anti-reversing-techniques

par wshobson

anti-reversing-techniques est une skill de rétro-ingénierie pour l’analyse de malware autorisée, les CTF, le triage de binaires packés et les audits de sécurité. Elle vous aide à repérer les mécanismes anti-debug, anti-VM, de packing et d’obfuscation, puis à choisir un workflow d’analyse pragmatique à l’aide de la skill principale et de la référence avancée.

Étoiles32.6k

Favoris0

Commentaires0

Ajouté30 mars 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add wshobson/agents --skill anti-reversing-techniques

Score éditorial

Cette skill obtient un score de 78/100, ce qui en fait une fiche solide pour l’annuaire : les agents disposent de déclencheurs d’usage clairs et de consignes opérationnelles substantielles pour des contextes de rétro-ingénierie autorisés. Il faut toutefois prévoir une part de jugement manuel, car le dépôt est avant tout documentaire et n’inclut ni outillage intégré ni procédure d’installation.

78/100

Points forts

Déclenchement d’usage clair : la description indique explicitement quand l’utiliser (analyse de malware, anti-debugging pour les CTF, binaires packés, détection de VM).
Bonne profondeur opérationnelle : `SKILL.md` est riche et couvre le cadrage des entrées/sorties, les workflows, les contraintes, des blocs de code et des références avancées liées.
Présence d’un signal de confiance : la skill s’ouvre sur des consignes explicites concernant l’usage autorisé, le périmètre et la conformité légale pour un travail de sécurité à double usage.

Points de vigilance

Adoption limitée à la documentation : il n’y a ni scripts, ni règles, ni ressources, ni commandes d’installation pour réduire les incertitudes d’exécution dans un runtime d’agent.
Certaines tâches de ce domaine exigent intrinsèquement le jugement d’un analyste expérimenté ; la skill peut donc ne pas suffire à rendre fiables, sans outils externes, des opérations complexes de déballage ou de contournement.

Security Reverse Engineering Systems Programming Debugging Cli

Vue d’ensemble

Présentation de la compétence anti-reversing-techniques

La compétence anti-reversing-techniques est une aide à la rétro-ingénierie pour les analystes qui doivent reconnaître, expliquer et contourner méthodiquement les protections logicielles courantes dans un cadre d’analyse autorisé. Elle est particulièrement adaptée à l’analyse de malwares, aux CTF, à la recherche en sécurité, au triage de binaires packés et aux tests d’outils défensifs lorsque l’anti-debug, l’anti-VM, le packing ou l’obfuscation bloquent l’avancement.

Ce que cette compétence vous aide réellement à faire

L’objectif concret n’est pas de « connaître toutes les techniques d’anti-reversing ». Il s’agit plutôt de passer d’un échantillon protégé qui résiste aux outils habituels à un plan d’analyse exploitable : identifier les protections probables, choisir des étapes d’investigation plus sûres et éviter de perdre du temps sur une mauvaise piste de dépacking ou de débogage.

Profils pour lesquels c’est le plus pertinent

Cette anti-reversing-techniques skill convient bien à :

des reverse engineers confrontés à une détection de débogueur ou à des stubs d’entrée packés
des analystes malware en phase de triage de binaires suspects
des participants à des CTF qui implémentent ou contournent des vérifications anti-debug dans un cadre légal de challenge
des auditeurs sécurité qui doivent vérifier si des protections perturbent les workflows d’évaluation

Elle est moins utile pour le secure coding général, la stratégie de durcissement applicatif, ou l’apprentissage théorique du malware sans échantillon ni comportement cible concret.

Principaux éléments différenciants

Par rapport à une requête générique du type « comment reverser ce binaire ? », anti-reversing-techniques fournit une grille de lecture structurée sur :

les informations d’entrée qui comptent avant même de commencer l’analyse
les vérifications anti-debug et de détection d’environnement à tester en priorité
les schémas de détection spécifiques à Windows
les repères de workflow liés aux packers et à l’OEP
du contenu d’approfondissement dans references/advanced-techniques.md

Cette compétence est donc surtout précieuse quand vous avez besoin d’un cadre de départ rapide, pas d’un long panorama académique.

