Habilidades binary-re-static-analysis
🔍

binary-re-static-analysis

Seguro ⚙️ Comandos externos📁 Acceso al sistema de archivos

バイナリ構造とコードの分析

バイナリの逆コンパイルには、実行せずに関数構造、データフロー、コードロジックを理解する必要があります。このスキルは、radare2とGhidraを使用した静的分析の体系的な手法を提供し、コードのマッピング、参照の追跡、関数の逆コンパイルを行います。

Soporta: Claude Codex Code(CC)
📊 70 Adecuado
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "binary-re-static-analysis". Analyze function main

Resultado esperado:

The main function at 0x10800 calls:
- 0x9000: init_config (reads config file)
- 0x8400: network_init (socket, connect)
- 0x10800: main_loop

The network_init function at 0x8400:
- Creates socket(AF_INET, SOCK_STREAM, 0)
- Connects to 192.168.1.100:8080
- Sends data using send()

Key strings found: "config.json", "api.example.com"

Usando "binary-re-static-analysis". Find all crypto functions

Resultado esperado:

Crypto imports detected:
- EVP_EncryptInit at 0x12340 (called by 0x8400, 0x8500)
- AES_encrypt at 0x12348 (called by 0x8450)
- SHA256 at 0x12350 (called by 0x8800)

No hardcoded keys found in analyzed strings.

Auditoría de seguridad

Seguro
v4 • 1/21/2026

Static analysis tool for binary reverse engineering. All detected patterns are legitimate reverse engineering techniques using radare2 and Ghidra. External command execution is intentional and necessary for invoking analysis tools. No malicious patterns found.

2
Archivos escaneados
1,320
Líneas analizadas
2
hallazgos
4
Auditorías totales

Factores de riesgo

⚙️ Comandos externos (10)
SKILL.md:25-48 SKILL.md:65-67 SKILL.md:71-78 SKILL.md:103-116 SKILL.md:120-129 SKILL.md:160-168 SKILL.md:188-194 SKILL.md:200-208 SKILL.md:219-228 SKILL.md:232-241
📁 Acceso al sistema de archivos (2)
SKILL.md:202 SKILL.md:34-35
Auditado por: claude Ver historial de auditorías →

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
21
Comunidad
100
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

セキュリティ脆弱性研究

クローズドソースのバイナリを分析して潜在的な脆弱性を特定し、データフローを追跡し、動的テスト前にセキュリティ上重要なコードパスを理解する。

マルウェア分析

静的な手法で悪意のあるソフトウェアを安全に調べる。関数構造をマッピングし、ネットワークインジケーターを特定し、ペイロードをトリガーせずに動作を理解する。

レガシーソフトウェアの理解

ソースコードが利用できない場合、ドキュメントされていないレガシーバイナリを理解する。関数のシグネチャを回復し、APIをマッピングし、ソフトウェアの動作を文書化する。

Prueba estos prompts

基本的な関数分析 
このバイナリを分析してすべての関数をリストアップしてください。main関数と、socket、connect、send、recvなどのネットワーク関連関数を特定してください。
相互参照の追跡 
アドレス[ADDRESS]にある関数のすべての呼び出し元を見つけてください。mainからこの関数への呼び出しチェーンをトレースして、この関数にどのように到達するかを理解してください。
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Mejores prácticas
 
  •  Start with light analysis (aa; aac) and escalate to deep analysis only for functions of interest to save time on large binaries.
  •  Use the two-stage approach: enumerate and map first, then decompile specific functions rather than the entire binary.
  •  Always document hypotheses and supporting evidence during analysis for later verification.
 
 
Evitar
 
  •  Running full analysis (aaa) on large binaries without timeout settings can hang the analysis session.
  •  Skipping cross-reference analysis and jumping straight to decompilation misses the broader code context.
  •  Assuming decompiled output is exact source code - decompilation is an approximation and may have inaccuracies.
 
 
Preguntas frecuentes
 
What tools does this skill use?  
This skill uses radare2 (r2) for disassembly and analysis, with the r2ghidra plugin for decompilation. For large binaries, it can also invoke Ghidra headless mode.
Can this skill analyze any binary format?  
It supports common formats including ELF, PE, Mach-O, and raw binaries. Support depends on radare2 capabilities for the specific architecture.
How long does analysis take?  
Light analysis takes seconds to minutes depending on binary size. Deep decompilation of specific functions adds minimal overhead. Large binaries may require timeout settings.
Is the output accurate?  
Disassembly is accurate for instruction recovery. Decompilation provides a reasonable approximation but may not match original source exactly, especially with optimizations.
Can I analyze stripped binaries?  
Yes, radare2 can analyze stripped binaries by focusing on code structure rather than symbols. Function names will be address-based (sub_XXXX) rather than named.
What should I analyze first?  
Start with function enumeration and imports to understand the binary's surface. Then identify interesting functions based on imports and strings before deep analysis.
 
 
Detalles del desarrollador
 
 
Licencia
 
MIT
 
Repositorio
 https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/static-analysis
 
Ref.
 
main
 
Estructura de archivos
 
📄 SKILL.md