back
loading skill details...
聚合漏洞分析技能中心。整合 IDA Pro 逆向、CVE 查询、静态代码分析(CodeQL/Semgrep)、故障根因分析、二进制漏洞利用工具链。当用户需要分析已知 CVE、挖掘未知漏洞、逆向二进制、构建 PoC、分析漏洞链、生成完整漏洞报告时使用此技能。
---
name: vuln-analysis-hub
description: 聚合漏洞分析技能中心。整合 IDA Pro 逆向、CVE 查询、静态代码分析(CodeQL/Semgrep)、故障根因分析、二进制漏洞利用工具链。当用户需要分析已知 CVE、挖掘未知漏洞、逆向二进制、构建 PoC、分析漏洞链、生成完整漏洞报告时使用此技能。
metadata:
tags:
- vuln-analysis
- cve
- reverse-engineering
- exploit
- binary-analysis
- static-analysis
- kernel
category: security
allowed-tools: Read Write WebSearch WebFetch exec
---
# vuln-analysis-hub — 聚合漏洞分析技能中心
> 整合 IDA Pro 逆向、CVE 查询、静态分析(CodeQL/Semgrep)、故障根因分析、Linux 内核漏洞主动发现、二进制漏洞利用工具链
>
> 单一入口,多能力协同
## 触发词
漏洞分析、CVE、逆向、漏洞挖掘、二进制、漏洞利用、exploit、根因分析、故障分析、PoC、漏洞复现、静态分析、安全审计、CVE 编号查询、内核漏洞扫描、驱动安全审计
---
## 技能架构
本技能由 7 个子能力聚合而成,形成从**已知漏洞查询** → **未知漏洞发现** → **二进制逆向** → **静态审计** → **漏洞利用开发** → **完整报告输出**的完整闭环。
```
用户输入
│
├─ CVE 编号 / 漏洞查询
│ ├── cve-lookup (已知 CVE 详情,多源查询)
│ └── kernel-cve-tracker(Ubuntu USN 批量追踪)
│
├─ 二进制文件(exe/dll/so/elf/macho/apk/sys)
│ ├── ida-reverse (IDA Pro 逆向分析,72 MCP 工具)
│ └── binary-exploitation-tools(二进制利用工具链)
│
├─ 源码/内核/驱动
│ ├── kernel-vuln-discover(内核漏洞主动发现)
│ └── trailofbits-security(CodeQL/Semgrep 静态审计)
│
└─ 故障/事件描述
└── internet-failure-analysis-expert(根因分析)
报告输出
```
---
## 子技能速查表
| 子技能 | 触发词 | 核心功能 |
|--------|--------|---------|
| **ida-reverse** | 分析二进制、逆向、exe/dll/so | IDA Pro 反编译、72 MCP 工具、7 阶段工作流 |
| **cve-lookup** | CVE-XXXX、漏洞查询、漏洞详情 | NVD/MITRE/GitHub Advisory 多源查询 |
| **kernel-cve-tracker** | 内核 CVE、Ubuntu CVE | Ubuntu USN 批量查询 |
| **kernel-vuln-discover** | 挖漏洞、发现漏洞、内核扫描 | Fuzzer、静态分析、模式扫描、PoC 生成 |
| **trailofbits-security** | CodeQL、Semgrep、静态审计 | 驱动/内核漏洞静态检测 |
| **binary-exploitation-tools** | 利用工具、pwntools、ROP | 调试 + 利用框架 + Shellcode |
| **internet-failure-analysis-expert** | 故障分析、根因分析、事件报告 | 官方报告 + 时间线 + 改进建议 |
---
## 工作流模式
### 模式 A:CVE 深度分析(已知漏洞)
```
用户输入 CVE 编号
│
├── cve-lookup → 多源搜索 → 结构化报告
│ │
│ └── 包含:描述、CVSS、CWE、PoC、缓解/防御/修复
│
└── internet-failure-analysis-expert → 时间线 → 根因 → 改进建议
```
### 模式 B:二进制漏洞挖掘(未知漏洞)
```
用户提供二进制文件(exe/so/dll/apk)
│
├── ida-reverse → 打开 → 7 阶段逆向 → 漏洞定位
│ │
│ └── 可选:binary-exploitation-tools 辅助
│
