技能 Common RE scripting environments
📦
Common RE scripting environments
安全
分析二进制文件和逆向工程软件
逆向工程复杂二进制文件需要掌握多种工具和方法的专业知识。此技能为二进制分析、反汇编和安全研究工作流程提供结构化指导。
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“Common RE scripting environments”。 我有一个要求输入密码的 CTF 二进制文件。应该如何处理?
预期结果:
- 首先使用 file 和 checksec 命令进行初步侦察,以识别二进制文件类型和安全保护
- 将二进制文件加载到 Ghidra 或 IDA Pro 中,通过查找入口点定位主函数
- 搜索字符串比较函数(如 strcmp 或 memcmp),这些函数可能用于验证密码
- 在 GDB 中的比较函数上设置断点,并在比较点检查内存以查看预期值
正在使用“Common RE scripting environments”。 如何识别二进制文件中的字符串混淆?
预期结果:
- 查找带有密钥字节的 XOR 循环:for (int i = 0; i < len; i++) str[i] ^= key
- 检查栈字符串构造模式,其中字符串通过 DWORD 赋值构建
- 搜索可能为 XOR 密钥或滚动密码参数的非常量
- 使用 Ghidra 或 IDA 的字符串功能在运行时查找解码后的字符串
安全审计
安全v1 • 2/24/2026
This is a prompt-only skill providing guidance on reverse engineering workflows. Static analysis scanned 0 files with 0 lines, detecting no suspicious patterns and computing a risk score of 0/100. The skill contains only documentation and educational content with explicit ethical guidelines requiring authorized use only.
0
已扫描文件
0
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
100
安全
74
规范符合性
你能构建什么
CTF 挑战解答者
通过系统化方法指导逆向工程 CTF 挑战,帮助查找密码、理解加密机制并绕过保护措施
安全研究员
协助进行授权的恶意软件分析、漏洞研究以及理解未记录的软件行为,用于防御性安全目的
软件互操作性工程师
帮助分析闭源库和 API,以实现合法的互操作性和集成工作
试试这些提示
初级:二进制类型识别
我有一���需要分析的二进制文件。我应该首先运行哪些命令来识别其类型、架构和基本属性?在初始分类中应该查找哪些信息?
初级:查找主函数
我将二进制文件加载到 Ghidra 中,看到了很多函数。如何识别入口点和主函数?应该查找哪些模式?
中级:CTF 密码挑战
我有一个要求输入密码的 CTF 二进制文件。应该采用什么分析方法?应该专注于静态分析以查找字符串比较,还是使用带断点的动态分析?请指导我完成整个方法论。
高级:反调试检测
我怀疑这个二进制文件具有反调试保护。应该查找哪些技术,如 IsDebuggerPresent 检查、计时检查或基于异常的检测?如何在受控的分析环境中安全绕过它们?
最佳实践
- 在分析未知或潜在恶意二进制文件时,始终在隔离的虚拟机环境中工作
- 系统地记录分析结果,包括在分析过程中发现的函数用途、参数含义和数据结构布局
- 通过多种方法验证分析结果,结合静态反汇编和动态调试
避免
- 在没有适当隔离和安全措施的情况下,直接在主机系统上运行未知二进制文件
- 假设反编译器输出始终正确,而不根据反汇编和运行时行为进行验证
- 在没有明确授权的情况下分析二进制文件,这可能违反法律或服务条款
常见问题
逆向工程入门需要哪些工具?
对于初学者,建议从 Ghidra(NSA 免费提供)或 IDA Free 开始进行反汇编,使用 x64dbg 在 Windows 上进行动态调试,使用 radare2 进行命令行分析。对于 Linux 二进制调试,可以添加带有 GEF 或 Pwndbg 的 GDB。
逆向工程合法吗?
逆向工程的法律性取决于司法管辖区和目的。对于具有适当授权的安全研究、互操作性和 CTF 竞赛,通常是合法的。切勿分析您无权检查的软件或用于未授权访问目的。
如何学习阅读汇编代码?
首先了解调用约定、常见指令模式和控制流结构。通过简单的 CTF 挑战练习,在阅读源代码时跟随反汇编代码,并使用《实用逆向工程》或 LiveOverflow 教程等资源。
静态分析和动态分析有什么区别?
静态分析在不执行二进制文件的情况下检查它,使用反汇编器和反编译器来理解代码结构。动态分析在受控环境中使用调试器运行二进制文件,以观察实际行为、内存变化和 API 调用。
如何处理加壳或混淆的二进制文件?
首先使用加壳检测工具(如 PEiD 或 Exeinfo PE)。对于解包��可以查找已知加壳器的现有解包器,或者在二进制文件自行解包后使用 Scylla 等工具从内存中转储,或在 x64dbg 中手动转储。
此技能可以直接分析二进制文件吗?
不,此技能为逆向工程工作流程提供指导和方法论。您必须在自己的系统上本地运行分析工具。该技能帮助您了解要查找什么以及如何解释工具的发现。