothèque pour comprendre comment les données sont préparées et validées
  • Utilisez abondamment les références croisées (xrefs) - comprendre qui appelle une fonction et ce qu'elle accède révèle le contexte et le but
  • Documentez vos découvertes avec des commentaires et des symboles renommés immédiatement - l'analyse binaire est itérative et vous oublierez le contexte

Éviter

  • Supposer que la sortie du décompilateur est correcte - la décompilation peut produire du code trompeur en raison des optimisations, des types non reconnus ou des appels indirects
  • Analyser des builds optimisés sans comprendre les optimisations du compilateur - l'optimisation de tail call (jmp au lieu de call+ret) et l'inlining peuvent obscurcir les limites de fonction
  • Se concentrer uniquement sur les fonctions 'intéressantes' - les auteurs de malwares cachent souvent la logique dans des fonctions utilitaires d'apparence ennuyeuse ou utilisent des techniques d'obfuscation
  • Ignorer les conventions d'appel spécifiques à l'architecture - mal identifier le passage de paramètres conduit à des signatures de fonction complètement erronées

Foire aux questions

Cette compétence peut-elle analyser des fichiers binaires réels pour moi ?
Non, cette compétence fournit des modèles de référence et des conseils pour comprendre le code assembleur et les techniques d'analyse binaire. Vous devez utiliser des outils comme Ghidra, IDA Pro ou objdump pour effectuer le désassemblage et l'analyse réels.
Quelles architectures sont couvertes dans les modèles ?
La compétence couvre principalement les conventions d'appel et modèles d'instructions x86-64 (à la fois System V AMD64 pour Linux/macOS et Microsoft x64 pour Windows), ARM64 (AArch64) et ARM32.
Comment choisir entre les conventions d'appel System V et Microsoft x64 ?
Vérifiez la plateforme cible du binaire. Les binaires Linux et macOS utilisent System V (arguments dans RDI, RSI, RDX, RCX, R8, R9). Les binaires Windows utilisent Microsoft x64 (arguments dans RCX, RDX, R8, R9 avec 32 octets d'espace d'ombre).
Pourquoi le code décompilé semble-t-il étrange ou évidemment incorrect ?
Les décompilateurs font des suppositions basées sur les types et les modèles. Si le décompilateur manque d'informations de type ou rencontre des optimisations du compilateur, la sortie peut être trompeuse. Utilisez la vue assembleur pour vérifier et corriger les hypothèses du décompilateur.
Quels outils fonctionnent le mieux avec ces modèles ?
Ghidra (gratuit, décompilateur puissant), IDA Pro (standard de l'industrie, cher), Binary Ninja (moderne, bonne automatisation) et radare2 (orienté ligne de commande). Cette compétence inclut des conseils spécifiques pour Ghidra et IDA Pro.
Puis-je utiliser ces modèles pour l'analyse de malwares ?
Oui, ces modèles sont couramment utilisés dans l'analyse de malwares et la recherche en sécurité. Les modèles pour identifier les appels de fonction, les structures de données et le flux de contrôle s'appliquent à toute tâche d'analyse binaire incluant l'analyse de code malveillant dans des environnements contrôlés.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/binary-analysis-patterns

Réf

main

Structure de fichiers

📄 SKILL.md