└── trailofbits-security → 静态分析 → 漏洞报告
```
### 模式 C:Linux 内核漏洞主动发现
```
用户要求扫描内核源码 / 发现新漏洞
│
├── kernel-vuln-discover
│ ├── Phase 1: 攻击面枚举(子系统入口点)
│ ├── Phase 2: CVE 模式归纳扫描(8 种已知根因模式)
│ ├── Phase 3: Fuzzing(syzkaller/trinity)
│ └── Phase 4: 静态审计(Coccinelle/semgrep)
│ └── Phase 5: PoC 生成 + 漏洞报告
│
└── kernel-cve-tracker → 已有 CVE 批量查询
```
### 模式 D:故障/安全事件根因分析
```
用户提供故障描述(Facebook 宕机、阿里云故障等)
│
└── internet-failure-analysis-expert
├── 模式 A:CVE 编号
└── 模式 B:通用故障描述
├── 步骤1:获取官方报告
├── 步骤2:拆解时间线
├── 步骤3:分析导火索 + 连环故障
├── 步骤4:识别根本原因(人/组织因素)
└── 步骤5:技术改进建议
```
---
## IDA Pro 逆向分析 — 完整 7 阶段工作流
> 当用户提供二进制文件(exe/dll/so/elf/macho/apk/sys)时触发
### 阶段 1:启动服务器
```powershell
# 启动 ida-pro-mcp HTTP 服务器(后台静默)
powershell -File "<skill-root>/ida-reverse/scripts/start.ps1"
# 输出:OK:72(72 个工具就绪)或 ERR:timeout
```
### 阶段 2:打开二进制文件
```powershell
# 打开目标文件(自动处理 System32 权限问题)
powershell -File "<skill-root>/ida-reverse/scripts/open.ps1" -Path "C:\path\to\target.exe" -TimeoutSeconds 600
# 输出:
# OK:文件名:session_id (成功)
# OK:guid-sample.exe:session_id (降级到 Temp 副本)
# ERR:open_timeout_600s (超时,需手动检查)
```
### 阶段 3:概况分析(必做第一步)
```python
# 快速摸底:函数数、字符串、段、入口点、导入分类
idapro_survey_binary(detail_level="minimal")
# 列出所有函数(分页)
idapro_list_funcs(queries={})
# 列出全局变量
idapro_list_globals(queries={})
# 统一查询:functions/globals/imports/strings/names
idapro_entity_query(kind="functions", filter={})
```
### 阶段 4:反编译与反汇编
```python
# 反编译为伪代码
idapro_decompile(addr=0x401000)
# 反汇编指定行数
idapro_disasm(addr=0x401000, max_instructions=20)
# 综合分析(伪代码+字符串+常量+调用者+被调用者+块)
idapro_analyze_function(addr=0x401000, include_asm=false)
# 函数概要指标
idapro_func_profile(queries={})
```
### 阶段 5:交叉引用与调用关系
```python
# 查谁引用了目标地址
idapro_xrefs_to(addrs=[0x401000])
# 高级 xref 查询(方向/类型过滤)
idapro_xref_query(addr=0x401000, direction="both")
# 子函数列表
idapro_callees(addrs=[0x401000])
# 调用图(可指定深度)
idapro_callgraph(roots=[0x401000], max_depth=3)
# 数据流追踪(前向/后向)
idapro_trace_data_flow(addr=0x401000, direction="backward", max_depth=5)
```
### 阶段 6:搜索与内存分析
```python
# 正则搜索字符串
idapro_find_regex(pattern=r"password|token|key|secret", limit=50)
# 在反汇编列表中搜文本
idapro_search_text(pattern="strcpy")
