binary-triage

binary-triage 技能是 ReVa (逆向工程助手) 工具包的基礎組件，旨在協助安全研究人員與開發者對未知二進位檔案進行快速且結構化的調查。它填補了在 Ghidra 中開啟檔案與開始深入研究之間的空白。透過自動化擷取字串、符號、記憶體區塊與匯入項目等關鍵指標，使用者能在幾分鐘內對程式的功能、來源與潛在惡意行為形成初步假設。

• 自動調查二進位記憶體配置，包含 .text、.data、.rodata 與 .bss 區段，以偵測加殼、加密或異常的記憶體權限。

• 智慧型字串分析，用於識別網路相關數據 (URL、IP)、檔案路徑、登錄檔機碼，以及 'payload'、'shellcode' 或密碼學等可疑關鍵字。

• 系統化的匯入與符號分類，標記與網路活動、程式注入、反分析與系統操控相關的高風險 API。

• 函數層級概述，提供關於入口點、主函數與二進位檔案是否被剝離 (stripped) 的洞察，協助將人工分析聚焦於最關鍵的程式碼路徑。

• 與 ReVa 的 MCP (模型上下文協定) 工具集整合，使代理程式能對可疑字串/API 與其在反編譯代碼中的使用情境進行交叉引用分析。

• 結構化的報告格式，總結程式架構並產生一份具備優先級的 TodoWrite 任務清單，供後續深入的逆向工程階段使用。

• 在二進位檢查的第一階段或需要陌生執行檔的概述時使用此技能。

• 它需要一個活動的 Ghidra 專案與已載入的程式。該技能利用 ReVa 的無頭模式 (headless) 與助手模式與 Ghidra 的分析引擎互動，確保上下文準確的同時將 Token 消耗降至最低。

• 雖然它支援對入口點進行選擇性的初步反編譯，但其設計明確旨在避免窮舉式分析，而是作為研究人員跟隨的路線圖。

• 有效輸入包含檔案路徑或來自活動 Ghidra 階段的程式參照；預期的輸出是一份格式完整的 Markdown 分類報告，準備好進行進一步調查。