binary-analysis-patterns

por wshobson

binary-analysis-patterns é uma skill de engenharia reversa para interpretar disassembly x86-64, convenções de chamada, stack frames e fluxo de controle, ajudando a acelerar a revisão de binários e trabalhos de Security Audit.

Estrelas32.6k

Favoritos0

Comentários0

Adicionado30 de mar. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add wshobson/agents --skill binary-analysis-patterns

Pontuação editorial

Esta skill recebe nota 68/100, o que a torna aceitável para listagem a usuários do diretório que procuram uma referência reutilizável sobre padrões de análise estática de binários. Ainda assim, o esperado é um guia mais denso em conhecimento do que uma skill operacional, com suporte passo a passo para execução.

68/100

Pontos fortes

O frontmatter traz um gatilho de uso claro: analisar executáveis, entender código compilado ou fazer análise estática de binários.
O conteúdo substancial de SKILL.md cobre tópicos concretos de engenharia reversa, como disassembly, convenções de chamada, fluxo de controle e reconhecimento de padrões de código, com exemplos.
O documento é bem estruturado, com vários headings e blocos de código, o que facilita a leitura em comparação com um prompt genérico ao interpretar padrões em código compilado.

Pontos de atenção

Não há arquivos de apoio, referências nem orientação de tooling, então os agentes ainda podem precisar recorrer a suposições para decidir quais ferramentas de análise de binários usar e em que ordem.
O conteúdo parece ser voltado principalmente a consulta, e não a um workflow rígido, com poucas restrições explícitas ou regras de decisão para casos de borda.

Reverse Engineering Security Systems Programming Cli Developer Audience

Visão geral

Visão geral da skill binary-analysis-patterns

Para que serve a skill binary-analysis-patterns

A skill binary-analysis-patterns é uma biblioteca de padrões para leitura de código compilado: formatos comuns de instruções x86-64, convenções de chamada, layouts de stack frame, estruturas de fluxo de controle e sequências geradas pelo compilador que são fáceis de reconhecer. Ela é mais útil quando você já tem um disassembly ou a saída de um decompiler e precisa transformar instruções de baixo nível em uma explicação plausível do comportamento do programa.

Usuários ideais e jobs-to-be-done

Essa skill atende bem engenheiros de segurança, reverse engineers, analistas de malware, participantes de CTF e desenvolvedores fazendo auditoria de segurança em binários nativos. O trabalho real aqui não é “explicar assembly” de forma abstrata. É identificar o que uma função faz, detectar lógica suspeita ou vulnerável, reconstruir argumentos e retornos e sair de instruções cruas para uma narrativa pronta para auditoria mais rápido do que com um prompt genérico.

O que diferencia esta skill de um prompt comum

Um prompt normal costuma gerar resumos rasos de assembly. A skill binary-analysis-patterns é mais forte quando você precisa de uma interpretação consistente de estruturas recorrentes, como:

padrões de prólogo e epílogo de função
convenções de chamada System V AMD64 vs Microsoft x64
fluxo de controle com loops, branches e estruturas tipo switch
uso de variáveis de stack e reconstrução de frame
idioms de compilador que confundem quando lidos ao pé da letra

Isso a torna mais adequada para revisão estruturada de binários do que pedir a um modelo para “analisar esse assembly” sem nenhum framework.

O que importa saber antes de instalar

Esta é uma skill de orientação baseada em texto, não um disassembler automatizado, debugger ou mecanismo de signatures. Ela não substitui ferramentas como objdump, Ghidra, IDA, radare2 ou Binary Ninja; ela ajuda você a raciocinar sobre a saída dessas ferramentas. Se você precisa extrair informações de binários de forma automatizada, a skill sozinha não basta. Se você já tem snippets, listagens de funções, notas de CFG ou pseudocódigo de decompiler, ela passa a ser muito mais útil.

