文章总结: 本文介绍了一个AIAgentSkill工具,它集成IDAPro实现恶意样本自动分析,能识别C2通信、进程注入等恶意行为,并提取关键威胁指标。工具内置REAI函数分析、FindCrypt加密识别等模块,用户仅需配置IDA路径和API密钥即可使用,显著降低逆向分析门槛。 综合评分: 75 文章分类: 恶意软件,逆向分析,安全工具,AI安全
AI Agent Skill 打通 IDA 自动恶意样本分析工具!
miunasu miunasu
乌雲安全
2026年7月9日 09:02 重庆
在小说阅读器读本章
去阅读
让 AI Agent 像安全分析师一样分析恶意样本
这是一个 AI Agent skill,让 AI 能够使用 IDA Pro 自动分析恶意软件,就像人类安全分析师一样:
- • 自动识别恶意行为 – 分析 C2 通信、进程注入、持久化机制、恶意行为
- • 理解代码功能 – 自动分析函数逻辑、识别加密算法、追踪数据流
- • 提取关键信息 – 导入表、字符串、操作码特征、YARA 规则
- • 定位威胁指标 – IP 地址、域名、文件路径、注册表键值
演示视频
使用我的多agent框架Spore进行演示: 由于readme内嵌视频上传失败,请下载movie.mp4。
如何使用?
超级简单!只需 3 步:
1️⃣ 配置 IDA 路径
编辑 config.json:
{
"idat_path": "C:/Program Files/IDA Pro 9.0/idat64.exe"
}
2️⃣ 让 AI Agent 使用skill
将 IDA Skill 放在你的skill文件夹即可。
3️⃣ 开始分析
AI Agent 会自动:
- • 初始化 IDA 数据库
- • 提取导入表、字符串、反编译代码
- • 像人类一样进行逆向分析
- • 分析功能、提取C2
- • 识别加密算法和可疑行为
- • 生成分析报告
就这么简单!
内置工具
这个技能包集成了多个强大的分析工具,Agent 会自动调用它们:
REAI – AI 函数分析
基于我的开源项目 REAI
功能: 使用 LLM 自动理解函数功能,递归分析调用链
- • 自动识别函数功能(如”解密配置”、”连接 C2″)
- • 自动重命名函数(
sub_401000→AI_decrypt_config) - • 在调用处添加注释说明子函数作用
配置: 编辑 tools/reai.py 设置你的 LLM API
API_KEY = "sk-..." # 你的 API 密钥
API_URL = "https://..." # API 地址(支持 OpenAI/Azure/deepseek/本地模型)
MODEL = "gpt-4" # 模型名称
FindCrypt – 加密算法识别
基于开源项目 FindCrypt
功能: 自动检测代码中的加密常量
- • 支持算法:AES, DES, RC4, Blowfish, TEA
- • 支持哈希:MD5, SHA1, SHA256
- • 支持编码:Base64, CRC32
Export Check – 导出表分析
功能: 检测 DLL 异常导出函数
- • 分析导出函数大小
- • 识别异常导出模式
常见问题
Q: 我需要懂 IDAPython 吗?
A: 不需要! 只要让 AI Agent 读取 SKILL.md,Agent 会自动使用这些工具。你只需要用自然语言描述需求。
免责声明: 使用本项目进行逆向分析时,请遵守相关法律法规和软件许可协议。作者不对使用本项目造成的任何后果负责。
下载地址
https://github.com/miunasu/IDA-Skill
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:乌雲安全 miunasu miunasu《AI Agent Skill 打通 IDA 自动恶意样本分析工具!》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论