binary-analysis-patterns

por wshobson

binary-analysis-patterns es una skill de ingeniería inversa para interpretar desensamblado x86-64, convenciones de llamada, marcos de pila y flujo de control, y así agilizar la revisión de binarios y el trabajo de Security Audit.

Estrellas32.6k

Favoritos0

Comentarios0

Agregado30 mar 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add wshobson/agents --skill binary-analysis-patterns

Puntuación editorial

Esta skill obtiene 68/100, lo que la hace válida para usuarios del directorio que buscan una referencia reutilizable sobre patrones de análisis estático de binarios, aunque conviene esperar una guía centrada en conocimiento más que una skill operativa con ejecución paso a paso.

68/100

Puntos fuertes

El frontmatter ofrece un desencadenante claro: úsala para analizar ejecutables, entender código compilado o realizar análisis estático sobre binarios.
El contenido sustancial de SKILL.md cubre temas concretos de ingeniería inversa, como desensamblado, convenciones de llamada, flujo de control y reconocimiento de patrones de código, con ejemplos.
El documento está bien estructurado, con varios encabezados y bloques de código, lo que facilita revisarlo frente a un prompt genérico al interpretar patrones de código compilado.

Puntos a tener en cuenta

No incluye archivos de apoyo, referencias ni orientación sobre herramientas, por lo que los agentes quizá todavía deban deducir qué herramientas de análisis binario usar y en qué orden.
El contenido parece orientado sobre todo como material de consulta, más que como un flujo de trabajo estricto, con pocas restricciones explícitas o reglas de decisión para casos límite.

Reverse Engineering Security Systems Programming Cli Developer Audience

Resumen

Visión general de la skill binary-analysis-patterns

Para qué sirve la skill binary-analysis-patterns

La skill binary-analysis-patterns es una biblioteca de patrones para leer código compilado: formas habituales de instrucciones x86-64, convenciones de llamada, diseños de marcos de pila, estructuras de flujo de control y secuencias generadas por compiladores que resultan reconocibles. Es especialmente útil cuando ya dispones de desensamblado o salida de decompilador y necesitas convertir instrucciones de bajo nivel en una explicación plausible del comportamiento del programa.

Usuarios ideales y trabajos que resuelve mejor

Esta skill encaja bien para ingenieros de seguridad, reverse engineers, analistas de malware, participantes de CTF y desarrolladores que realizan auditorías de seguridad sobre binarios nativos. El trabajo real no es “explicar ensamblador” en abstracto, sino identificar qué hace una función, detectar lógica sospechosa o vulnerable, reconstruir argumentos y valores de retorno, y pasar de instrucciones crudas a una narrativa útil para auditoría más rápido que con un prompt genérico.

Qué diferencia a esta skill de un prompt normal

Un prompt común suele producir resúmenes superficiales del ensamblador. La skill binary-analysis-patterns funciona mejor cuando necesitas una interpretación consistente de estructuras recurrentes como:

patrones de prólogo y epílogo de función
convenciones de llamada System V AMD64 frente a Microsoft x64
flujo de control de bucles, ramas y estructuras tipo switch
uso de variables de pila y reconstrucción del frame
modismos del compilador que se vuelven confusos si se leen de forma literal

Por eso resulta más adecuada para una revisión estructurada de binarios que pedirle a un modelo “analiza este ensamblador” sin ningún marco de trabajo.

Qué conviene tener claro antes de instalarla

Esta es una skill de orientación basada en texto, no un desensamblador automatizado, depurador ni motor de firmas. No sustituye herramientas como objdump, Ghidra, IDA, radare2 o Binary Ninja; te ayuda a razonar sobre la salida de esas herramientas. Si necesitas extracción automática desde binarios, la skill por sí sola no basta. Si ya tienes fragmentos, listados de funciones, notas de CFG o pseudocódigo del decompilador, se vuelve mucho más útil.

