Habilidades binary-re-dynamic-analysis
🔬

binary-re-dynamic-analysis

Riesgo bajo ⚙️ Comandos externos📁 Acceso al sistema de archivos

動的ランタイムトレーシングによるバイナリ解析

セキュリティ研究者は、静的コードだけでなく、実際のバイナリの実行時の動作を観察する必要があります。このスキルは、QEMUエミュレーション、GDBデバッグ、Fridaフックを使用した安全なサンドボックス実行環境を提供し、システムコールのトレース、メモリ検査、リバースエンジニアリング仮説の検証を可能にします。

Soporta: Claude Codex Code(CC)
⚠️ 66 Deficiente
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "binary-re-dynamic-analysis". QEMUのstraceでこのバイナリを実行し、アクセスするファイルを教えてください

Resultado esperado:

QEMUユーザーモードエミュレーションとシステムコールトレーシングを使用してバイナリを実行しました。観察されたファイルアクセスパターン:
- 読み取り: /etc/config.json (設定データ)
- 書き込み: /var/log/app.log (ログ出力)
- 読み取り: /usr/lib/libssl.so (SSLライブラリ依存関係)
ネットワークシステムコールは検出されませんでした。バイナリはローカル設定プロセッサのようです。

Usando "binary-re-dynamic-analysis". Fridaを使用してauthenticate()関数をフックし、チェックするパスワードを表示してください

Resultado esperado:

実行中のバイナリにFridaをアタッチし、オフセット0x2a40のauthenticate()関数をインターセプトしました。呼び出し時の引数をキャプチャ: パスワードバッファに「admin123」が含まれています。この値が一致すると関数は1(成功)を返し、それ以外の場合は0を返します。これはハードコードされた認証チェックのようです。

Usando "binary-re-dynamic-analysis". GDBでこのバイナリをデバッグし、main()の開始時にスタックポインタのメモリを調べてください

Resultado esperado:

ポート1234でGDBサーバーを使用してQEMUでバイナリを起動しました。main()シンボルにブレークポイントを設定しました。実行は0x000084c0で一時停止しました。スタックポインタ(sp)は0xbefff7a0にあります。メモリダンプ結果:
0xbefff7a0: argc=2
0xbefff7a4: argvポインタ
0xbefff7a8: 環境変数
スタックはARM ABIに対して適切にアライメントされています。

Auditoría de seguridad

Riesgo bajo
v4 • 1/21/2026

This is a legitimate security research and reverse engineering skill for authorized binary analysis. All static findings are false positives related to documentation examples showing proper use of analysis tools. The skill requires explicit human approval before executing any binaries and emphasizes sandbox isolation. No malicious patterns detected.

2
Archivos escaneados
1,912
Líneas analizadas
3
hallazgos
4
Auditorías totales
Problemas de riesgo bajo (1)
SKILL.md:1-564
Documentation Contains Security Tool Examples
The skill documentation includes examples of using QEMU, GDB, Frida, and strace for binary analysis. These are legitimate security research tools used for authorized reverse engineering. The skill explicitly requires human approval before execution and emphasizes sandbox configuration. All flagged patterns are documentation examples, not executable code.

Factores de riesgo

⚙️ Comandos externos (3)
SKILL.md:26-41 SKILL.md:73-107 SKILL.md:136-202
📁 Acceso al sistema de archivos (2)
SKILL.md:144 SKILL.md:404-428
Auditado por: claude Ver historial de auditorías →

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
21
Comunidad
88
Seguridad
78
Cumplimiento de la especificación

Lo que puedes crear

サンドボックス内でのマルウェア解析

セキュリティアナリストは、疑わしいバイナリを隔離されたQEMU環境で安全に実行し、ホストシステムにリスクを与えることなく、ネットワーク動作、ファイル変更、システムコールパターンを観察できます。

クロスアーキテクチャファームウェアデバッグ

組み込みシステム開発者は、QEMUエミュレーションとGDBを使用して、x86開発マシン上でARMまたはMIPSバイナリをデバッグでき、解析中に物理ハードウェアを必要としません。

