Навыки binary-re-dynamic-analysis
📦

binary-re-dynamic-analysis

Высокий риск ⚙️ Внешние команды🌐 Доступ к сети📁 Доступ к файловой системе

Анализ поведения бинарных файлов во время выполнения

Динамический анализ бинарных файлов рискован, и его сложно документировать последовательно. Этот навык помогает выполнять контролируемый запуск, трассировку, отладку и сбор доказательств для задач обратной разработки.

Поддерживает: Claude Codex Code(CC)
⚠️ 38 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Ресурсы для Agent

Используйте эти ссылки, когда AI Agent, crawler или script нужен чистый контекст вместо чтения всей страницы.

Markdown-детали GET /skills/2389-research-binary-re-dynamic-analysis.md Подписанный manifest GET /api/skills/2389-research-binary-re-dynamic-analysis/manifest Подписанный lockfile GET /api/skills/2389-research-binary-re-dynamic-analysis/lockfile

Протестировать

Использование «binary-re-dynamic-analysis». Запрос на запуск демона прошивки ARM под QEMU с заблокированной сетью.

Ожидаемый результат:

Поэтапный план запуска с примечаниями об одобрении, выбором команды QEMU, ограничениями по времени, ожидаемыми доказательствами системных вызовов и структурированным шаблоном наблюдений.

Использование «binary-re-dynamic-analysis». Запрос на инспекцию подозреваемой функции connect в нативном бинарном файле Linux.

Ожидаемый результат:

План отладчика и Frida, который называет цели хуков, цели точек останова, наблюдения за аргументами и доказательства, необходимые для подтверждения сетевого поведения.

Использование «binary-re-dynamic-analysis». Журналы выполнения из тестового запуска в песочнице.

Ожидаемый результат:

Краткая аналитическая сводка со списком наблюдаемого доступа к файлам, заблокированных сетевых попыток, активности процессов, изменений уверенности и следующих вопросов.

Аудит безопасности

Высокий риск
v5 • 6/27/2026

Static findings are mostly true positives because the skill intentionally documents commands that execute binaries, start privileged Docker containers, attach debuggers, trace processes, and read runtime files. Several IP address and log path alerts are false positives because they appear in example output, not active code. No prompt injection or confirmed malicious intent was found, but publication should require strong warnings and reviewer approval.

1
Просканировано файлов
564
Проанализировано строк
10
находки
5
Всего аудитов

Проблемы высокого риска (2)

SKILL.md:39-40
Privileged Docker Execution Guidance
The skill instructs users to run a Docker container with privileged mode to register emulation handlers. This is legitimate for binfmt setup, but it grants elevated host-level capabilities and can be dangerous with untrusted images or hosts.
SKILL.md:73-81SKILL.md:136-145SKILL.md:290-301SKILL.md:349-367
Execution of Potentially Untrusted Binaries
The skill provides many commands for running target binaries under QEMU, GDB, Frida, Docker, and on-device tools. Dynamic binary execution is inherently risky because samples may contain malware, exploit debuggers, or access local files and networks.
Проблемы среднего риска (3)
SKILL.md:349-367
Remote Debugging and File Transfer Workflows
The skill documents remote debugging over SSH and copying trace logs from a target device. These workflows can expose target systems or transfer sensitive runtime logs if used without authorization and isolation.
SKILL.md:144SKILL.md:170SKILL.md:404-420
Filesystem and Process Introspection Guidance
The skill instructs users to inspect /proc indicators, dump memory, source a local GDB file, and collect file access evidence. These are expected analysis activities, but they can expose sensitive host or target data.
SKILL.md:290-301
Container Mutation and Package Installation Examples
The Docker example creates a linker symlink and installs packages inside the container before executing the sample. This is common for dependency recovery, but it increases supply-chain and reproducibility risk.
Проблемы низкого риска (2)
SKILL.md:480-493SKILL.md:541-556
Documentation-Only Network and Log Examples
The hardcoded IP addresses and log paths appear in example output and journal templates. They do not show active exfiltration or log deletion in the skill file.
SKILL.md:2-3SKILL.md:35
Weak Crypto Static Alert Is a Name Collision
The weak cryptographic algorithm alert appears to be triggered by the word dynamic in the skill name and description. No evidence found of MD5, SHA1, DES, RC4, or cryptographic implementation logic.