Cuándo binary-analysis-patterns es una buena elección

Usa binary-analysis-patterns cuando quieras una ayuda reutilizable de interpretación para:

clasificar funciones desconocidas con rapidez
validar las hipótesis del decompilador frente al ensamblador
mapear el uso de registros a los argumentos de función
reconocer wrappers de librería y boilerplate probables
documentar hallazgos para una auditoría de seguridad

Cómo usar la skill binary-analysis-patterns

Instalar la skill binary-analysis-patterns

Instálala desde el repositorio wshobson/agents:

npx skills add https://github.com/wshobson/agents --skill binary-analysis-patterns

Como esta skill vive en plugins/reverse-engineering/skills/binary-analysis-patterns, la instalación es simple: no hay scripts auxiliares ni paquetes de referencia adicionales que configurar.

Lee primero este archivo

Empieza por:

SKILL.md

Esta skill está concentrada en un único archivo, así que no hace falta demasiada arqueología dentro del repositorio. Lee primero los encabezados para entender qué cubre y luego úsala como checklist mientras revisas tu propio desensamblado.

Qué entradas necesita la skill para rendir bien

La skill binary-analysis-patterns da mejores resultados cuando le proporcionas artefactos concretos de análisis de binarios, por ejemplo:

ensamblador de una función cada vez
pseudocódigo del decompilador junto con el ensamblador correspondiente
plataforma objetivo y ABI, si se conocen
nombres de símbolos, si existen símbolos parciales
tu hipótesis actual, por ejemplo “I think this is argument parsing”
la pregunta de seguridad que te interesa, como comprobaciones de límites o lógica de autenticación

Entrada débil:

“Analyze this binary.”

Entrada sólida:

“Analyze this x86-64 function from a Linux ELF. Assume System V AMD64. Identify the arguments, local variables, likely return value, and whether the control flow suggests input validation or unsafe memory handling.”

Cómo convertir un objetivo difuso en un buen prompt

Un buen prompt de binary-analysis-patterns usage suele incluir cinco partes:

arquitectura y convención del sistema operativo
alcance de la función
formato de salida
pregunta de auditoría
tratamiento de la incertidumbre

Ejemplo:

Use the binary-analysis-patterns skill on the following x86-64 disassembly from a Linux ELF.
Assume System V AMD64 unless the code contradicts it.
For this single function:
1. identify probable parameters and return value
2. describe the stack frame and local variables
3. summarize each branch and loop
4. call out any patterns consistent with parsing, copying, comparison, or allocation
5. note where confidence is low and what extra context would confirm the interpretation

Esto es mejor que una petición genérica porque obliga a razonar con conciencia del ABI y a producir una salida con una estructura útil.

Flujo de trabajo recomendado para Security Audit

Para binary-analysis-patterns for Security Audit, conviene usar un flujo de trabajo acotado y repetible:

exporta una función sospechosa desde tu herramienta de RE
identifica la plataforma y la convención de llamada más probable
pide reconstrucción del frame y resumen del flujo de control
haz una segunda pasada centrada en operaciones relevantes para seguridad
compara el resultado con las funciones llamadoras o llamadas adyacentes

Esto funciona especialmente bien con lógica de autenticación, parsers, deserializadores, manejo de cadenas y funciones wrapper alrededor de APIs sensibles.

Usa la skill para identificar pronto las convenciones de llamada

Una de las maneras más rápidas de mejorar la calidad de salida es indicar al modelo si la función sigue System V AMD64 o Microsoft x64. Muchos errores de interpretación vienen de asumir mal dónde viven los argumentos.

Añadido útil al prompt:

“This is from Windows x64; treat RCX, RDX, R8, and R9 as early arguments and account for shadow space.”

Sin ese contexto, el mapeo de argumentos y la interpretación de la pila pueden desviarse muy rápido.