Limite importante avant installation ou usage

Cette compétence est explicitement à double usage. Elle est rédigée uniquement pour des contextes autorisés : analyse de malware, logiciel vous appartenant, pentest validé, recherche académique ou environnement CTF. Si votre cas d’usage consiste à contourner des protections sur un logiciel tiers sans autorisation, ce n’est pas le bon outil, ni probablement le bon workflow.

Comment utiliser la compétence anti-reversing-techniques

Contexte d’installation de anti-reversing-techniques

La compétence source ne publie pas de commande d’installation locale au dépôt dans SKILL.md, donc les utilisateurs de l’annuaire l’ajoutent généralement depuis le dépôt parent de skills :

npx skills add https://github.com/wshobson/agents --skill anti-reversing-techniques

Après l’installation, chargez la compétence lorsque votre tâche implique des binaires protégés, de l’évasion de débogueur, des packers ou des mécanismes de détection d’environnement.

Que lire en premier dans le dépôt

Pour l’adopter rapidement, lisez les fichiers dans cet ordre :

plugins/reverse-engineering/skills/anti-reversing-techniques/SKILL.md
plugins/reverse-engineering/skills/anti-reversing-techniques/references/advanced-techniques.md

SKILL.md couvre le socle pratique. references/advanced-techniques.md devient utile lorsque l’échantillon semble packé, virtualisé ou volontairement hostile à la désassemblage.

Quelles entrées fournir à la compétence

Vous obtiendrez de bien meilleurs résultats si vous fournissez des éléments d’analyse concrets au lieu de demander « toutes les techniques d’anti-reversing ». Exemples d’entrées utiles :

chemin du binaire ou type d’échantillon
OS et architecture
soupçon de binaire packé ou non packé
comportement observé dans le débogueur
chaînes, imports ou API déjà identifiés
fait que l’échantillon quitte immédiatement, se fige, plante ou change de comportement dans une VM
votre chaîne d’outils, par exemple x64dbg, IDA, Ghidra, WinDbg, DIE ou PEiD

Une entrée faible :

« Aide-moi à reverser cet exécutable protégé. »

Une entrée solide :

« Analyse un PE Windows 64 bits autorisé qui se ferme immédiatement sous x64dbg, importe IsDebuggerPresent et CheckRemoteDebuggerPresent, et semble packé dans DIE. J’ai besoin d’un plan de triage pour les vérifications anti-debug, l’identification probable du packer et les zones où chercher l’OEP. »

Comment transformer un objectif vague en prompt solide

Les meilleurs prompts combinent périmètre, symptômes et format de sortie attendu. Modèle utile :

ce qu’est le binaire
ce que vous êtes autorisé à faire
ce qui a déjà été observé
quels outils vous pouvez utiliser
quel résultat vous attendez à l’étape suivante

Exemple :
« Use the anti-reversing-techniques skill for an authorized malware-analysis lab. I have a Windows PE sample that detects my VM and behaves differently under a debugger. Give me a prioritized workflow to identify anti-VM and anti-debug techniques, likely APIs or instruction patterns to inspect, and safe next steps before dynamic unpacking. »

Cette approche fonctionne mieux que les requêtes trop larges, car la compétence est la plus efficace lorsqu’elle peut relier des symptômes à des familles de techniques probables.

Workflow d’usage typique de anti-reversing-techniques

Un schéma d’utilisation pratique de anti-reversing-techniques ressemble à ceci :

confirmer l’autorisation et le périmètre
identifier la plateforme et la classe de protection probable
faire un triage statique des imports, chaînes, sections et signaux de packer
vérifier les branches anti-debug courantes avant de partir dans un traçage profond
décider s’il faut d’abord dépacker ou instrumenter le comportement
consulter la référence avancée uniquement si les schémas courants n’expliquent pas le comportement

Cet ordre compte. Beaucoup d’utilisateurs perdent du temps en plongeant directement dans une désassemblage complète avant de vérifier si l’échantillon est packé ou simplement verrouillé par des contrôles anti-debug basiques.