保護されたバイナリのリバースエンジニアリング

ペネトレーションテスターは、Fridaフックを使用して、コンパイル済みアプリケーション内の暗号化関数、認証チェック、ネットワークプロトコルをインターセプトし、その動作を理解して脆弱性を発見できます。

Prueba estos prompts

基本的なシステムコールトレース 
QEMUを使用してこのARMバイナリを実行し、すべてのシステムコールをトレースして、どのネットワーク接続を行うかを特定してください
ブレークポイントを使用したデバッグ 
QEMUでこのバイナリをGDBをアタッチして起動し、アドレス0x8400にブレークポイントを設定して、ヒットしたときのレジスタ状態を表示してください
ネットワーク関数のフック 
このバイナリ内のすべてのconnect()呼び出しをインターセプトし、接続しようとするIPアドレスとポートをログに記録するFridaスクリプトを作成してください
クロスプラットフォームコンテナ実行 
macOS上でプラットフォームエミュレーションを使用してDockerコンテナでこのARM32バイナリを実行し、LD_DEBUGを使用してすべてのライブラリ読み込みイベントをキャプチャしてください

Mejores prácticas

  • バイナリを実行する前に必ず明示的な人間の承認を得て、使用するサンドボックス構成を文書化する
  • より深い解析を行う前に、QEMUシステムコールトレーシングから開始して、高レベルの動作を安全に理解する
  • 未知のネットワーク動作を持つバイナリを解析する際は、サンドボックス環境でネットワーク分離を使用する

Evitar

  • サンドボックス分離なしで、または本番システムで未知のバイナリを実行する
  • QEMUユーザーモードエミュレーションでFridaを使用しようとする(アーキテクチャの不一致により失敗する)
  • Colima上のDockerボリュームマウントに/tmpディレクトリパスを使用する(サイレントに失敗するため、代わりにホームディレクトリを使用する)

Preguntas frecuentes

このスキルでWindows PEバイナリを実行できますか?
このスキルはLinux ELFバイナリに焦点を当てています。Windows PE解析の場合は、QEMUユーザーモードエミュレーションではなく、WineまたはWindows VMが必要になります。
このスキルでマルウェアを実行しても安全ですか?
このスキルは、QEMU、Docker、またはnsjailを使用したサンドボックス分離を重視しています。ただし、疑わしいバイナリを実行する前に、適切なネットワーク分離を設定し、人間の承認を得る必要があります。
QEMUエミュレートされたバイナリでFridaが動作しないのはなぜですか?
Fridaはエージェントを注入するためにネイティブアーキテクチャの実行を必要とします。QEMUユーザーモードは、Fridaがアタッチできない異なるプロセス空間を作成します。クロスアーキテクチャターゲットには、デバイス上のfrida-serverを使用してください。
未知のバイナリにはどのサンドボックス構成を使用すべきですか?
高い分離性を提供するQEMUユーザーモードから始めてください。ネットワークブロッキング、リソース制限を追加し、非特権ユーザーとして実行します。構成を文書化し、実行前に承認を得てください。
x86マシン上でARMバイナリをデバッグできますか?
はい、QEMUユーザーモードエミュレーションにより、x86ホスト上でARMバイナリを実行できます。デバッグにはgdb-multiarchをアタッチできます。macOSでは、プラットフォームエミュレーションを使用したDockerを使用してください。
バイナリ内のアンチデバッグ技術にどのように対処すればよいですか?
QEMUユーザーモードは、ptrace検出や/proc検査などの多くのアンチデバッグチェックをバイパスします。タイミングチェックの場合は、GDBを使用するか、検出コードにパッチを適用してください。このスキルはドキュメントに軽減戦略を提供しています。

Detalles del desarrollador

Licencia

MIT

Repositorio

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/dynamic-analysis

Ref.

main

Estructura de archivos

📄 SKILL.md