Proporciona el ensamblador en bloques del tamaño de una función

No pegues cientos de instrucciones inconexas esperando un resultado limpio. La skill es más fiable cuando trabaja con una función o una región pequeña de flujo de control cada vez. Si el binario está stripped y desordenado, empieza por:

entrada de la función
todos los sitios de llamada dentro de esa función
destinos de las ramas
ruta de retorno

Luego amplía solo cuando ya tengas una hipótesis estable.

Combina ensamblador y salida del decompilador cuando sea posible

Un enfoque práctico de binary-analysis-patterns guide es aportar tanto la vista de bajo nivel como la de alto nivel. La salida del decompilador es más rápida de resumir, pero el ensamblador deja ver dónde el decompilador puede equivocarse sobre:

comparaciones con signo frente a sin signo
límites de variables de pila
llamadas indirectas
tail calls
frame pointers omitidos por optimización

Patrón de prompt:

“Use the decompiler output as a hypothesis, but validate it against the assembly before concluding.”

Pide reconocimiento de patrones, no solo traducción

La skill aporta más valor cuando le pides clasificar formas de código, no solo parafrasear instrucciones. Algunas buenas preguntas son:

“Is this a counted loop, sentinel loop, or state machine?”
“Does this prologue suggest a normal frame, leaf function, or optimized omission?”
“Do these compare-and-branch blocks look like bounds checks or command dispatch?”

Ahí es donde binary-analysis-patterns usage empieza a superar claramente a un prompting común.

Formatos de salida prácticos que ahorran tiempo

Pide uno de estos formatos según tu tarea:

notas de auditoría: viñetas orientadas a hallazgos con nivel de confianza
notas de reverse engineering: lista de argumentos, variables locales, resumen de CFG
validación de decompilador: “likely correct / likely wrong / ambiguous”
formato de triage: “purpose, evidence, open questions”

De cara a decidir si adoptarla, esto importa: la skill rinde mejor cuando alimenta un flujo de revisión humana, no cuando se usa como generador de respuestas finales en modo caja negra.

Preguntas frecuentes sobre la skill binary-analysis-patterns

¿binary-analysis-patterns es buena para principiantes?

Sí, siempre que ya tengas nociones muy básicas de ensamblador y quieras ayuda para reconocer patrones recurrentes. Es menos adecuada como primera introducción al reverse engineering, porque asume que puedes aportar desensamblado relevante y entiendes por qué importan los detalles de arquitectura y ABI.

¿binary-analysis-patterns instala herramientas de análisis?

No. El paso de binary-analysis-patterns install añade la guía de la skill, no un desensamblador ni un depurador. Sigues necesitando tus propias herramientas para extraer ensamblador, pseudocódigo, símbolos o contexto de CFG.

¿Cuándo debería usar esto en lugar de un prompt normal de LLM?

Usa la binary-analysis-patterns skill cuando quieras una interpretación más disciplinada de la estructura de código de bajo nivel. Si tu tarea es “resumir este archivo fuente”, un prompt normal basta. Si tu tarea es “reconstruir qué hace esta función stripped y si valida la entrada de forma segura”, esta skill encaja mejor.

¿Está limitada a x86-64?

El énfasis visible está en x86-64, especialmente en convenciones de llamada y estructura de funciones. Si tu objetivo es ARM, MIPS o WebAssembly, la skill aún puede ayudar con razonamiento general, pero no es la opción especializada más adecuada.

¿binary-analysis-patterns sirve para análisis de malware?

Sí, especialmente para el triage inicial de rutinas sospechosas, helpers de unpacking, lógica de decodificación de cadenas y funciones wrapper de API. Pero no cubre por sí sola un flujo completo de análisis de malware. Sigues necesitando sandboxing, análisis dinámico y herramientas de contexto de amenazas fuera de la skill.

¿Cuándo no encaja bien binary-analysis-patterns?

