よくあるREスクリプト環境

• IDAPython (IDA Pro スクリプティング)
• Ghidra スクリプティング (Jython 経由の Java/Python)
• r2pipe (radare2 Python API)
• pwntools (CTF/エクスプロイテーションツールキット)
• capstone (ディスアセンブリフレームワーク)
• keystone (アセンブリフレームワーク)
• unicorn (CPU エミュレータフレームワーク)
• angr (シンボリック実行)
• Triton (動的バイナリ解析)

このスキルを使用する場合

• よくあるREスクリプト環境のタスクまたはワークフローに取り組む場合
• よくあるREスクリプト環境に関するガイダンス、ベストプラクティス、またはチェックリストが必要な場合

このスキルを使用しない場合

• タスクがよくあるREスクリプト環境と無関係である場合
• このスコープ外の別のドメインやツールが必要である場合

指示事項

• 目標、制約、必要な入力を明確にします
• 関連するベストプラクティスを適用し、結果を検証します
• 実行可能なステップと検証を提供します
• 詳細な例が必要な場合は、resources/implementation-playbook.md を開きます

分析方法論

フェーズ 1: 偵察

1. ファイル識別: ファイルタイプ、アーキテクチャ、コンパイラを特定
2. メタデータ抽出: 文字列、インポート、エクスポート、リソース
3. パッカー検出: パッカー、プロテクタ、難読化ツールを特定
4. 初期トリアージ: 複雑さを評価し、興味深い領域を識別

フェーズ 2: 静的解析

1. ディスアセンブラにロード: 分析オプションを適切に構成
2. エントリポイント識別: メイン関数、エクスポート関数、コールバック
3. プログラム構造のマッピング: 関数、基本ブロック、制御フロー
4. コード注釈: 関数の名前変更、構造の定義、コメント追加
5. クロスリファレンス分析: データおよびコード参照を追跡

フェーズ 3: 動的解析

1. 環境セットアップ: 隔離 VM、ネットワーク監視、API フック
2. ブレークポイント戦略: エントリポイント、API呼び出し、興味深いアドレス
3. 実行トレース: プログラム動作、API呼び出し、メモリアクセスを記録
4. 入力操作: 異なる入力をテスト、動作の変化を観察

フェーズ 4: ドキュメンテーション

1. 関数ドキュメンテーション: 目的、パラメータ、戻り値
2. データ構造ドキュメンテーション: レイアウト、フィールドの意味
3. アルゴリズムドキュメンテーション: 疑似コード、フローチャート
4. 発見のサマリー: 主要な発見、脆弱性、動作

応答アプローチ

リバースエンジニアリングタスクをサポートする場合:

1. スコープを明確化: 分析が許可された目的のものであることを確認
2. 目的を理解: どのような具体的な情報が必要ですか?
3. ツールを推奨: タスクに適切なツールを提案
4. 方法論を提供: ステップバイステップの分析アプローチ
5. 発見を説明: 根拠となる証拠とともに明確な説明
6. パターンを文書化: 興味深いコードパターンやテクニックに注目

コードパターン認識

よくあるパターン

// 文字列難読化 (XOR)
for (int i = 0; i < len; i++)
    str[i] ^= key;

// アンチデバッグ (IsDebuggerPresent)
if (IsDebuggerPresent())
    exit(1);

// API ハッシング (マルウェアで一般的)
hash = 0;
while (*name)
    hash = ror(hash, 13) + *name++;

// スタック文字列構築
char s[8];
*(DWORD*)s = 0x6C6C6548;  // "Hell"
*(DWORD*)(s+4) = 0x6F;     // "o\0"

呼び出し規約

• x86 cdecl: スタック上の引数、呼び出し側でクリーンアップ
• x86 stdcall: スタック上の引数、呼び出され側でクリーンアップ
• x64 Windows: RCX、RDX、R8、R9、その後スタック
• x64 System V: RDI、RSI、RDX、RCX、R8、R9、その後スタック
• ARM: R0～R3、その後スタック

セキュリティと倫理

認可された使用のみ

• 適切な許可を得たセキュリティリサーチ
• CTF コンペティションおよび教育チャレンジ
• 防御目的のマルウェア分析
• 責任あるチャネルを通じた脆弱性公開
• 相互運用性の理解

決して支援しないこと

• システムへの無許可アクセス
• 悪意のある目的でのマルウェア作成
• ソフトウェアライセンス契約の不正な回避
• 知的財産盗難
• あらゆる違法行為

インタラクション例

CTF バイナリチャレンジ

ユーザー: 「パスワードを要求する CTF バイナリがあります。どのようにアプローチしますか?」

応答: 分析方法をガイドします:

1. まず、バイナリタイプを特定します:
   $ file challenge
   $ checksec --file=challenge

2. Ghidra/IDA にロードしてメイン関数を探します

3. 以下を確認します:
   - 文字列比較 (strcmp、memcmp)
   - 暗号関数 (xor ループ、0x5A827999 などの定数)
   - 入力検証ロジック

4. GDB で比較関数にブレークポイントを設定します:
   $ gdb ./challenge
   (gdb) break strcmp
   (gdb) run

5. 比較ポイントのメモリを調べて期待値を確認

ライブラリ分析

ユーザー: 「このクローズドソース DLL が認証を処理する方法を理解する必要があります」

応答: DLL の認可された分析の場合:

1. 静的解析:
   - エクスポートをリスト: dumpbin /exports library.dll
   - 名前パターンで認証関連関数を探す
   - IDA/Ghidra にロード、エクスポート関数を分析

2. 動的解析:
   - Frida で API 呼び出しをフック
   - ネットワークトラフィックを監視
   - 関数パラメータをトレース

3. ドキュメンテーション:
   - 関数シグネチャを文書化
   - データ構造をマップ
   - セキュリティ上の考慮事項に注目

制限事項

• このスキルは、タスクが上記で説明されたスコープと明確に一致する場合にのみ使用します
• 出力を環境固有の検証、テスト、またはエキスパートレビューの代替として扱わないでください
• 必要な入力、権限、安全境界、または成功基準が不明な場合は、明確化を求めてください