技能 binary-re-static-analysis
🔍

binary-re-static-analysis

安全 ⚙️ 外部命令📁 文件系统访问

바이너리 구조 및 코드 분석

바이너리 리버스 엔지니어링은 실행 없이 함수 구조, 데이터 흐름, 코드 로직을 이해해야 합니다. 이 스킬은 radare2와 Ghidra를 사용하여 코드를 매핑하고, 참조를 추적하며, 함수를 디컴파일하는 체계적인 정적 분석 방법을 제공합니다.

支持: Claude Codex Code(CC)
📊 70 充足
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“binary-re-static-analysis”。 Analyze function main

预期结果:

The main function at 0x10800 calls:
- 0x9000: init_config (reads config file)
- 0x8400: network_init (socket, connect)
- 0x10800: main_loop

The network_init function at 0x8400:
- Creates socket(AF_INET, SOCK_STREAM, 0)
- Connects to 192.168.1.100:8080
- Sends data using send()

Key strings found: "config.json", "api.example.com"

正在使用“binary-re-static-analysis”。 Find all crypto functions

预期结果:

Crypto imports detected:
- EVP_EncryptInit at 0x12340 (called by 0x8400, 0x8500)
- AES_encrypt at 0x12348 (called by 0x8450)
- SHA256 at 0x12350 (called by 0x8800)

No hardcoded keys found in analyzed strings.

安全审计

安全
v4 • 1/21/2026

Static analysis tool for binary reverse engineering. All detected patterns are legitimate reverse engineering techniques using radare2 and Ghidra. External command execution is intentional and necessary for invoking analysis tools. No malicious patterns found.

2
已扫描文件
1,320
分析行数
2
发现项
4
审计总数

风险因素

⚙️ 外部命令 (10)
SKILL.md:25-48 SKILL.md:65-67 SKILL.md:71-78 SKILL.md:103-116 SKILL.md:120-129 SKILL.md:160-168 SKILL.md:188-194 SKILL.md:200-208 SKILL.md:219-228 SKILL.md:232-241
📁 文件系统访问 (2)
SKILL.md:202 SKILL.md:34-35
审计者: claude 查看审计历史 →

质量评分

38
架构
100
可维护性
87
内容
21
社区
100
安全
91
规范符合性

你能构建什么

보안 취약점 연구

동적 테스트 전에 폐쇄형 소스 바이너리를 분석하여 잠재적 취약점을 식별하고, 데이터 흐름을 추적하며, 보안에 중요한 코드 경로를 이해합니다.

악성코드 분석

정적 기법을 통해 악성 소프트웨어를 안전하게 검사합니다. 페이로드를 트리거하지 않고 함수 구조를 매핑하고, 네트워크 지표를 식별하며, 동작을 이해합니다.

레거시 소프트웨어 이해

소스 코드를 사용할 수 없을 때 문서화되지 않은 레거시 바이너리를 이해합니다. 함수 시그니처를 복원하고, API를 매핑하며, 소프트웨어 동작을 문서화합니다.

试试这些提示

기본 함수 분석 
Analyze this binary and list all functions. Identify the main function and any network-related functions like socket, connect, send, or recv.
교차 참조 추적 
Find all callers of function at address [ADDRESS]. Trace the call chain from main to understand how this function is reached.
디컴파일 요청 
Decompile function [FUNCTION_NAME] using r2ghidra. Provide the pseudo-C output and explain what the function appears to do.
전체 정적 분석 
Perform a full static analysis: enumerate functions, identify crypto and network calls, trace cross-references for interesting functions, and decompile the main function. Export findings as structured JSON.

最佳实践

  • 대용량 바이너리에서 시간을 절약하려면 가벼운 분석(aa; aac)으로 시작하여 관심 있는 함수에 대해서만 심층 분석으로 확대하세요.
  • 2단계 접근 방식을 사용하세요: 전체 바이너리를 디컴파일하는 대신 먼저 열거 및 매핑한 다음 특정 함수를 디컴파일합니다.
  • 나중에 검증할 수 있도록 분석 중에 항상 가설과 뒷받침 증거를 문서화하세요.

避免

  • 타임아웃 설정 없이 대용량 바이너리에서 전체 분석(aaa)을 실행하면 분석 세션이 중단될 수 있습니다.
  • 교차 참조 분석을 건너뛰고 디컴파일로 바로 넘어가면 더 넓은 코드 컨텍스트를 놓칠 수 있습니다.
  • 디컴파일된 출력이 정확한 소스 코드라고 가정하지 마세요 - 디컴파일은 근사치이며 부정확할 수 있습니다.

常见问题

이 스킬은 어떤 도구를 사용하나요?
이 스킬은 디스어셈블리 및 분석을 위해 radare2(r2)를 사용하고, 디컴파일을 위해 r2ghidra 플러그인을 사용합니다. 대용량 바이너리의 경우 Ghidra 헤드리스 모드를 호출할 수도 있습니다.
이 스킬은 모든 바이너리 형식을 분석할 수 있나요?
ELF, PE, Mach-O 및 raw 바이너리를 포함한 일반적인 형식을 지원합니다. 지원 여부는 특정 아키텍처에 대한 radare2 기능에 따라 다릅니다.
분석에 시간이 얼마나 걸리나요?
가벼운 분석은 바이너리 크기에 따라 몇 초에서 몇 분이 소요됩니다. 특정 함수의 심층 디컴파일은 최소한의 오버헤드를 추가합니다. 대용량 바이너리는 타임아웃 설정이 필요할 수 있습니다.
출력이 정확한가요?
디스어셈블리는 명령어 복구에 정확합니다. 디컴파일은 합리적인 근사치를 제공하지만, 특히 최적화된 경우 원본 소스와 정확히 일치하지 않을 수 있습니다.
스트립된 바이너리를 분석할 수 있나요?
예, radare2는 심볼 대신 코드 구조에 초점을 맞춰 스트립된 바이너리를 분석할 수 있습니다. 함수 이름은 명명된 것이 아니라 주소 기반(sub_XXXX)이 됩니다.
먼저 무엇을 분석해야 하나요?
바이너리의 표면을 이해하기 위해 함수 열거 및 임포트로 시작하세요. 그런 다음 심층 분석 전에 임포트 및 문자열을 기반으로 관심 있는 함수를 식별하세요.

开发者详情

许可证

MIT

仓库

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/static-analysis

引用

main

文件结构

📄 SKILL.md