Quando binary-analysis-patterns é uma escolha forte

Use binary-analysis-patterns quando quiser um apoio reutilizável de interpretação para:

fazer triagem rápida de funções desconhecidas
validar palpites do decompiler comparando com o assembly
mapear uso de registradores para argumentos de função
reconhecer wrappers de biblioteca e boilerplate prováveis
documentar achados para uma auditoria de segurança

Como usar a skill binary-analysis-patterns

Instalar a skill binary-analysis-patterns

Instale a partir do repositório wshobson/agents:

npx skills add https://github.com/wshobson/agents --skill binary-analysis-patterns

Como esta skill fica em plugins/reverse-engineering/skills/binary-analysis-patterns, a expectativa de instalação é simples: não há scripts auxiliares nem pacotes de referência extras para configurar.

Leia este arquivo primeiro

Comece por:

SKILL.md

Esta skill está concentrada em um único arquivo, então quase não há necessidade de “arqueologia” no repositório. Leia primeiro os headings para entender a cobertura e depois use o conteúdo como checklist ao revisar seu próprio disassembly.

Que tipo de input a skill precisa para funcionar bem

A skill binary-analysis-patterns funciona melhor quando você fornece artefatos concretos de análise de binário, como:

assembly de uma função por vez
pseudocódigo do decompiler junto com o assembly correspondente
plataforma-alvo e ABI, se conhecidos
nomes de símbolos, se houver símbolos parciais
sua hipótese atual, por exemplo “acho que isto é parsing de argumentos”
a pergunta de segurança que importa para você, como bounds checks ou lógica de autenticação

Input fraco:

“Analyze this binary.”

Input forte:

“Analyze this x86-64 function from a Linux ELF. Assume System V AMD64. Identify the arguments, local variables, likely return value, and whether the control flow suggests input validation or unsafe memory handling.”

Como transformar um objetivo vago em um bom prompt

Um bom prompt de binary-analysis-patterns usage normalmente inclui cinco partes:

arquitetura e convenção do sistema operacional
escopo da função
formato de saída
pergunta de auditoria
tratamento de incertezas

Exemplo:

Use the binary-analysis-patterns skill on the following x86-64 disassembly from a Linux ELF.
Assume System V AMD64 unless the code contradicts it.
For this single function:
1. identify probable parameters and return value
2. describe the stack frame and local variables
3. summarize each branch and loop
4. call out any patterns consistent with parsing, copying, comparison, or allocation
5. note where confidence is low and what extra context would confirm the interpretation

Isso é melhor do que um pedido genérico porque força um raciocínio atento à ABI e uma estrutura de saída realmente útil.

Workflow sugerido de binary-analysis-patterns para Security Audit

Para binary-analysis-patterns for Security Audit, use um workflow enxuto e repetível:

exporte uma função suspeita da sua ferramenta de RE
identifique a plataforma e a convenção de chamada mais provável
peça reconstrução do frame e resumo do fluxo de controle
faça uma segunda passada focada em operações relevantes para segurança
compare o resultado com as funções chamadora e chamada adjacentes

Isso funciona especialmente bem para lógica de autenticação, parsers, deserializers, manipulação de strings e wrappers em torno de APIs sensíveis.

Use a skill binary-analysis-patterns para identificar convenções de chamada logo no início

Uma das formas mais rápidas de melhorar a qualidade da saída é dizer ao modelo se a função segue System V AMD64 ou Microsoft x64. Muitos erros de interpretação vêm de suposições erradas sobre onde os argumentos ficam.

Adição útil ao prompt:

“This is from Windows x64; treat RCX, RDX, R8, and R9 as early arguments and account for shadow space.”

Sem esse contexto, o mapeamento de argumentos e a interpretação da stack podem se desalinhar rapidamente.

Envie assembly em blocos do tamanho de uma função

Não cole centenas de instruções sem relação entre si esperando um resultado limpo. A skill é mais confiável quando trabalha com uma função por vez ou com uma pequena região de fluxo de controle. Se o binário estiver stripped e confuso, comece por:

entrada da função
todos os call sites dentro dessa função
branch targets
caminho de retorno

Depois expanda apenas quando já tiver uma hipótese estável.

Combine assembly com saída de decompiler sempre que possível

Uma abordagem prática de binary-analysis-patterns guide é fornecer tanto a visão de baixo nível quanto a de alto nível. A saída do decompiler é mais rápida de resumir, mas o assembly mostra onde o decompiler pode estar errado em relação a:

comparações signed vs unsigned
limites de variáveis na stack
indirect calls
tail calls
frame pointers removidos por otimização

Padrão de prompt:

“Use the decompiler output as a hypothesis, but validate it against the assembly before concluding.”