Mejor omitirla si necesitas:

extracción o escaneo automatizado de binarios
generación de exploits
instrumentación dinámica
profundidad específica por arquitectura fuera de los patrones que cubre
detección turnkey de vulnerabilidades sin revisión humana

Es una ayuda de razonamiento, no un reemplazo de una toolchain de reverse engineering.

Cómo mejorar la skill binary-analysis-patterns

Da un contexto más sólido que “analyze this”

El mayor salto de calidad llega al especificar:

formato de binario: ELF, PE, Mach-O
plataforma: Linux, Windows, macOS
arquitectura: x86-64, si se conoce
límite de la función
tu objetivo de auditoría

Por ejemplo:

“Use binary-analysis-patterns to review this PE x64 function for credential checks and unsafe buffer handling.”

Eso es muy superior a una petición amplia porque acota tanto el ABI como el modelo de amenaza.

Marca incertidumbres y puntos de apoyo conocidos

Si conoces un destino de llamada, una referencia a cadena o una API importada, inclúyelo. Incluso un solo punto de apoyo puede cambiar por completo la interpretación de los bloques cercanos.

Ejemplos:

“This function calls memcmp shortly before the final branch.”
“Cross-references suggest this is reached from the login handler.”
“Decompiler labels one local as a 256-byte stack buffer.”

Estos puntos de apoyo reducen las narrativas alucinadas.

Divide el análisis en dos pasadas

Para mejorar los resultados de binary-analysis-patterns, ejecútala en dos pasadas:

pasada estructural: argumentos, frame de pila, bucles, ramas, llamadas
pasada semántica: propósito probable, implicaciones de seguridad, evidencia faltante

Así evitas mezclar demasiado pronto semántica incierta con la reconstrucción básica.

Pide al modelo que muestre evidencia para cada afirmación

Un modo de fallo habitual es la interpretación excesivamente confiada. Redúcelo exigiendo soporte a nivel de instrucción.

Añadido al prompt:

“For every major conclusion, cite the instruction sequence or register behavior that supports it.”

Eso facilita verificar si la skill realmente está leyendo patrones o solo está adivinando a partir de señales superficiales.

Corrige explícitamente la convención de llamada cuando la salida se desvíe

Si la primera respuesta etiqueta mal argumentos o variables locales, no empieces de cero con la misma entrada. Dile exactamente qué debe corregir:

“Re-run using Microsoft x64, not System V AMD64.”
“Assume frame-pointer omission and infer locals from rsp offsets.”
“Treat this indirect call as a possible vtable dispatch.”

A menudo, correcciones pequeñas bastan para recuperar el análisis rápidamente.

Centra el ciclo de mejora en preguntas de auditoría

Al iterar, haz preguntas de seguimiento más acotadas en vez de repetir toda la tarea. Buenos ejemplos:

“Which branch is the actual authentication decision?”
“Where is length validation performed before the copy?”
“Are any stack writes indexed by untrusted input?”
“Does this loop terminate on length or sentinel value?”

Es la forma más rápida de convertir binary-analysis-patterns for Security Audit en notas de revisión accionables.

Compara funciones adyacentes para afinar la confianza

Si la primera salida parece plausible pero se queda corta, aporta una función llamadora o llamada. Muchos patrones binarios se aclaran cuando puedes ver:

preparación de argumentos en el sitio de llamada
comportamiento de limpieza tras el retorno
wrappers auxiliares repetidos
rutas compartidas de manejo de errores

Ese contexto suele distinguir la lógica de negocio del boilerplate.

Usa la skill como motor de hipótesis, no como verdad final

La mejor manera de mejorar los resultados de binary-analysis-patterns skill es tratar su salida como una hipótesis estructurada que debes validar en tu herramienta de RE. Comprueba condiciones de rama, offsets de pila y llamadas importadas antes de convertir conclusiones en hallazgos. Ahí es donde la skill aporta más valor: interpretación más rápida y con menos conjeturas, manteniendo al analista humano al mando.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k