Quand consulter la référence avancée

Ouvrez references/advanced-techniques.md si vous observez des signes de :

protecteurs commerciaux comme Themida, VMProtect ou Enigma
stubs d’entrée compressés ou chiffrés
flux de contrôle cassé par des techniques d’anti-disassembly
besoin probable de retrouver et dumper l’Original Entry Point
logique anti-VM qui résiste à un nettoyage d’environnement basique

Cette référence est particulièrement utile pour la reconnaissance de packers et les méthodes de dépacking manuel, notamment avec un raisonnement centré sur l’OEP.

Hypothèses pratiques sur l’outillage

La compétence s’aligne le plus naturellement sur des workflows de reversing Windows. Elle fait référence à des outils et schémas classiques orientés PE, tels que :

DIE / Detect It Easy
Exeinfo PE / PEiD
x64dbg
des outils de reconstruction d’imports comme Scylla ou ImpREC

Si vous travaillez surtout sur des binaires Mach-O sous macOS ou ELF sous Linux, les concepts restent utiles, mais il faut vous attendre à adapter les exemples et les API.

Conseils qui améliorent réellement la qualité des résultats

Pour obtenir des réponses plus utiles avec le guide anti-reversing-techniques, incluez :

le premier point d’échec observable
si l’exécution change dans une VM
les API suspectes, vérifications PEB, contrôles temporels ou comportements d’exception
les noms de sections, indices d’entropie ou signatures de packer
si vous attendez une explication, un triage ou un workflow complet

Cela permet à la compétence de distinguer l’anti-debugging, l’anti-VM, le packing et un simple crash, qui se ressemblent souvent au premier abord.

Freins d’adoption les plus fréquents

Les principaux blocages ne concernent généralement pas l’installation. Ce sont plutôt :

l’usage de la compétence sans échantillon ni comportement concret
l’attente d’instructions de dépacking universelles en une seule réponse pour tous les protecteurs
l’oubli du cadre légal et de l’autorisation
l’idée que la référence avancée remplace les preuves observées au débogueur

Si vous cherchez un outil d’automatisation clé en main, ce n’est pas cela. C’est une compétence d’aide à la décision pour analystes.

FAQ sur la compétence anti-reversing-techniques

anti-reversing-techniques convient-il aux débutants ?

Oui, si vous maîtrisez déjà les outils et la terminologie de base du reverse engineering. Non, si vous partez de zéro. La compétence suppose que vous savez inspecter des imports, utiliser un débogueur et décrire le comportement d’un binaire. Elle est surtout utile au stade « j’ai un échantillon et il me faut un plan ».

Cette compétence est-elle réservée à l’analyse de malwares ?

Non. Elle convient aussi aux CTF, à la recherche sur les protections logicielles, à la pratique du dépacking et à anti-reversing-techniques for Security Audit lorsque des protections bloquent un test légitime. En revanche, le workflow reste centré sur l’analyse de binaires, pas sur la revue de politiques ou le choix de produits.

En quoi est-ce différent d’un prompt ordinaire ?

Un prompt ordinaire produit souvent des listes génériques de techniques anti-debug. La anti-reversing-techniques skill est plus utile parce qu’elle est organisée autour des entrées fournies par l’analyste, de l’ordre du workflow et des catégories de protections réellement rencontrées pendant le triage.

La compétence inclut-elle des indications avancées sur les packers ?

Oui, mais la séparation est bien pensée. Le SKILL.md principal reste concentré sur les schémas les plus courants, tandis que references/advanced-techniques.md traite des packers, de la recherche d’OEP, du dépacking manuel et de techniques d’anti-analyse plus spécialisées.

Dans quels cas ne pas utiliser anti-reversing-techniques ?

N’utilisez pas anti-reversing-techniques si :

vous n’avez pas d’autorisation
votre tâche relève du secure coding générique plutôt que de l’analyse de binaires
vous avez besoin d’un unpacker entièrement automatisé plutôt que d’une aide à l’analyse
votre problème concerne principalement un audit web, cloud ou de code source

L’installation de anti-reversing-techniques suffit-elle à elle seule ?

L’installation n’est pas le vrai point de décision. Il vous faut aussi :

un contexte d’analyse légal et autorisé
un binaire ou un ensemble concret de symptômes
des outils pour inspecter le comportement à l’exécution
la volonté d’itérer après le triage initial

Sans cela, la compétence pourra toujours expliquer des concepts, mais la qualité des résultats sera nettement plus faible.