Peça reconhecimento de padrões, não só tradução

A skill vale mais quando você pede que ela classifique formatos de código, e não apenas parafraseie instruções. Boas perguntas incluem:

“Is this a counted loop, sentinel loop, or state machine?”
“Does this prologue suggest a normal frame, leaf function, or optimized omission?”
“Do these compare-and-branch blocks look like bounds checks or command dispatch?”

É aí que binary-analysis-patterns usage começa a superar um prompting comum.

Formatos práticos de saída que economizam tempo

Peça um destes formatos conforme sua tarefa:

notas de auditoria: bullets orientados a issues com nível de confiança
notas de reverse engineering: lista de argumentos, variáveis locais, resumo de CFG
validação de decompiler: “likely correct / likely wrong / ambiguous”
formato de triagem: “purpose, evidence, open questions”

Para decidir se vale adotar a skill, isso importa: ela é mais forte quando alimenta um workflow de revisão humana, não quando é usada como uma caixa-preta para gerar uma resposta final.

FAQ da skill binary-analysis-patterns

binary-analysis-patterns é boa para iniciantes?

Sim, desde que você já conheça conceitos bem básicos de assembly e queira ajuda para reconhecer padrões recorrentes. Ela é menos indicada como primeira introdução a reverse engineering, porque pressupõe que você consiga fornecer um disassembly relevante e entenda por que detalhes de arquitetura e ABI importam.

A instalação de binary-analysis-patterns inclui ferramentas de análise?

Não. A etapa de binary-analysis-patterns install adiciona a orientação da skill, não um disassembler nem um debugger. Você ainda precisa das suas próprias ferramentas para extrair assembly, pseudocódigo, símbolos ou contexto de CFG.

Quando devo usar isso em vez de um prompt normal de LLM?

Use a binary-analysis-patterns skill quando quiser uma interpretação mais disciplinada da estrutura de código de baixo nível. Se sua tarefa for “resumir este arquivo-fonte”, um prompt normal basta. Se sua tarefa for “reconstruir o que esta função stripped faz e se ela valida entradas com segurança”, a skill é a escolha melhor.

Ela se limita a x86-64?

A ênfase visível está em x86-64, especialmente em convenções de chamada e estrutura de função. Se seu alvo for ARM, MIPS ou WebAssembly, esta skill ainda pode ajudar no raciocínio geral, mas não é o encaixe especializado mais forte.

binary-analysis-patterns é útil para análise de malware?

Sim, especialmente para triagem inicial de rotinas suspeitas, helpers de unpacking, lógica de decodificação de strings e funções wrapper de APIs. Mas ela não cobre um workflow completo de malware. Você ainda precisa de sandboxing, análise dinâmica e ferramentas de contexto de ameaças fora da skill.

Quando binary-analysis-patterns não é uma boa opção?

Ignore se você precisa de:

extração ou varredura automatizada de binários
geração de exploit
instrumentação dinâmica
profundidade específica de arquitetura fora dos padrões cobertos
detecção turnkey de vulnerabilidades sem revisão humana

Ela é um apoio de raciocínio, não um substituto para um toolchain de reverse engineering.

Como melhorar a skill binary-analysis-patterns

Dê um contexto mais forte do que “analyze this”

O maior salto de qualidade vem de especificar:

formato do binário: ELF, PE, Mach-O
plataforma: Linux, Windows, macOS
arquitetura: x86-64, se conhecida
limite da função
seu objetivo de auditoria

Por exemplo:

“Use binary-analysis-patterns to review this PE x64 function for credential checks and unsafe buffer handling.”

Isso é muito melhor do que um pedido amplo, porque restringe tanto a ABI quanto o modelo de ameaça.

Marque incertezas e âncoras conhecidas

Se você conhece um call target, uma referência de string ou uma API importada, inclua isso. Mesmo uma única âncora pode transformar a interpretação dos blocos ao redor.

