binary-triage

binary-triage 技能是 ReVa (逆向工程助手) 工具包的基础组件，旨在协助安全研究人员与开发者对未知二进制文件进行快速且结构化的调查。它填补了在 Ghidra 中开启文件与开始深入研究之间的空白。通过自动化提取字符串、符号、内存块与导入项目等关键指标，使用者能在几分钟内对程序的功能、来源与潜在恶意行为形成初步假设。

• 自动调查二进制内存配置，包含 .text、.data、.rodata 与 .bss 区段，以检测加壳、加密或异常的内存权限。

• 智慧型字符串分析，用于识别网络相关数据 (URL、IP)、文件路径、注册表键值，以及 'payload'、'shellcode' 或密码学等可疑关键字。

• 系统化的导入与符号分类，标记与网络活动、程序注入、反分析与系统操控相关的高风险 API。

• 函数层级概述，提供关于入口点、主函数与二进制文件是否被剥离 (stripped) 的洞察，协助将人工分析聚焦于最关键的代码路径。

• 与 ReVa 的 MCP (模型上下文协议) 工具集整合，使代理程序能对可疑字符串/API 与其在反编译代码中的使用情境进行交叉引用分析。

• 结构化的报告格式，总结程序架构并产生一份具备优先级的 TodoWrite 任务清单，供后续深入的逆向工程阶段使用。

• 在二进制检查的第一阶段或需要陌生执行档的概述时使用此技能。

• 它需要一个活动的 Ghidra 项目与已载入的程序。该技能利用 ReVa 的无头模式 (headless) 与助手模式与 Ghidra 的分析引擎互动，确保上下文准确的同时将 Token 消耗降至最低。

• 虽然它支援对入口点进行选择性的初步反编译，但其设计明确旨在避免穷举式分析，而是作为研究人员跟随的路线图。

• 有效输入包含文件路径或来自活动 Ghidra 阶段的程序参照；预期的输出是一份格式完整的 Markdown 分类报告，准备好进行进一步调查。