Факторы риска

⚙️ Внешние команды (8)
SKILL.md:39-40 SKILL.md:78-81 SKILL.md:138-145 SKILL.md:290-301 SKILL.md:349-367 SKILL.md:375-383 SKILL.md:404-407 SKILL.md:420
🌐 Доступ к сети (4)
SKILL.md:114-118 SKILL.md:354-357 SKILL.md:480-493 SKILL.md:541-555
📁 Доступ к файловой системе (8)
SKILL.md:45-52 SKILL.md:144 SKILL.md:170 SKILL.md:295-298 SKILL.md:364-367 SKILL.md:404-420 SKILL.md:486-487 SKILL.md:540-542

Обнаруженные паттерны

Privileged Container SetupRuntime Execution and Debugging CommandsHost and Target Filesystem Access
Проверено: codex Посмотреть историю аудитов →

Оценка качества

55
Архитектура
100
Сопровождаемость
87
Контент
70
Сообщество
0
Безопасность
78
Соответствие спецификации

Что вы можете построить

Картирование поведения неизвестного бинарного файла

Трассируйте системные вызовы, доступ к файлам, активность процессов и попытки сетевого взаимодействия, сохраняя цепочку доказательств.

Отладка кросс-архитектурных образцов прошивок

Запускайте ARM или ARM64 бинарные файлы с рабочей станции Linux или macOS с использованием QEMU, Docker и gdb-multiarch.

Проверка гипотез статического анализа

Подтверждайте подозреваемые функции, антиотладочное поведение и соединения во время выполнения с помощью контролируемой трассировки и хуков.

Попробуйте эти промпты

Подготовить безопасный план запуска 
Создайте план динамического анализа для этого бинарного файла. Включите необходимые одобрения, настройки песочницы, сетевую изоляцию, команды для запуска и доказательства, которые нужно собрать.
Трассировать поведение во время выполнения 
Используйте рабочий процесс динамического анализа, чтобы спроектировать запуск QEMU или strace. Сосредоточьтесь на файлах, процессах, сетевых вызовах, коде выхода и подозрительном поведении во время выполнения.
Отладить конкретную функцию 
Спланируйте сессию GDB для этого бинарного файла и подозреваемой функции. Включите точки останова, инспекцию регистров, инспекцию стека, дампы памяти и условия остановки.
Сравнить доказательства выполнения с гипотезами 
Просмотрите эти наблюдения во время выполнения и обновите гипотезы анализа. Разделите подтвержденные факты, опровергнутые предположения, нерешенные вопросы и последующие эксперименты.

Лучшие практики

  • Получайте явное одобрение человека перед выполнением любого образца или подключением к целевому устройству.
  • Используйте сетевую изоляцию, тайм-ауты, лимиты ресурсов и монтирование только для чтения перед сбором доказательств выполнения.
  • Записывайте команды, настройки песочницы, наблюдения и изменения уверенности сразу после каждого эксперимента.

Избегать

  • Не запускайте неизвестные бинарные файлы напрямую на рабочей станции хоста без изоляции.
  • Не используйте привилегированный Docker или отладку на устройстве в системах, содержащих конфиденциальные данные.
  • Не рассматривайте примеры IP-адресов, путей или записей журнала как доказательство без данных выполнения.

Часто задаваемые вопросы

Выполняет ли этот навык бинарные файлы самостоятельно?
Нет. Он предоставляет команды и рабочие процессы. Пользователю или агенту с доступом к инструментам все равно потребуется одобрение и среда выполнения.
Почему уровень риска в marketplace высокий?
Навык обучает выполнению, отладке, трассировке, настройке привилегированного Docker и инспекции файловой системы. Это мощные действия с реальным операционным риском.
Является ли навык вредоносным?
Доказательств злонамеренного намерения не найдено. Содержимое является легитимным руководством по обратной разработке, но требует строгих мер безопасности.
Какие инструменты он охватывает?
Он охватывает QEMU, GDB, gdb-multiarch, Frida, Docker, nsjail, strace, r2, jq, SSH и базовые команды трассировки Linux.
Может ли он анализировать образцы вредоносного ПО?
Он может помогать в рабочих процессах анализа вредоносного ПО, но только в одобренных, изолированных и юридически разрешенных средах.
Что пользователям следует подготовить в первую очередь?
Подготовьте песочницу, подтвердите сетевую политику, определите условия остановки, проверьте доступность инструментов и задокументируйте одобренный объем эксперимента.

Сведения для разработчиков

Автор

2389-research

Лицензия

MIT

Репозиторий

https://github.com/2389-research/claude-plugins/tree/main/binary-re/skills/dynamic-analysis

Ссылка

main

Структура файлов

📄 SKILL.md