# 字节模式搜索(支持 ?? 通配符)
idapro_find_bytes(patterns=["48 8B ?? ?? ?? ?? 00"], limit=20)
# 高级搜索(立即数/字符串/引用)
idapro_find(type="immediate", targets=["0x1000"])
# 读原始字节
idapro_get_bytes(addrs=[0x401000, 0x401020])
# 读字符串
idapro_get_string(addrs=[0x402000])
# 读整数值
idapro_get_int(queries={"addrs": [0x601000], "size": 4})
# 读全局变量值
idapro_get_global_value(queries={"names": ["glibc_version"]})
# 读结构体字段值
idapro_read_struct(queries={"struct_name": "FILE", "addr": 0x601000})
# 搜索结构体
idapro_search_structs(filter={"name": "sockaddr"})
```
### 阶段 7:修改操作与类型系统
```python
# 添加注释(反汇编+反编译双向同步)
idapro_set_comments(items=[{"addr": 0x401000, "text": "漏洞点:strcpy 未校验长度"}])
# 追加注释
idapro_append_comments(items=[{"addr": 0x401000, "text": " → 可利用"}])
# 批量重命名(函数/全局/局部/栈变量)
idapro_rename(batch=[{"old_name": "FUN_00401000", "new_name": "vuln_strcpy"}])
# Patch 汇编指令
idapro_patch_asm(items=[{"addr": 0x401000, "new_asm": "xor rax, rax"}])
# Patch 字节
idapro_patch(patches=[{"addr": 0x401000, "old_bytes": "48 8B 45 00", "new_bytes": "48 31 C0 90"}])
# 定义函数
idapro_define_func(items=[{"addr": 0x401000, "name": "vuln_func"}])
# 取消定义
idapro_undefine(items=[{"addr": 0x401000}])
# 将字节转为代码
idapro_define_code(items=[{"addr": 0x401050}])
# 声明 C 结构体/枚举/联合体
idapro_declare_type(decls=[{"kind": "struct", "name": "payload_hdr", "fields": [{"name": "magic", "type": "uint32_t"}, {"name": "len", "type": "int"}]}])
# 应用类型到函数/全局/局部
idapro_set_type(edits=[{"addr": 0x401000, "type": "int (*)(char*, int)"}])
# 推断类型
idapro_infer_types(addrs=[0x401000])
# 查询已声明类型
idapro_type_query(queries={"name": "payload_hdr"})
# 查看类型详情
idapro_type_inspect(queries={"name": "FILE"})
# 声明栈变量
idapro_declare_stack(items=[{"addr": 0x401000, "name": "buf", "type": "char[256]"}])
# 删除栈变量
idapro_delete_stack(items=[{"addr": 0x401000, "name": "tmp"}])
# 查看栈帧变量
idapro_stack_frame(addrs=[0x401000])
```
### 阶段 8:签名与导出
```python
# 为地址生成唯一字节签名
idapro_make_signature(addrs=[0x401000])
# 为函数生成签名
idapro_make_signature_for_function(addrs=[0x401000])
# 为引用地址的代码生成签名
idapro_find_xref_signatures(addrs=[0x401000])
# 导出函数(json/C header/prototypes)
idapro_export_funcs(addrs=[0x401000], format="json")
