文章总结： 本文介绍利用IDA-NO-MCP将IDA反编译结果导入AIIDE协同分析的方法。经测试，该流程能将单样本分析缩短至数分钟且无误判。核心在于利用LLM快速解读代码意图以辅助研判未知文件，有效节省了通用样本的人工分析时间，显著提升逆向效率。 综合评分： 91 文章分类： 逆向分析,恶意软件,AI安全,安全工具

让IDA与AI IDE协作提高分析效率

原创

jishuzhain

OnionSec

2025年12月19日 12:30 广东

不管是因什么原因需要接触病毒逆向分析或者未知文件研判事项，就免不了需要人或专业人员手工或者半自动的方式利用既有的知识与经验完成特定的分析流程直至获得最终的结论，最终结论会体现出两种走向：

1、未知文件确定为恶意文件，并提供了可以举证的信息；

2、没有找到任何可以举证恶意的证据，需要研判的文件并非是恶意文件；

以上的过程涉及比较专业的知识背景与技能，以往需要经过实践与积累才能逐步提高速度或者分析的准确度。在如今（2022年11月至今）AI大模型（LLM）的全力发展与先驱者不断地以解决现实问题作为突破的目标下，AI发展的结果让我大为震撼，以前专业人员常常会遇到的通用且基础的问题现在解决起来变得简单多了，新方法解决旧问题一直是发展的基础，人可以将自己宝贵的时间投入到自己认为最有价值的事项上了。

如下项目提供了一种思路，经过我的测试目前没有发现任何误判案例，可以说是极大地提高了解决通用问题的速度。使用的工具不限制，这其实给我的启发是如今AI发展与探索非常火热，随之AI大模型以及各种配套的工具链变得很多，现实世界里这些辅助技能是不缺乏的，但自己的想法变贫瘠了，少了，麻木了，慢慢地丧失了对解决问题的探索欲望。

项目地址：

https://github.com/P4nda0s/IDA-NO-MCP

简单介绍：

开源工具 ‘IDA NO MCP’，旨在简化AI逆向工程流程。该工具通过将IDA反编译结果导出为源码文件，直接适配AI IDE，优化了索引、并行和切片等功能。核心理念是回归代码本质，利用LLM原生语言（Text、Source Code、Shell）实现简单、快速、智能且低成本的逆向工程。工具无需额外配置，支持导出反编译C代码、字符串表、导入导出表及内存hexdump，并建议在IDB目录下添加更多上下文以增强AI辅助效果。

IDA我选择了9.0版本，目的是需要导出反编译的代码作为输入，随后使用VScode+Copilot来实现简单的AI IDE功能。

Copilot是VScode的扩展插件，比较容易安装，需要注意的是需要使用自己的github账号登录，如果使用频繁最好付费增强可用性。

prompt：分析所有代码的意图，最终给出整体意图？

对于非恶意文件的分析结果，处理时间为6分钟。我随后人工再次验证确定，无误判。

整体意图总结：

这个程序的整体意图是作为C++标准模板库（STL）的配置测试，用于验证向量（vector）和关联容器（如map或set）的功能正确性、内存管理和算法优化。它是Qt5构建过程中的一个测试工具，通过模拟STL操作（如元素插入、搜索、平衡树操作和SIMD优化）来确保STL库在特定编译环境（Windows x64，使用vcpkg）中正常工作。如果测试通过（无异常返回0），则表明STL与编译器和运行时的集成兼容。

分析.NET未知程序

709b34688047b3c8aec82bf8efda0642 是.net平台程序，需要使用dnSpyEx导出反编译的源码。

整体意图总结：

这是一个用于Windows系统的恶意软件，旨在隐秘运行、与远程服务器通信、解密并执行有效载荷，可能包括窃取数据、安装后门或部署勒索软件。它使用混淆技术规避反病毒软件和逆向分析。强烈建议不要执行此代码，并使用杀毒软件扫描隔离。如果是从未知来源获取，请报告给安全机构。

我随后人工再次验证分析是否误判？直至确定是恶意的，我也用GPT5.2分析了一下，分析结论确实比较准。

携带的数字签名也关联了其余恶意文件，判定恶意的结论无疑问。

分析Rust编写的dll劫持的恶意文件，我随后人工再次验证确定，无误判。

整体意图：

这个DLL已被恶意软件感染，伪装成合法的Sciter引擎，但实际充当后门或蠕虫：

恶意目的：窃取系统信息（如进程、注册表、网络数据）、建立持久访问（通过服务和注册表）、可能传播到其他系统（蠕虫行为）。循环通信逻辑表明它可能作为C2代理，向攻击者控制的服务器报告或接收命令。

感染方式：通过替换或修改Sciter DLL，任何使用该DLL的应用（如桌面软件）都会触发恶意代码。导出函数被劫持，确保调用时执行恶意逻辑。

风险：高风险恶意软件，可能用于间谍活动、数据泄露或进一步攻击。字符串和导入显示它针对Windows系统，滥用系统服务和网络。

如果这是安全分析，建议隔离文件、扫描系统，并报告给安全团队。代码高度混淆，许多部分反编译失败，表明精心设计以躲避检测。

这几天需要研判一些样例，只要是非加壳或者非超大文件的样例我都通过IDA9.0 + AI IDE（VScode+Copilot）辅助分析，工具不限，只是测试了这种思路，分析时间在2-6分钟之间会给出结论，给出的结论是意图文字描述，可以后续结合安全语义知识映射来判断是否是恶意或者非恶意或者是找输出的关键字直接判断。对于基础且比较通用的样例去分析，确实省了一些人工分析所需要的时间。目前没有发现误报的情况，整体上是比较准确的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain《让IDA与AI IDE协作提高分析效率》