Exemplos:

“This function calls memcmp shortly before the final branch.”
“Cross-references suggest this is reached from the login handler.”
“Decompiler labels one local as a 256-byte stack buffer.”

Essas âncoras reduzem narrativas alucinadas.

Divida a análise em duas passadas

Para melhorar os resultados de binary-analysis-patterns, faça duas passadas:

passada estrutural: argumentos, stack frame, loops, branches, calls
passada semântica: propósito provável, implicações de segurança, evidências ausentes

Isso evita misturar semântica incerta cedo demais na reconstrução básica.

Peça ao modelo para mostrar evidências de cada afirmação

Um modo comum de falha é a interpretação excessivamente confiante. Reduza isso exigindo suporte no nível das instruções.

Adição ao prompt:

“For every major conclusion, cite the instruction sequence or register behavior that supports it.”

Isso facilita verificar se a skill está realmente lendo padrões ou apenas chutando com base em pistas superficiais.

Corrija explicitamente a convenção de chamada quando a saída desandar

Se a primeira resposta rotular argumentos ou variáveis locais de forma errada, não recomece do zero com o mesmo input. Diga exatamente o que precisa ser corrigido:

“Re-run using Microsoft x64, not System V AMD64.”
“Assume frame-pointer omission and infer locals from rsp offsets.”
“Treat this indirect call as a possible vtable dispatch.”

Pequenas correções muitas vezes recuperam a análise rapidamente.

Foque o ciclo de melhoria nas perguntas de auditoria

Ao iterar, faça follow-ups mais estreitos em vez de repetir a tarefa inteira. Bons exemplos:

“Which branch is the actual authentication decision?”
“Where is length validation performed before the copy?”
“Are any stack writes indexed by untrusted input?”
“Does this loop terminate on length or sentinel value?”

Esse é o caminho mais rápido para transformar binary-analysis-patterns for Security Audit em notas de revisão acionáveis.

Compare funções adjacentes para refinar a confiança

Se a primeira saída parecer plausível, mas superficial, forneça uma função chamadora ou chamada. Muitos padrões binários ficam mais claros quando você consegue ver:

preparação de argumentos no call site
comportamento de limpeza após o retorno
wrappers auxiliares repetidos
caminhos compartilhados de tratamento de erro

Esse contexto muitas vezes separa lógica de negócio de boilerplate.

Use a skill binary-analysis-patterns como motor de hipóteses, não como verdade final

A melhor forma de melhorar os resultados da binary-analysis-patterns skill é tratar a saída como uma hipótese estruturada para validar na sua ferramenta de RE. Verifique condições de branch, offsets de stack e imported calls antes de transformar conclusões em achados. É nesse workflow que a skill agrega mais valor: interpretação mais rápida, com menos adivinhação, mantendo o analista humano no controle.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-threat-model

por openai

Skill security-threat-model baseada no repositório para threat modeling em AppSec. Ela mapeia fronteiras de confiança, ativos, objetivos do atacante, caminhos de abuso e mitigações em um threat model conciso em Markdown. Use quando precisar de security-threat-model para Threat Modeling em um repositório ou caminho específico, e não de uma revisão genérica de arquitetura ou de uma checagem de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ajuda a analisar textos e imagens em busca de conteúdo nocivo com o Azure AI Content Safety em TypeScript. Use esta skill para fluxos de moderação, blocklists e verificações de auditoria de segurança para ódio, violência, conteúdo sexual e autoagressão. Ela também cobre a configuração do endpoint e da autenticação no Azure.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

A skill de exploração de armazenamento inseguro em mobile ajuda a avaliar e extrair evidências de armazenamento local inseguro em apps Android e iOS. Ela cobre SharedPreferences, bancos SQLite, arquivos plist, arquivos legíveis por todos, exposição por backup e tratamento fraco de keychain/keystore, apoiando fluxos de mobile pentesting e Security Audit.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ajuda equipes a criar um processo repetível para Microsoft Patch Tuesday, com triagem de advisories, priorização de risco, testes de patches, aprovação de rollout e acompanhamento de conformidade. É útil para operações de segurança, gestão de vulnerabilidades e para building-patch-tuesday-response-process em gestão de projetos.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k