# 进制转换(必须用这个,不要自己算!)
idapro_int_convert(inputs=[{"value": "0x41414141", "from": 16, "to": 10}])
```
### 调试器工具(如需动态调试,加 `?ext=dbg`)
```python
# 在 GUI IDA 实例中打开文件
idapro_open_file(file_path="C:\\path\\to\\target.exe")
```
### 会话管理
```python
# 列出所有 session
idapro_idalib_list()
# 获取当前上下文绑定的 session
idapro_idalib_current()
# 切换到其他 session
idapro_idalib_switch(session_id="abcd1234")
# 关闭 session
idapro_idalib_close(session_id="abcd1234")
# 保存数据库
idapro_idalib_save(path="C:\\path\\to\\save.idb")
# 检查 worker 健康状态
idapro_idalib_health(session_id="abcd1234")
# 服务器健康检查
idapro_server_health()
# 预热子系统(字符串缓存、Hex-Rays 等)
idapro_server_warmup()
# 执行 Python 代码
idapro_py_eval(code="print(ida_funcs.get_func(0x401000).flags)")
```
### IDA 已知问题与处理
| 问题 | 解决方案 |
|------|---------|
| `idalib_open` schema 校验报错 | 用 `scripts/open.ps1` 绕 MCP 直调 HTTP API |
| System32 文件无权限 | open.ps1 自动复制到 Temp 再打开 |
| 带自动分析长时间无响应 | 加 `-TimeoutSeconds 600`,非卡死 |
| 旧数据库被锁 | open.ps1 自动降级到 Temp 加 GUID 前缀 |
| IDA GUI 假死 | start.ps1 用 `taskkill /F /T` 杀孤儿进程树 |
| 需要远程调试 | IDA → Debugger → Process options → 配置远程 IP |
---
## IDA Pro 全部 MCP 工具速查(72 个)
### 概况分析(4 个)
| 工具 | 用途 |
|------|------|
| `idapro_survey_binary` | 快速概况:函数数、字符串、段、入口点、导入分类 |
| `idapro_list_funcs` | 列出函数(分页、按名称过滤) |
| `idapro_list_globals` | 列出全局变量 |
| `idapro_entity_query` | 统一查询:functions/globals/imports/strings/names |
### 反编译与反汇编(4 个)
| 工具 | 用途 |
|------|------|
| `idapro_decompile` | 反编译为伪代码 |
| `idapro_disasm` | 反汇编(可指定最大指令数) |
| `idapro_analyze_function` | 综合分析(伪代码+字符串+常量+调用者+被调用者+块) |
| `idapro_func_profile` | 函数概要指标 |
### 交叉引用与调用关系(5 个)
| 工具 | 用途 |
|------|------|
| `idapro_xrefs_to` | 查谁引用目标地址 |
| `idapro_xref_query` | 高级 xref 查询(方向/类型过滤) |
| `idapro_callees` | 子函数列表 |
| `idapro_callgraph` | 调用图(可指定深度) |
| `idapro_trace_data_flow` | 数据流追踪(forward/backward) |
### 搜索(4 个)
| 工具 | 用途 |
|------|------|
| `idapro_find_regex` | 正则搜字符串 |
| `idapro_search_text` | 在反汇编列表中搜文本 |
| `idapro_find_bytes` | 字节模式搜索(支持 ?? 通配符) |
| `idapro_find` | 高级搜索(立即数/字符串/引用) |
### 内存与数据(6 个)
| 工具 | 用途 |
|------|------|
| `idapro_get_bytes` | 读原始字节 |
| `idapro_get_string` | 读字符串 |
| `idapro_get_int` | 读整数值 |
| `idapro_get_global_value` | 读全局变量值 |
| `idapro_read_struct` | 读结构体字段值 |
| `idapro_search_structs` | 搜索结构体 |
### 修改操作(8 个)
| 工具 | 用途 |
|------|------|
| `idapro_set_comments` | 添加注释(反汇编+反编译双向同步) |
| `idapro_append_comments` | 追加注释 |
| `idapro_rename` | 批量重命名(函数/全局/局部/栈变量) |
| `idapro_patch_asm` | Patch 汇编指令 |
| `idapro_patch` | Patch 字节 |
| `idapro_define_func` | 定义函数 |
| `idapro_undefine` | 取消定义 |
