静态分析

analyzing-android-malware-with-apktool 是一项面向 Android APK 恶意软件的静态分析技能。它结合 apktool、jadx 和 androguard，用于解包应用、检查 manifest 和权限、还原接近源码的代码，并提取可疑 API 和 IOCs，服务于恶意软件分析。

coverage-analysis 可帮助你衡量 fuzzing 过程中实际执行到的代码，定位诸如魔数检查之类的阻塞点，并对比 harness 变更效果。对于 Security Audit 工作流中需要清晰了解 coverage-analysis 用法、安装指引以及可重复的 coverage-analysis 决策场景，这个技能很合适。

用于代码库静态分析的 Semgrep skill，具备自动语言检测、并行 worker、合并后的 SARIF 输出，以及先方案后审批的流程。面向 semgrep for Security Audit 工作流设计，支持 `run all` 和 `important only` 两种模式，使用 `--metrics=off`，并可在可用时利用 Semgrep Pro。

codeql 技能可帮助你在安全审计中更少遗漏地运行 CodeQL。它重点关注数据库质量、suite 选择、数据扩展和 SARIF 审查，让你在受支持的语言中更可靠地使用 codeql。适合在分析真实仓库时执行可重复的 codeql 指南步骤。

wp-phpstan 可帮助你在 WordPress 插件、主题和站点中配置、运行并修复 PHPStan。适用于 `phpstan.neon` 配置、baseline 工作流、面向 WordPress 的类型推断，以及处理可选插件类时减少误报。

analyzing-packed-malware-with-upx-unpacker 是一款恶意软件分析技能，用于识别被 UPX 加壳的样本、处理被修改的 UPX 头部，并恢复原始可执行文件以便在 Ghidra 或 IDA 中进行静态审查。当 `upx -d` 失败，或你需要更快完成 UPX 加壳检查和解包流程时，可以使用它。

analyzing-malicious-pdf-with-peepdf 是一项面向可疑 PDF 的静态恶意软件分析技能。可使用 peepdf、pdfid 和 pdf-parser 对钓鱼附件进行初步研判，检查对象，提取内嵌 JavaScript 或 shellcode，并在不执行文件的情况下安全审查可疑流。

analyzing-pdf-malware-with-pdfid 是一个用于 PDF 恶意代码初筛的技能，可在打开文件前检测嵌入式 JavaScript、利用特征标记、对象流、附件以及可疑行为。它支持用于恶意 PDF 取证、事件响应，以及 Security Audit 工作流中的静态分析。

使用 finding-duplicate-functions 技能来识别语义重复：那些功能相同但名称或实现不同的函数。它专为 LLM 生成的、快速增长的 JavaScript 或 TypeScript 代码库设计，适用于代码审查、整合规划，以及在重构前进行清理；同时支持在 Code Review 中使用 finding-duplicate-functions。

variant-analysis 可在某个问题被确认后，帮助你在整个代码库中查找相似漏洞和缺陷。可用它来编写 CodeQL 或 Semgrep 查询，遵循先根因后扩展的工作流，并为 Security Audit 任务运行聚焦的 variant-analysis 指南。它更适合在发现问题后的定向搜索，不适合做大范围的初始审查。