技能 binary-re-dynamic-analysis
🔬

binary-re-dynamic-analysis

低風險 ⚙️ 外部命令📁 檔案系統存取

Analisar Binários com Rastreamento Dinâmico em Tempo de Execução

Pesquisadores de segurança precisam observar o comportamento real dos binários em tempo de execução, não apenas código estático. Esta skill oferece execução segura em sandbox com emulação QEMU, depuração GDB e hooking Frida para rastrear syscalls, inspecionar memória e validar hipóteses de engenharia reversa.

支援: Claude Codex Code(CC)
⚠️ 67
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「binary-re-dynamic-analysis」。 Run this binary with QEMU strace and tell me what files it accesses

預期結果:

Executed binary using QEMU user-mode emulation with syscall tracing. Observed file access patterns:
- Read: /etc/config.json (configuration data)
- Write: /var/log/app.log (logging output)
- Read: /usr/lib/libssl.so (SSL library dependency)
No network syscalls detected. Binary appears to be a local configuration processor.

正在使用「binary-re-dynamic-analysis」。 Use Frida to hook the authenticate() function and show me what password it checks

預期結果:

Attached Frida to running binary and intercepted authenticate() function at offset 0x2a40. Captured argument at call time: password buffer contains "admin123". Function returns 1 (success) when this value matches, 0 otherwise. This appears to be a hardcoded authentication check.

正在使用「binary-re-dynamic-analysis」。 Debug this binary with GDB and examine memory at the stack pointer when main() starts

預期結果:

Started binary under QEMU with GDB server on port 1234. Set breakpoint at main() symbol. Execution paused at 0x000084c0. Stack pointer (sp) is at 0xbefff7a0. Memory dump shows:
0xbefff7a0: argc=2
0xbefff7a4: argv pointer
0xbefff7a8: environment variables
Stack is properly aligned for ARM ABI.

安全審計

低風險
v4 • 1/21/2026

This is a legitimate security research and reverse engineering skill for authorized binary analysis. All static findings are false positives related to documentation examples showing proper use of analysis tools. The skill requires explicit human approval before executing any binaries and emphasizes sandbox isolation. No malicious patterns detected.

2
已掃描檔案
1,912
分析行數
3
發現項
4
審計總數
低風險問題 (1)
SKILL.md:1-564
Documentation Contains Security Tool Examples
The skill documentation includes examples of using QEMU, GDB, Frida, and strace for binary analysis. These are legitimate security research tools used for authorized reverse engineering. The skill explicitly requires human approval before execution and emphasizes sandbox configuration. All flagged patterns are documentation examples, not executable code.

風險因素

⚙️ 外部命令 (3)
SKILL.md:26-41 SKILL.md:73-107 SKILL.md:136-202
📁 檔案系統存取 (2)
SKILL.md:144 SKILL.md:404-428
審計者: claude 查看審計歷史 →

品質評分

38
架構
100
可維護性
87
內容
31
社群
88
安全
78
規範符合性

你能建構什麼

Análise de Malware em Sandbox

Analistas de segurança podem executar binários suspeitos com segurança em ambientes QEMU isolados para observar comportamento de rede, modificações de arquivos e padrões de syscall sem colocar o sistema host em risco.

Depuração Cross-Architecture de Firmware

Desenvolvedores de sistemas embarcados podem depurar binários ARM ou MIPS em máquinas de desenvolvimento x86 usando emulação QEMU com GDB, eliminando a necessidade de hardware físico durante a análise.

Engenharia Reversa de Binários Protegidos

Testadores de penetração podem usar hooks Frida para interceptar funções criptográficas, verificações de autenticação e protocolos de rede em aplicações compiladas para entender seu comportamento e encontrar vulnerabilidades.

試試這些提示

Rastreamento Básico de Syscall 
Use QEMU para executar este binário ARM e rastrear todos os syscalls para identificar quais conexões de rede ele faz
Depuração com Pontos de Interrupção 
Inicie este binário sob QEMU com GDB anexado, defina um ponto de interrupção no endereço 0x8400 e mostre-me o estado dos registradores quando atingir
Hook de Funções de Rede 
Crie um script Frida para interceptar todas as chamadas connect() neste binário e registrar os endereços IP e portas que ele tenta alcançar
Execução em Container Cross-Platform 
Execute este binário ARM32 em um container Docker no macOS com emulação de plataforma e capture todos os eventos de carregamento de biblioteca usando LD_DEBUG

最佳實務

  • Sempre obter aprovação humana explícita antes de executar qualquer binário e documentar a configuração do sandbox sendo usada
  • Começar com rastreamento de syscall QEMU antes de análise mais profunda para entender o comportamento de alto nível com segurança
  • Usar isolamento de rede em ambientes sandbox ao analisar binários com comportamento de rede desconhecido

避免

  • Executar binários desconhecidos sem isolamento de sandbox ou em sistemas de produção
  • Tentar usar Frida com emulação QEMU user-mode (incompatibilidade de arquitetura irá falhar)
  • Usar caminhos de diretório /tmp para montagens de volume Docker no Colima (falha silenciosamente, use o diretório home)

常見問題

Can this skill execute Windows PE binaries?
Esta skill foca em binários Linux ELF. Para análise de Windows PE, você precisaria de Wine ou uma VM Windows ao invés de emulação QEMU user-mode.
Is it safe to run malware with this skill?
A skill enfatiza isolamento em sandbox usando QEMU, Docker ou nsjail. No entanto, você deve configurar isolamento de rede apropriado e obter aprovação humana antes de executar qualquer binário suspeito.
Why does Frida not work with QEMU emulated binaries?
Frida requer execução em arquitetura nativa para injetar seu agente. QEMU user-mode cria um espaço de processo diferente que Frida não pode anexar. Use frida-server no dispositivo para alvos cross-arch.
What sandbox configuration should I use for unknown binaries?
Comece com QEMU user-mode que fornece alto isolamento. Adicione bloqueio de rede, limites de recursos e execute como usuário não privilegiado. Documente sua configuração e obtenha aprovação antes da execução.
Can I debug ARM binaries on an x86 machine?
Sim, emulação QEMU user-mode permite executar binários ARM em hosts x86. Você pode anexar gdb-multiarch para depuração. No macOS, use Docker com emulação de plataforma.
How do I handle anti-debugging techniques in binaries?
Emulação QEMU user-mode ignora muitas verificações anti-depuração como detecção ptrace e inspeção de /proc. Para verificações de tempo, use GDB ou corrija o código de detecção. A skill fornece estratégias de mitigação na documentação.

開發者詳情

授權

MIT

儲存庫

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/dynamic-analysis

引用

main

檔案結構

📄 SKILL.md