文章总结: 文章介绍了reverse-skills项目,这是一套为ClaudeCode设计的逆向工程技能插件。它通过利用IDA导出数据,将符号恢复与结构体重建等专家经验转化为可执行的AI技能。核心功能包含rev-symbol和rev-struct,分别用于推断函数语义与重建数据模型,能有效降低门槛、减少重复劳动并统一协作规范。建议IDA-NO-MCP用户集成该工具以提升分析效率。 综合评分: 90 文章分类: 逆向分析,二进制安全,安全工具
逆向不再靠玄学:Claude + Skills 稳定恢复符号与结构体工作流
原创
二进制磨剑 二进制磨剑
二进制磨剑
2026年3月5日 08:30 四川
reverse-skills:为 Claude Code 打造的逆向工程技能集
reverse-skills是一个面向 Claude Code 的逆向工程技能插件集,围绕 IDA 导出结果提供符号分析与结构重建能力,帮助研究者把“反编译结果”快速转化为“可执行分析流程”。
项目简介
逆向工程里最耗时、也最依赖经验的,通常是两个问题:
- 1. 符号恢复(Symbol Recovery) 不是简单重命名函数,而是要结合调用上下文、导入导出关系、字符串语义、参数传递方式和返回值行为,推断函数真实职责。
- 2. 结构体恢复(Struct Recovery) 需要跨函数追踪内存访问与指针流,基于偏移读写模式判断字段类型、结构体大小和对象关系,再逐步还原数据模型。
这两个环节本质上都在考验“专家经验”,而不是单一工具按钮。
reverse-skills 的目标,就是把这类专家经验沉淀成 Claude Code 可直接调用的 Skills,让 AI 在结构化输入上稳定执行符号分析和结构重建,把“反编译结果”转化为“可执行分析流程”。
该项目定位很清晰:专为 IDA-NO-MCP 工作流设计。
为什么要做 Skills
很多团队在逆向时并不缺工具,真正稀缺的是可复用的专家方法。
一个有经验的逆向工程师,面对 sub_xxx 函数时通常会做一套固定动作:先看导入导出关系,再看字符串和调用链,接着按内存访问模式推断结构体字段,最后再回到业务语义做命名。这套流程本质上就是“专家经验”。
reverse-skills 的核心价值,就是把这类经验从“个人技巧”变成“Agent 可执行技能”:
- 1. 把隐性的分析习惯显式化,降低新人上手门槛
- 2. 把一次性的分析思路标准化,减少重复劳动
- 3. 让团队在同一套方法论下协作,减少命名和结论分歧
- 4. 让 Agent 在结构化输入上稳定执行,提升分析一致性
换句话说,Skills 不是单纯增加命令数量,而是把逆向工程专家的“思考路径”产品化。
典型工作流
reverse-skills 推荐的流程如下:
- 1. 在 IDA 中使用 IDA-NO-MCP 导出反编译结果(快捷键
Ctrl-Shift-E) - 2. 使用 Claude Code 打开导出目录
- 3. 调用逆向技能进行符号分析或结构重建
一个典型导出目录结构如下:
export_dir/
├── decompile/ # 反编译的 C 代码
│ ├── 0x401000.c # 每个函数一个文件,以十六进制地址命名
│ ├── 0x401234.c
│ └── ...
├── decompile_failed.txt # 反编译失败的函数列表
├── decompile_skipped.txt # 跳过的函数列表
├── strings.txt # 字符串表 (地址, 长度, 类型, 内容)
├── imports.txt # 导入表 (地址:函数名)
├── exports.txt # 导出表 (地址:函数名)
└── memory/ # 内存十六进制转储 (1MB 分块)
这种目录组织方式对自动化分析非常友好,也让后续技能调用具备稳定输入。
包含的核心技能
当前项目提供两个高频逆向技能:
- 1.
/reverse-engineering:rev-symbol用于从导入表、导出表或反编译代码中分析函数符号语义。 - 2.
/reverse-engineering:rev-struct用于基于函数行为与访问模式重建关键数据结构。
结构体恢复效果图
上图展示的是 rev-struct 的结构体恢复效果:通过偏移访问和指针关系,把对象字段与结构关联直观还原出来。
对应示例命令:
/reverse-engineering:rev-symbol sub_401000
/reverse-engineering:rev-struct sub_401000
rev-struct 输出示例
从输出可直接看到字段偏移、类型推断和置信度信息,便于进一步在 IDA 中回填结构定义与符号命名。
安装方式
先添加插件市场:
/plugin marketplace add P4nda0s/reverse-skills
再安装插件:
/plugin install reverse-engineering@reverse-engineering-skills
安装完成后,即可在 Claude Code 中直接调用对应技能命令。
适用场景
reverse-skills 特别适合以下场景:
- 1. 样本初步分析阶段,需要快速给
sub_xxx函数补全可读语义 - 2. 协作分析阶段,需要统一团队的结构命名与解释方式
- 3. 自动化流水线阶段,希望把“导出-分析-归档”流程标准化
对于日常做漏洞分析、恶意代码分析、协议逆向的研究者来说,它的价值不在于替代逆向工程师,而在于显著减少机械性整理时间,把精力留给真正的推理和验证工作。
总结
reverse-skills 是一个“轻量但实用”的逆向工程能力补充层:
它不替代 IDA,也不替代你的分析经验,而是把 Claude Code 在语义理解上的优势,接入到结构化的逆向数据流里。
更重要的是,它把逆向工程专家长期积累的分析范式,沉淀成可复用、可协作、可传递的 Agent Skills。 如果你已经在使用 IDA-NO-MCP 导出结果,这个项目值得纳入你的日常工具链。
项目地址
https://github.com/P4nda0s/reverse-skills
(阅读原文跳转)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:二进制磨剑 二进制磨剑 二进制磨剑《逆向不再靠玄学:Claude + Skills 稳定恢复符号与结构体工作流》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论