技能 protocol-reverse-engineering
📦

protocol-reverse-engineering

安全 ⚙️ 外部命令🌐 网络访问📁 文件系统访问

逆向工程网络协议

协议逆向工程使安全研究人员和开发人员能够分析、记录和理解专有网络协议,以实现互操作性、安全测试和调试目的。

支持: Claude Codex Code(CC)
🥉 75 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“protocol-reverse-engineering”。 How do I identify if a protocol uses encryption?

预期结果:

  • 使用熵分析来检测加密。高熵值(>7.5)表示加密或压缩数据。
  • 查找块密码指示符,如一致的消息长度(AES 为 16 字节,DES 为 8 字节)。
  • 检查加密负载开头的初始化向量(IV)。
  • 检查协议头中的加密标志或密钥交换消息。

正在使用“protocol-reverse-engineering”。 What are common protocol field patterns?

预期结果:

  • 魔术数字:消息开头的固定签名(例如 0x50524F54 表示 'PROT')
  • 长度字段:通常在可变数据之前指示有效负载大小
  • 类型/操作码字段:标识消息用途(例如 0x01=HELLO,0x02=DATA)
  • 序列号:实现有序传递和可靠性
  • 校验和:验证消息完整性(CRC32、MD5、SHA 变体)

安全审计

安全
v1 • 2/24/2026

All 63 static findings are false positives. The skill contains legitimate protocol reverse engineering content including Wireshark, tcpdump, mitmproxy, Scapy, and fuzzing tools. The flagged items are standard security research techniques: bash commands in code blocks, Wireshark filter syntax, example IP addresses, TLS decryption setup (SSLKEYLOGFILE), protocol identification patterns, and warnings about deprecated cryptography. This is authorized security research content with no malicious intent.

2
已扫描文件
542
分析行数
3
发现项
1
审计总数

风险因素

⚙️ 外部命令 (41)
resources/implementation-playbook.md:13-25 resources/implementation-playbook.md:25-29 resources/implementation-playbook.md:29-41 resources/implementation-playbook.md:41-45 resources/implementation-playbook.md:45-57 resources/implementation-playbook.md:57-63 resources/implementation-playbook.md:63-82 resources/implementation-playbook.md:82-86 resources/implementation-playbook.md:86-99 resources/implementation-playbook.md:99-103 resources/implementation-playbook.md:103-124 resources/implementation-playbook.md:124-130 resources/implementation-playbook.md:130-142 resources/implementation-playbook.md:142-146 resources/implementation-playbook.md:146-158 resources/implementation-playbook.md:158-164 resources/implementation-playbook.md:164-191 resources/implementation-playbook.md:191-195 resources/implementation-playbook.md:195-238 resources/implementation-playbook.md:238-242 resources/implementation-playbook.md:242-259 resources/implementation-playbook.md:259-265 resources/implementation-playbook.md:265-287 resources/implementation-playbook.md:287-291 resources/implementation-playbook.md:291-307 resources/implementation-playbook.md:307-311 resources/implementation-playbook.md:311-322 resources/implementation-playbook.md:322-328 resources/implementation-playbook.md:328-365 resources/implementation-playbook.md:365-371 resources/implementation-playbook.md:371-375 resources/implementation-playbook.md:375-379 resources/implementation-playbook.md:379-380 resources/implementation-playbook.md:380-384 resources/implementation-playbook.md:384-430 resources/implementation-playbook.md:430-436 resources/implementation-playbook.md:436-462 resources/implementation-playbook.md:462-466 resources/implementation-playbook.md:466-486 SKILL.md:27 SKILL.md:31
🌐 网络访问 (4)
resources/implementation-playbook.md:66 resources/implementation-playbook.md:56 resources/implementation-playbook.md:67 resources/implementation-playbook.md:137
📁 文件系统访问 (2)
resources/implementation-playbook.md:313 resources/implementation-playbook.md:317
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
100
安全
100
规范符合性

你能构建什么

安全研究人员分析恶意软件通信

逆向工程恶意软件使用的自定义协议,以了解命令和控制机制,从而实现更好的检测和缓解策略。

开发人员记录遗留系统协议

为遗留系统中的专有协议创建正式文档,以实现现代替代方案并确保互操作性。

QA 工程师测试协议实现

使用模糊测试和重放技术验证协议实现中的漏洞和与规范的符合性。

试试这些提示

基本协议分析请求 
帮助我分析一个网络协议。我有一个 pcap 文件,需要了解消息结构。关键字段是什么?消息是如何流动的?
二进制协议解析 
我需要解析一个自定义二进制协议。消息有一个 4 字节的魔术数字、2 字节版本、2 字节类型和可变负载。我如何为此编写 Python 解析器?
TLS 流量分析 
我如何分析加密的 TLS 流量?我可以使用什么技术来识别密码套件、提取证书信息并理解握手过程?
自定义协议文档 
帮助我为自定义协议创建正式规范文档。包括消息格式、状态机和示例。协议在 TCP 端口 8888 上运行。

最佳实践

  • 捕获不同场景下的多个流量样本,以全面了解协议行为
  • 始终通过实现解析器并成功生成有效消息来验证您的理解
  • 使用正式规范记录协议,包括消息格式、状态机和错误处理

避免

  • 从单个捕获的消息样本假设协议行为
  • 忽略协议分析中的边缘情况和错误条件
  • 在未经适当授权的情况下尝试逆向工程加密协议

常见问题

协议逆向工程是否合法?
协议逆向工程在大多数司法管辖区用于安全研究、互操作性和调试目的是合法的。但是,它可能违反某些专有系统的服务条款。如有疑问,请务必咨询法律顾问。
我需要什么工具进行数据包捕获?
您需要 Wireshark 进行基于 GUI 的数据包分析,tcpdump 进行命令行捕获,可能还需要 mitmproxy 进行 HTTP/HTTPS 拦截。在某些系统上,您可能需要提升权限来捕获网络流量。
我可以分析加密流量吗?
您可以分析 TLS 元数据(密码套件、证书、握手详情)而无需解密。要完全解密,您需要服务器的私钥或客户端的预主密钥日志。
如何识别未知协议?
查找魔术数字,检查固定字段与可变字段,识别长度前缀,并分析多条消息以了解模式。使用熵分析来检测加密。
协议分析中的模糊测试是什么?
模糊测试向协议实现发送格式错误或随机输入以发现漏洞。Boofuzz 等工具有助于定义协议结构并自动生成测试用例。
如何创建 Wireshark 解析器?
使用 Proto API 在 Lua 中编写解析器。使用 ProtoField 定义字段,在解析器函数中解析缓冲区数据,并将解析器注册到特定的 TCP 端口。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/protocol-reverse-engineering

引用

main

文件结构

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md