| `idapro_define_code` | 将字节转为代码 |
### 类型系统(5 个)
| 工具 | 用途 |
|------|------|
| `idapro_declare_type` | 声明 C 结构体/枚举/联合体 |
| `idapro_set_type` | 应用类型到函数/全局/局部 |
| `idapro_infer_types` | 推断类型 |
| `idapro_type_query` | 查询已声明类型 |
| `idapro_type_inspect` | 查看类型详情 |
### 栈帧(3 个)
| 工具 | 用途 |
|------|------|
| `idapro_stack_frame` | 查看栈帧变量 |
| `idapro_declare_stack` | 声明栈变量 |
| `idapro_delete_stack` | 删除栈变量 |
### 签名(3 个)
| 工具 | 用途 |
|------|------|
| `idapro_make_signature` | 为地址生成唯一字节签名 |
| `idapro_make_signature_for_function` | 为函数生成签名 |
| `idapro_find_xref_signatures` | 为引用地址的代码生成签名 |
### 调试器(1 个)
| 工具 | 用途 |
|------|------|
| `idapro_open_file` | 在 GUI IDA 实例中打开文件(需 `?ext=dbg`) |
### 会话管理(6 个)
| 工具 | 用途 |
|------|------|
| `idapro_idalib_list` | 列出所有 session |
| `idapro_idalib_current` | 获取当前上下文 session |
| `idapro_idalib_switch` | 切换到其他 session |
| `idapro_idalib_close` | 关闭 session |
| `idapro_idalib_save` | 保存数据库 |
| `idapro_idalib_health` | 检查 worker 健康状态 |
### 其他(6 个)
| 工具 | 用途 |
|------|------|
| `idapro_int_convert` | 进制转换(必须用这个,不要自己算!) |
| `idapro_export_funcs` | 导出函数(json/C header/prototypes) |
| `idapro_py_eval` | 在 IDA 上下文执行 Python |
| `idapro_server_health` | 服务器健康检查 |
| `idapro_server_warmup` | 预热子系统(字符串缓存、Hex-Rays 等) |
| `idapro_idalib_open` | ⚠️ 不推荐,直接用 `open.ps1` 脚本 |
---
## 静态分析工具集成(CodeQL/Semgrep)
### CodeQL 漏洞查询命令
```bash
# 创建 CodeQL 数据库
codeql database create /path/to/db --language=cpp --source-root=/path/to/kernel/driver
# 查询特定漏洞模式
codeql database analyze /path/to/db /path/to/rules/buffer-overflow.ql --format=sarif-latest --output=results.sarif
# 常用漏洞规则
# - 缓冲区溢出:codeql query run "semmle-code-cpp/cpp buffer overflow"
# - Use-after-free:codeql query run "semmle-code-cpp/cpp too-small-buffer-size"
# - 整数溢出:codeql query run "semmle-code-cpp/cpp integer-overflow"
```
### Semgrep 规则扫描命令
```bash
# 扫描驱动源码
semgrep --config=rules.yaml /path/to/driver/
# 使用内置规则
semgrep --lang=c --pattern 'strcpy($BUF, $SRC)' /path/to/code/
# 输出 SARIF 格式(可集成到 CI)
semgrep --json --output=sarif.json /path/to/code/
```
### Coccinelle 语义 Patch(Linux 内核)
```bash
# 扫描内核源码
spatch --sp-file /path/to/rules.cocci /path/to/linux/fs/overlayfs/ --very-quiet
# 常用检测规则
# - copy_from_user 未检查返回值
# - kmalloc 大小整数溢出
# - use-after-free(fput 后再次使用)
```
---
## 内核漏洞主动发现 — 完整流程
### Phase 1:攻击面枚举
识别高风险子系统:`io_uring`、`Netfilter`、`SMB`、`OverlayFS`、`BPF`、`TLS/XFRM`
### Phase 2:CVE 模式归纳扫描
使用 `scripts/cve-pattern-scan.sh`(来自 kernel-vuln-discover)进行自动化模式扫描:
```bash
# 扫描所有已知模式
~/.agents/skills/kernel-vuln-discover/scripts/cve-pattern-scan.sh /path/to/kernel-src all
