技能 ffind
📦

ffind

高風險 ⚙️ 外部命令📁 檔案系統存取

使用 ffind 分析韌體檔案

韌體審查通常需要在開始更深入的逆向工程之前,先快速識別檔案。此技能會引導 Claude、Codex 或 Claude Code 透過 ffind 工作流程進行檔案類型探索,以及支援的檔案系統擷取。

支援: Claude Codex Code(CC)
⚠️ 38
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

Agent 可讀資源

當 AI Agent、爬蟲或腳本需要乾淨脈絡、而不是讀取完整頁面時,請使用這些連結。

Markdown 詳情 GET /skills/brownfinesecurity-ffind.md 已簽名 manifest GET /api/skills/brownfinesecurity-ffind/manifest 已簽名 lockfile GET /api/skills/brownfinesecurity-ffind/lockfile

測試它

正在使用「ffind」。 分析韌體映像但不進行擷取。

預期結果:

結果會摘要偵測到的成品類別,標示不常見的檔案類型,並建議擷取是否值得承擔額外風險。

正在使用「ffind」。 為疑似 ext4 映像準備擷取工作流程。

預期結果:

回應會識別所需工具,在使用 sudo 前請求核准,並指定隔離的擷取目錄。

正在使用「ffind」。 審查兩個韌體檔案並顯示所有檔案類型。

預期結果:

回應會比較兩個輸入之間的檔案類型分布,並指出與安全性分析相關的成品。

安全審計

高風險
v6 • 6/28/2026

The static external command and sudo findings are true positives because the skill instructs agents to run ffind on user-supplied paths and use sudo for extraction. The temp directory findings are also real, while the weak cryptography findings are false positives from filesystem version text, not cryptographic code. No prompt injection or confirmed malicious intent was found, so the skill is not blocked but should not publish without human review and stronger safety guidance.

1
已掃描檔案
70
分析行數
6
發現
6
審計總數

高風險問題 (1)

SKILL.md:39SKILL.md:51SKILL.md:61SKILL.md:66
Sudo-Based Filesystem Extraction
TRUE_POSITIVE: The skill states that extraction requires sudo and shows sudo ffind commands. Running filesystem extraction as root on untrusted firmware can expose the host to parser, mount, and file ownership risks.
中風險問題 (2)
SKILL.md:24-29SKILL.md:45-47SKILL.md:54-57
External Command Execution on User Paths
TRUE_POSITIVE: The skill instructs agents to run ffind commands against paths supplied by the user. This is expected for the tool, but it can still execute local tooling against untrusted files and directories.
SKILL.md:40SKILL.md:61
Filesystem Writes to Temporary Extraction Paths
TRUE_POSITIVE: The skill documents default extraction under /tmp and a custom /tmp extraction example. Extraction can create many files, preserve unusual metadata, or overwrite careless output locations if not isolated.
低風險問題 (1)
SKILL.md:3SKILL.md:12
Weak Cryptography Static Finding Is Not Supported
FALSE_POSITIVE: The static weak cryptography hits appear tied to ext2, ext3, ext4, or F2FS filesystem text. No cryptographic algorithm, hash function, or encryption operation is described in the skill file.

風險因素

⚙️ 外部命令 (8)
SKILL.md:25-29 SKILL.md:32-34 SKILL.md:45-47 SKILL.md:49-52 SKILL.md:54-57 SKILL.md:59-62 SKILL.md:39 SKILL.md:66
📁 檔案系統存取 (2)
SKILL.md:40 SKILL.md:61

偵測到的模式

Privileged External Tool Invocation
審計單位: codex 檢視審計紀錄 →

品質評分

55
架構
100
可維護性
87
內容
71
社群
8
安全
83
規範符合度

你可以打造什麼

分類韌體映像

識別嵌入式檔案類型,並在逆向工程之前優先排序需要更深入檢查的成品。

檢查 IoT 裝置傾印

找出支援的檔案系統並擷取其內容,以進行設定、二進位檔和憑證審查。

準備證據摘要

使用可讀的輸出模式,為工單、報告或交接備註摘要已發現的檔案類型。

試試這些提示

分析單一韌體檔案 
使用 ffind 分析此韌體檔案的成品檔案類型:[path]。摘要主要發現,且不要擷取檔案系統。
比較多個輸入 
對這些路徑執行 ffind:[paths]。顯示所有偵測到的檔案類型,並說明哪些檔案值得更深入審查。
規劃安全擷取 
評估 [path] 是否需要 ffind 擷取。如果需要,請提出安全的輸出目錄,並列出 sudo 命令供我核准。
產生報告發現 
使用 ffind 分析 [path],納入相關輸出模式選擇,並將結果轉換成精簡的韌體分析摘要。

最佳實務

  • 在韌體檔案副本上執行 ffind,而不是原始證據。
  • 使用具有足夠磁碟空間的隔離工作目錄進行擷取。
  • 任何基於 sudo 的擷取都必須先取得使用者明確核准。

避免

  • 不要在未隔離的情況下,對不受信任的韌體執行 sudo 擷取。
  • 不要擷取到共用或敏感目錄。
  • 不要假設檔案類型偵測能證明檔案是安全的。

常見問題

此技能有助於分析什麼?
它有助於使用 ffind 命令分析韌體檔案、目錄和嵌入式檔案系統。
它會自動擷取檔案系統嗎?
不會。此技能描述擷取選項,但擷取應需要使用者明確核准。
提到了哪些檔案系統?
此技能提到 ext2、ext3、ext4 和 F2FS 檔案系統擷取。
為什麼 sudo 是一項風險?
sudo 會讓擷取工具在處理不受信任的韌體資料時,取得提升後的主機權限。
它可以輸出機器可讀的結果嗎?
可以。此技能記錄 JSON 輸出模式,以及文字和靜默模式。
這適合直接在 marketplace 發布嗎?
不可以。它需要人工審查,因為它會指示具權限的檔案系統擷取和外部命令執行。

開發者詳細資訊

授權

MIT

儲存庫

https://github.com/BrownFineSecurity/iothackbot/tree/master/skills/ffind

引用

master

檔案結構

📄 SKILL.md