一键导入
binary-triage
通过检查内存布局、字符串、导入/导出以及函数,对二进制文件进行初步分析,以快速理解其功能并识别可疑行为。适用于首次检查二进制文件、用户请求对程序进行分诊/概览/分析,或在进行更深入的逆向工程之前需要一个整体认知时使用。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
通过检查内存布局、字符串、导入/导出以及函数,对二进制文件进行初步分析,以快速理解其功能并识别可疑行为。适用于首次检查二进制文件、用户请求对程序进行分诊/概览/分析,或在进行更深入的逆向工程之前需要一个整体认知时使用。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
当用户正在进行 CTF 比赛或练习,遇到 AI 类型题目时触发此 Skill。 适用场景包括: - 用户需要与大语言模型交互获取 flag(提示词注入、越狱) - 用户描述了 AI 输出编码、AI 安全防护绕过等问题 - 用户提及 "AI"、"GPT"、"LLM"、"提示词"、"prompt injection"、"jailbreak" 等关键词 - 用户需要绕过 AI 的安全机制、提取隐藏信息、解码 AI 输出
通过在二进制中识别、分析并利用弱密码实现来解 CTF 密码题,目标是提取密钥或解密数据。适用于自定义密码、弱加密、密钥提取、算法识别等场景。
当用户正在进行 CTF 比赛或练习,遇到 Misc 类型题目时触发此 Skill。 适用场景包括: - 用户上传或提及了音频文件(wav/mp3/flac)、图片文件(png/jpg/bmp/gif)、压缩包、pcap 流量包、内存镜像(raw/vmem/dmp)等 - 用户描述了隐写、编码、套娃、文件分析、内存取证相关问题 - 用户明确说"CTF"、"Misc"、"隐写"、"找 flag"、"这是一道题"、"内存取证"、"Volatility"等关键词 - 用户提供了 base64/hex/binary 等编码字符串需要解码 - 用户需要分析可疑文件、提取隐藏数据、还原协议内容、分析内存镜像
通过发现并利用内存破坏漏洞完成 CTF 二进制利用题(pwn),最终读到 flag。适用于栈溢出、格式化字符串、堆利用、ROP 等各类利用任务。
使用系统化分析解 CTF 逆向题,提取 flag/key/password。适用于 crackme、binary bomb、序列号校验、混淆代码、算法还原等所有需要理解程序行为的场景。
当用户正在进行 CTF 比赛或练习,遇到 Web 类型题目时触发此 Skill。 适用场景包括: - 用户描述了 SQL 注入、XSS、SSRF、SSTI、XXE、文件包含、命令执行等 Web 安全问题 - 用户需要进行信息搜集、目录扫描、端口扫描等渗透前期工作 - 用户遇到 PHP 特性利用、反序列化、JWT 伪造等高级攻击场景 - 用户提及 "CTF"、"Web"、"渗透"、"注入"、"绕过"、"漏洞" 等关键词 - 用户需要分析 Java 代码审计、区块链安全、组件漏洞利用等问题 - 用户需要构造 payload、编写 exploit、分析 WAF 绕过策略
| name | binary-triage |
| description | 通过检查内存布局、字符串、导入/导出以及函数,对二进制文件进行初步分析,以快速理解其功能并识别可疑行为。适用于首次检查二进制文件、用户请求对程序进行分诊/概览/分析,或在进行更深入的逆向工程之前需要一个整体认知时使用。 |
我们正在对一个二进制文件进行分诊,以快速理解它的行为。这是一次初步调查,而不是深入分析。我们的目标是:
按照以下系统化流程,使用 ida-pro-mcp 的 MCP 工具进行分析:
get-current-program 查看当前活动程序list-project-files 查看项目中可用的程序programPath(例如 "/Hatchery.exe"),供后续工具使用get-memory-blocks 了解二进制结构.text - 可执行代码.data - 已初始化数据.rodata - 只读数据(字符串、常量).bss - 未初始化数据get-strings-count 查看字符串总数get-strings 并启用分页(每次 100–200 条)get-symbols-count 并设置 includeExternal=true 统计导入数量get-symbols,设置 includeExternal=true 和 filterDefaultNames=trueget-function-count 并设置 filterDefaultNames=true 统计已命名函数get-function-count 并设置 filterDefaultNames=false 统计所有函数get-functions 并设置 filterDefaultNames=true 列出已命名函数entry、start、_startmain、WinMain、DllMain、_mainfind-cross-references,设置 direction="to" 和 includeContext=truefind-cross-references,设置 direction="to" 和 includeContext=trueget-decompilation
limit=30,初步获取约 30 行代码includeIncomingReferences=true 查看调用者includeReferenceContext=true 获取上下文片段get-decompilation
limit=20–30 进行快速概览TodoWrite 工具创建可执行的任务清单,例如:
http://malicious-c2.com(在 0x00401234 被引用)”请按照以下结构化格式向用户呈现分诊结果:
[按严重程度排序的风险信号列表]
[第 8 步中创建的任务清单]
includeContext=true