Навыки binary-re-triage
📦

binary-re-triage

v1.0.0 Средний риск ⚙️ Внешние команды🌐 Доступ к сети📁 Доступ к файловой системе

Быстрый триаж неизвестных бинарных файлов

Неизвестные бинарные файлы замедляют обратную разработку, потому что отсутствуют базовые факты. Этот навык помогает Claude, Codex и Claude Code выполнить быструю первичную идентификацию.

Поддерживает: Claude Codex Code(CC)
📊 73 Адекватно
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Ресурсы для AI-агентов

Используйте эти ссылки, когда AI-агенту, crawler или script нужен чистый контекст вместо полной страницы.

Протестировать

Использование «binary-re-triage». Неизвестный ARM ELF из встроенного устройства требует первичного обзора.

Ожидаемый результат:

  • Архитектура: ARM 32-bit little endian.
  • Линковка: динамически слинкован с musl.
  • Возможности: вероятно, сетевой клиент и поддержка TLS на основе библиотек и импортов.
  • Следующий шаг: статический анализ с подходящим ARM musl sysroot.

Использование «binary-re-triage». В stripped исполняемом файле содержится много URL и путей конфигурации.

Ожидаемый результат:

  • Бинарный файл, по-видимому, stripped, поэтому восстановление символов может быть ограничено.
  • Строки указывают на доступ к конфигурационным файлам и исходящую HTTP-коммуникацию.
  • Проверьте чувствительные строки перед передачей заметок триажа другим.

Использование «binary-re-triage». Общей библиотеке требуется быстрый обзор зависимостей и экспортов.

Ожидаемый результат:

  • Экспорты указывают на функции, доступные для внешнего вызова.
  • Зависимости показывают поддержку сжатия и многопоточности.
  • Следующий шаг: перечислить функции и перекрестные ссылки в инструменте статического анализа.

Аудит безопасности

Средний риск
v4 • 6/27/2026

The static command findings are mostly true in form but low-risk in context: the skill documents local file, rabin2, readelf, jq, and grep usage for binary triage. No malicious intent, prompt injection, credential exfiltration, or real network activity was found. Risk remains medium because users may parse untrusted binaries with external tools.

1
Просканировано файлов
268
Проанализировано строк
8
Review items
0
False positives ignored

Confirmed security concerns (1)

Низкий
False Positive: Weak Cryptography Was Not Found
The flagged description line discusses binary fingerprinting with rabin2. No weak cryptographic algorithm or cryptographic implementation appears in the reviewed file.
The line contains skill metadata about architecture detection and file analysis. I found no DES, MD5, SHA1, RC4, or similar weak crypto usage there.
Capability review items (4)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Средний
Local External Tool Execution for Untrusted Binary Triage
The skill instructs users to run file, rabin2, readelf, jq, and grep against unknown binaries. This is expected for the skill, but parsers can be exposed to malicious inputs.
The command examples are clearly present and semantically tied to binary triage. Risk is limited because they analyze files rather than execute target binaries, and no shell interpolation is shown.
Низкий
Sensitive Strings May Be Surfaced in Triage Output
The string scan explicitly searches for paths, passwords, keys, and tokens. This can reveal embedded secrets in reports or journals if users do not redact outputs.
The filter terms include pass, key, and token, and the skill asks users to record triage results. This is a data handling concern, not evidence of exfiltration.
Низкий
False Positive: Example URL Is Not Network Access
The hardcoded URL appears only inside an example output object. The skill does not instruct the agent to fetch, post, or contact that URL.
The URL is embedded in a sample strings_of_interest result. No network client command or data transmission path is present around this line.
Низкий
False Positive: Filesystem and Memory Terms Are Contextual
The /dev/null use is output redirection, and mmap or mprotect are import names in a capability table. These are not active memory-mapped file operations.
Line 65 suppresses readelf stderr, and line 149 is a static capability mapping row. Neither location implements file mapping or memory protection changes.

Факторы риска

⚙️ Внешние команды (7)
🌐 Доступ к сети (1)
📁 Доступ к файловой системе (2)

Обнаруженные паттерны

Shell Commands in Documentation

Оценка качества

55
Архитектура
100
Сопровождаемость
87
Контент
70
Сообщество
59
Безопасность
83
Соответствие спецификации

Что вы можете построить

Первичный прием прошивки

Определить архитектуру CPU, libc, зависимости и вероятные возможности перед выбором пути анализа прошивки.

Оценка области анализа образца вредоносного ПО

Собрать факты без выполнения из неизвестного исполняемого файла перед более глубоким статическим или динамическим анализом.

Выбор инструментальной цепочки

Использовать сведения об ABI, интерпретаторе и архитектуре для выбора Ghidra, radare2, QEMU или sysroot.

Попробуйте эти промпты

Идентифицировать этот бинарный файл
Проведи триаж этого неизвестного бинарного файла. Сообщи архитектуру, разрядность, порядок байтов, тип линковки, интерпретатор и ближайшие следующие шаги.
Суммировать метаданные ELF
Используй рабочий процесс триажа бинарных файлов, чтобы суммировать метаданные ELF, зависимости, импорты, экспорты и интересующие строки.
Вывести вероятные возможности
Проанализируй импорты, библиотеки и строки из этого бинарного файла. Выведи вероятные возможности и укажи уверенность для каждой гипотезы.
Спланировать следующий этап анализа
Проведи триаж этого бинарного файла прошивки и рекомендуй следующий этап статического или динамического анализа. Включи требования к sysroot и инструментам.

Лучшие практики

  • Запускайте инструменты триажа в изолированном рабочем пространстве, если образцы не являются доверенными.
  • Записывайте факты отдельно от гипотез и включайте доказательства для каждого утверждения.
  • Удаляйте или маскируйте токены, ключи, учетные данные и внутренние пути перед передачей результата другим.

Избегать

  • Не выполняйте неизвестный бинарный файл во время первичного триажа.
  • Не считайте одни только имена импортов доказательством поведения.
  • Не публикуйте необработанные строки, которые могут содержать секреты или клиентские данные.

Часто задаваемые вопросы

Выполняет ли этот навык неизвестные бинарные файлы?
Нет. Он сосредоточен на статическом снятии отпечатков с помощью локальных инструментов анализа.
Какие инструменты он ожидает?
Он ссылается на file, rabin2, readelf, jq и grep.
Может ли он определить архитектуру прошивки?
Да. Он помогает определить архитектуру, разрядность, порядок байтов, ABI и libc.
Заменяет ли он анализ в Ghidra или radare2?
Нет. Он подготавливает факты для более глубоких инструментов и помогает выбрать следующий этап.
Безопасен ли он для образцов вредоносного ПО?
Используйте изоляцию. Рабочий процесс избегает выполнения, но все равно разбирает недоверенные файлы.
Что следует удалить или замаскировать в выводе?
Удалите токены, ключи, пароли, клиентские пути, имена хостов и чувствительные URL.

Сведения для разработчиков

Автор

2389-research

Лицензия

MIT

Version

v1.0.0

Ссылка

main

Структура файлов

📄 SKILL.md