Comment améliorer l’usage de la compétence anti-reversing-techniques

Commencez par le symptôme, pas par la liste de techniques

La meilleure façon d’améliorer les résultats de anti-reversing-techniques est de décrire ce que vous avez observé avant de demander des méthodes. « Le débogueur se ferme après l’entrée » ou « l’échantillon échoue uniquement en VM » est bien plus exploitable que « liste les techniques anti-debug ».

Donnez tôt le contexte du binaire

Incluez :

le format de fichier et l’architecture
l’OS cible
le compilateur ou protecteur probable si vous le connaissez
si le fichier semble packé
quel outil a produit chaque observation

Cela aide la compétence à ne pas mélanger des tactiques sans rapport et garde la réponse proche de votre environnement réel.

Demandez des hypothèses classées par priorité

Un bon prompt demande une short list priorisée :

les mécanismes de protection les plus probables
les éléments qui appuient chaque hypothèse
ce qu’il faut vérifier ensuite
quel résultat confirmerait ou écarterait l’hypothèse

C’est bien plus utile que de demander un énorme catalogue de techniques d’anti-reversing.

Améliorez vos prompts avec des extraits d’artefacts

Vous n’avez pas besoin de coller un binaire entier. De petits artefacts améliorent fortement la qualité :

imports suspects
lignes de log du débogueur
anomalies dans la table des sections
chaînes notables
court extrait de désassemblage autour de la branche qui échoue

Ces détails révèlent souvent si vous avez affaire à des contrôles basés sur des API, à une inspection du PEB, à une logique temporelle ou à des stubs de packer.

Modes d’échec fréquents à éviter

Les utilisateurs obtiennent de mauvais résultats lorsqu’ils :

demandent des étapes de contournement sans décrire l’échantillon
omettent les détails de plateforme
ignorent le contexte d’autorisation pour une tâche à double usage
confondent packing et anti-debugging
attendent des détails Linux ou macOS à partir d’un ensemble d’exemples très orienté Windows

La plupart des mauvaises réponses viennent d’entrées insuffisamment spécifiées, pas de la compétence elle-même.

Itérez après la première réponse

Servez-vous de la première réponse pour collecter les éléments manquants, puis relancez avec vos constats :

nouveaux imports identifiés
indicateurs anti-VM confirmés ou écartés
OEP trouvé ou non
succès ou échec du dump ou de la reconstruction d’imports

La compétence anti-reversing-techniques devient bien plus utile au second passage, car l’espace de recherche est alors plus resserré.

Associez la compétence de base à la référence avancée de façon sélective

Ne sautez pas par défaut dans references/advanced-techniques.md. Utilisez-la lorsque l’échantillon semble clairement packé, virtualisé ou volontairement hostile à une désassemblage normale. Vous garderez ainsi un workflow plus rapide et éviterez de plaquer des explications avancées sur des cas simples.

Améliorer anti-reversing-techniques pour Security Audit

Pour anti-reversing-techniques for Security Audit, formulez le prompt autour des résultats d’audit attendus :

quelle protection bloque l’évaluation
si vous avez besoin de détection, d’explication ou de reproduction
quel niveau de détail technique convient au livrable client
si l’objectif est l’accès analyste, la validation des protections ou la communication du risque

Cela oriente la sortie moins vers des curiosités de reverse engineering et davantage vers des éléments de preuve réellement exploitables par une équipe sécurité.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-threat-model

par openai

Compétence security-threat-model ancrée dans le dépôt pour la modélisation des menaces AppSec. Elle cartographie les frontières de confiance, les actifs, les objectifs des attaquants, les chemins d’abus et les mesures de mitigation dans un modèle de menaces Markdown concis. À utiliser lorsque vous avez besoin de security-threat-model pour une Threat Modeling sur un dépôt ou un chemin précis, et non d’une revue d’architecture générique ou d’une vérification de code.

Threat Modeling

Favoris 0GitHub 0

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

azure-ai-contentsafety-ts

par microsoft

azure-ai-contentsafety-ts aide à analyser du texte et des images à la recherche de contenu préjudiciable avec Azure AI Content Safety en TypeScript. Utilisez ce skill pour des workflows de modération, des blocklists et des contrôles d’audit de sécurité sur les contenus haineux, violents, sexuels et liés à l’automutilation. Il couvre aussi la configuration du point de terminaison Azure et de l’authentification.

