binary-re-triage
Быстрый триаж неизвестных бинарных файлов
Неизвестные бинарные файлы замедляют обратную разработку, потому что отсутствуют базовые факты. Этот навык помогает Claude, Codex и Claude Code выполнить быструю первичную идентификацию.
Скачать ZIP навыка
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
Включите и начните использовать
Ресурсы для AI-агентов
Используйте эти ссылки, когда AI-агенту, crawler или script нужен чистый контекст вместо полной страницы.
Протестировать
Использование «binary-re-triage». Неизвестный ARM ELF из встроенного устройства требует первичного обзора.
Ожидаемый результат:
- Архитектура: ARM 32-bit little endian.
- Линковка: динамически слинкован с musl.
- Возможности: вероятно, сетевой клиент и поддержка TLS на основе библиотек и импортов.
- Следующий шаг: статический анализ с подходящим ARM musl sysroot.
Использование «binary-re-triage». В stripped исполняемом файле содержится много URL и путей конфигурации.
Ожидаемый результат:
- Бинарный файл, по-видимому, stripped, поэтому восстановление символов может быть ограничено.
- Строки указывают на доступ к конфигурационным файлам и исходящую HTTP-коммуникацию.
- Проверьте чувствительные строки перед передачей заметок триажа другим.
Использование «binary-re-triage». Общей библиотеке требуется быстрый обзор зависимостей и экспортов.
Ожидаемый результат:
- Экспорты указывают на функции, доступные для внешнего вызова.
- Зависимости показывают поддержку сжатия и многопоточности.
- Следующий шаг: перечислить функции и перекрестные ссылки в инструменте статического анализа.
Аудит безопасности
Средний рискThe static command findings are mostly true in form but low-risk in context: the skill documents local file, rabin2, readelf, jq, and grep usage for binary triage. No malicious intent, prompt injection, credential exfiltration, or real network activity was found. Risk remains medium because users may parse untrusted binaries with external tools.
Confirmed security concerns (1)
Capability review items (4)
These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.
Факторы риска
⚙️ Внешние команды (7)
🌐 Доступ к сети (1)
📁 Доступ к файловой системе (2)
Обнаруженные паттерны
Оценка качества
Что вы можете построить
Первичный прием прошивки
Определить архитектуру CPU, libc, зависимости и вероятные возможности перед выбором пути анализа прошивки.
Оценка области анализа образца вредоносного ПО
Собрать факты без выполнения из неизвестного исполняемого файла перед более глубоким статическим или динамическим анализом.
Выбор инструментальной цепочки
Использовать сведения об ABI, интерпретаторе и архитектуре для выбора Ghidra, radare2, QEMU или sysroot.
Попробуйте эти промпты
Проведи триаж этого неизвестного бинарного файла. Сообщи архитектуру, разрядность, порядок байтов, тип линковки, интерпретатор и ближайшие следующие шаги.
Используй рабочий процесс триажа бинарных файлов, чтобы суммировать метаданные ELF, зависимости, импорты, экспорты и интересующие строки.
Проанализируй импорты, библиотеки и строки из этого бинарного файла. Выведи вероятные возможности и укажи уверенность для каждой гипотезы.
Проведи триаж этого бинарного файла прошивки и рекомендуй следующий этап статического или динамического анализа. Включи требования к sysroot и инструментам.
Лучшие практики
- Запускайте инструменты триажа в изолированном рабочем пространстве, если образцы не являются доверенными.
- Записывайте факты отдельно от гипотез и включайте доказательства для каждого утверждения.
- Удаляйте или маскируйте токены, ключи, учетные данные и внутренние пути перед передачей результата другим.
Избегать
- Не выполняйте неизвестный бинарный файл во время первичного триажа.
- Не считайте одни только имена импортов доказательством поведения.
- Не публикуйте необработанные строки, которые могут содержать секреты или клиентские данные.
Часто задаваемые вопросы
Выполняет ли этот навык неизвестные бинарные файлы?
Какие инструменты он ожидает?
Может ли он определить архитектуру прошивки?
Заменяет ли он анализ в Ghidra или radare2?
Безопасен ли он для образцов вредоносного ПО?
Что следует удалить или замаскировать в выводе?
Сведения для разработчиков
Структура файлов
📄 SKILL.md