# 扫描特定模式
~/.agents/skills/kernel-vuln-discover/scripts/cve-pattern-scan.sh /path/to/kernel-src io_uring_ring
```
### Phase 3:Fuzzing
| 工具 | 命令 | 说明 |
|------|------|------|
| **syzkaller** | `cd ~/syzkaller && ./bin/syz-manager -config=my.cfg` | 系统性内核 Fuzzing |
| **trinity** | `trinity -l amd64 -c "io_uring_setup"` | 系统调用 Fuzzing |
| **libfuzzer** | `clang -fsanitize=fuzzer target.c` | 组件级 Fuzzing |
### Phase 4:静态审计
结合 `trailofbits-security` 和 `kernel-vuln-discover` 的子系统检查表:
| 子系统 | 关键检查项 | 关键词 |
|--------|---------|--------|
| io_uring | ring mmap 越界、fixed buffer 重叠 | `io_uring_enter`、`mmap.*ring` |
| Netfilter | nft_expr 整数溢出 | `shift << 32`、`nft_set_elem` |
| SMB | pdu_length 边界错误 | `pdu_length == data_len + header` |
| OverlayFS | upper/lower 层权限绕过 | `ovl_rename`、`ovl_path_real` |
| BPF | 验证器指针类型绕过 | `check_ptr_alignment`、`PTR_INVALID` |
### Phase 5:漏洞报告 + PoC
输出:漏洞描述 → 根因分析 → 触发条件 → 概念性 PoC(伪代码)
---
## 工具链速查对照表
### 调试工具
| 工具 | 平台 | 核心命令 | 特色 |
|------|------|---------|------|
| **GDB + GEF** | Linux ELF | `gdb -q ./binary` | `checksec`/`canary`/`vmmap` |
| **pwndbg** | Linux ELF | `./setup.sh` | 自动显示寄存器/栈/反汇编 |
| **x64dbg** | Windows PE | 图形界面 | 图形化断点/内存查看 |
| **IDA Pro** | 跨平台 | `start.ps1` + `open.ps1` | Hex-Rays 反编译、72 MCP 工具 |
| **radare2** | 跨平台 | `r2 -A ./binary` | 命令行逆向框架 |
| **gdbserver** | 远程 | `gdbserver --multi 0.0.0.0:23947` | 远程调试嵌入式 |
### 利用开发框架
| 工具 | 用途 | 关键命令 |
|------|------|---------|
| **pwntools** | Python exploit | `process()`/`remote()`/`ELF()`/`ROP()` |
| **ROPgadget** | ROP gadget 搜索 | `--binary ./bin --only "pop\|ret"` |
| **ropper** | gadget + chain | `--file ./bin --search "pop rdi"` |
| **one_gadget** | libc one-shot | `/lib/x86_64-linux-gnu/libc.so.6` |
| **msfvenom** | shellcode | `-p linux/x64/shell_reverse_tcp` |
### Fuzzing 工具
| 工具 | 目标 | 特点 |
|------|------|------|
| **syzkaller** | Linux 内核 | 系统性 Fuzzing,覆盖所有子系统 |
| **trinity** | Linux 系统调用 | 多架构支持,快速生成用例 |
| **libfuzzer** | LLVM 组件 | 集成在编译器中,cov 导向 |
| **AFL** | 用户态程序 | 遗传算法,fork server |
---
## 输出约束
| 约束 | 说明 |
|------|------|
| 概念性 PoC | 仅伪代码 + 触发序列,不生成可执行攻击代码 |
| 信息来源 | 至少 3 个不同来源,标注可信度 |
| 报告路径 | CVE 报告 → `CVE-Reports/` |
| 免责声明 | PoC 部分必须添加免责说明 |
| 不执行 PoC | 报告生成过程绝不运行任何 PoC 代码 |
| 中文优先 | 中英文混合场景优先中文输出 |
---
## 注意事项
1. **IDA Pro 逆向**:优先用 `scripts/open.ps1` 而非直接调用 `idalib_open`
2. **CVE 查询**:格式校验失败立即停止,不做模糊搜索
3. **PoC 生成**:严格限制为概念性,伪代码 + 自然语言描述
4. **内核漏洞发现**:结合 kernel-cve-tracker 查询已有 CVE,避免重复
5. **故障分析**:以官方报告为主,无官方报告时多源交叉验证don't have the plugin yet? install it then click "run inline in claude" again.