Security Audit

Favoris 0GitHub 2.3k

sharp-edges

par trailofbits

La skill sharp-edges vous aide à repérer les API, configurations et interfaces où la voie la plus simple conduit à un usage non sécurisé. Utilisez-la pour examiner les flux d’authentification, les enveloppes cryptographiques, les valeurs par défaut risquées, les sémantiques null ou zéro, ainsi que les choix de conception propices aux erreurs d’utilisation. Elle convient très bien aux travaux de sharp-edges pour l’audit de sécurité lorsqu’il faut des cas concrets de pièges de conception, et non de vagues suppositions de sécurité.

Security Audit

Favoris 0GitHub 5k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

par mukul975

La skill d’exploitation du stockage de données non sécurisé sur mobile aide à évaluer et à extraire des preuves à partir d’un stockage local vulnérable dans les apps Android et iOS. Elle couvre SharedPreferences, les bases de données SQLite, les fichiers plist, les fichiers lisibles par tous, l’exposition via les sauvegardes et la gestion faible des clés dans le keychain/keystore, pour des workflows de pentest mobile et d’audit de sécurité.

Security Audit

Favoris 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

building-incident-response-playbook

par mukul975

building-incident-response-playbook aide les équipes sécurité à créer des playbooks de réponse aux incidents réutilisables, avec des phases pas à pas, des arbres de décision, des critères d’escalade, une répartition des responsabilités en RACI et une structure prête pour le SOAR. Il est conçu pour la documentation des procédures de réponse aux incidents, les workflows de triage des incidents et les plans de réponse opérationnels adaptés aux audits.

Incident Triage

Favoris 0GitHub 6.1k

building-patch-tuesday-response-process

par mukul975

building-patch-tuesday-response-process aide les équipes à mettre en place un processus Microsoft Patch Tuesday reproductible pour trier les avis, hiérarchiser les risques, tester les correctifs, valider le déploiement et suivre la conformité. Idéal pour les opérations de sécurité, la gestion des vulnérabilités et le pilotage de projet autour de building-patch-tuesday-response-process.

Project Management

Favoris 0GitHub 6.1k

ossfuzz

par trailofbits

Découvrez le skill ossfuzz pour configurer le fuzzing continu, inscrire un projet, planifier un harness et passer en revue le workflow de build. Ce guide aide les ingénieurs sécurité et les mainteneurs à évaluer la maturité du projet, repérer les blocages de compilation et préparer une trajectoire concrète, de l’arborescence source vers OSS-Fuzz ou une infrastructure de fuzzing privée.

Security Audit

Favoris 0GitHub 5k

codeql

par trailofbits

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

Security Audit

Favoris 0GitHub 5k

semgrep-rule-creator

par trailofbits

semgrep-rule-creator crée des règles Semgrep de qualité production pour les vulnérabilités de sécurité, les patterns de bugs, les détections de flux de taint et les standards de codage. Utilisez le skill semgrep-rule-creator pour les audits de sécurité lorsque vous avez besoin de règles précises, de cas de test et d’une validation solide plutôt que d’un brouillon générique.

Security Audit

Favoris 0GitHub 5k

insecure-defaults

par trailofbits

La compétence insecure-defaults aide à repérer les configurations de type fail-open qui laissent le logiciel fonctionner avec des paramètres dangereux au lieu de s’arrêter. Utilisez-la pour un audit de sécurité du code de production, des configurations de déploiement et de la logique de gestion des secrets afin de détecter une authentification faible, des secrets codés en dur et des valeurs par défaut trop permissives.

Security Audit

Favoris 0GitHub 5k

constant-time-analysis

par trailofbits

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de side-channel temporel dans le code cryptographique avant qu’ils ne deviennent des bogues exploitables. Utilisez-le pour examiner les calculs dépendants des secrets, les branches, les comparaisons et le code compilé lors de revues en C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoris 0GitHub 5k

secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Security Audit

Favoris 0GitHub 4.9k