- 我的帖子已经打上 开源推广 标签: 是
- 我的开源项目完整开源,无未开源部分: 是
- 我的开源项目已链接认可 LINUX DO 社区: 是
- 我帖子内的项目介绍,AI生成、润色内容部分已截图发出: 是
- 以上选择我承诺是永久有效的,接受社区和佬友监督: 是
以下为项目介绍正文内容,AI生成、润色内容已使用截图方式发出
仓库地址: Last-emo-boy/rikune
参考文档: Rikune — MCP Server for Windows Reverse Engineering
在社区佬友们的启发下,在原先仅有的静态分析下,通过引入运行时分析节点、Windows Host Agent、Windows Sandbox / Hyper-V 虚拟机协同执行链路 ,把原来的项目继续往前推了一步,做成了现在这个更完整的东西:Rikune 。同时也支持完全裸机native运行,也可以使用docker部署
推荐阅读
豆包将在免费模式外探索推出更多增值服务的付费版本,目前处于测试阶段!标准版每月68元、加强版200元、专业版500元!
推荐阅读
想问下大家一般通过什么工具使用codex和claude code?
目前我的想法是把它做成一个面向 LLM / MCP 客户端 的开源逆向分析服务。
不是单纯把某个反编译工具套一层壳,希望让模型真正能以工具调用的方式,去做更接近分析流程本身的事情。
目前的能力建设大概是这些:
- 静态分析能力
- PE 结构分析、导入导出、符号恢复
- Ghidra 编排
- .NET / Rust / Go 等目标的恢复与辅助分析
- 函数级别检索、交叉引用、解释、重命名等工作流
- 动态分析能力
- 运行时节点执行
- Windows Sandbox / Hyper-V 隔离运行
- 内存、行为、依赖、调试会话等动态证据导入
- 静态结论与动态证据的关联
- 部署形态
- 不只支持本地单机,也支持静态 / 混合 / 或者更完整的部署方式
- Linux 侧负责 Analyzer,Windows 侧负责 Runtime / Host Agent
- 想自己折腾的话其实也有持久化所有的产物和日志,适合后面继续往半自动流程推进
目前有集成以下服务为内置插件(55 个)
插件 ID 工具数 说明 Android / APKandroid
4
APK 清单、DEX 反编译、加壳检测
angr
angr
1
符号执行引擎
API Hash
api-hash
3
Shellcode API 哈希解析与 resolver 规划
APK Smali
apk-smali
3
APK Smali 反汇编与分析
批量分析
batch
3
批量样本处理
行为优先
behavior-first
3
行为分析优先级
二进制 Diff
binary-diff
2
二进制比较与补丁
Capstone
capstone
2
反汇编引擎集成
代码分析
code-analysis
19
CFG、反编译、交叉引用、代码模式
CrackMe 自动化
crackme
4
验证定位、符号执行、补丁、注册机
跨模块分析
cross-module
3
跨二进制比较、调用图、DLL 依赖树
调试会话
debug-session
9
GDB/LLDB 调试会话管理
深度脱壳
deep-unpack
3
多层脱壳与模拟
Detect It Easy
die
2
编译器、加壳器、保护器检测
.NET 反编译
dotnet-decompile
2
.NET 程序集反编译
.NET Reactor
dotnet-reactor
4
.NET 混淆分析与去混淆
动态分析
dynamic
24
运行时状态、runtime 工具库存、深度动态计划、CDB、ProcDump、telemetry、网络实验、托管运行时和 GUI handoff 规划、runtime persona 规划、行为差异对比、Hyper-V 控制、行为捕获、自动 Frida hook、trace 归因、内存转储、运行时调试会话控制
ELF/Mach-O
elf-macho
4
跨平台二进制解析
固件分析
firmware
3
固件提取与分析
Frida Instrumentation
frida
4
运行时 instrumentation、脚本注入、trace 采集
Ghidra 集成
ghidra
2
无头 Ghidra 分析与健康检查
Go 分析
go-analysis
3
Go 二进制分析与符号恢复
Graphviz
graphviz
1
DOT 图形可视化
主机关联
host-correlation
1
主机级产物关联
知识库
kb-collaboration
8
函数签名匹配、分析模板
恶意软件分析
malware
4
C2 提取、配置解析、家族分类
托管假 C2
managed-fake-c2
1
受控分析用假 C2 服务器
托管 IL 交叉引用
managed-il-xrefs
2
.NET IL 交叉引用分析
托管沙箱
managed-sandbox
1
托管沙箱执行环境
内存取证
memory-forensics
6
内存转储分析、Volatility 集成
元数据
metadata
1
二进制元数据提取
可观测性
observability
1
工具调用 hook 追踪与指标
Office 分析
office-analysis
3
Office 文档宏与 OLE 分析
PANDA
panda
1
PANDA 录制/重放分析
PCAP 分析
pcap-analysis
3
网络抓包分析
PE 分析
pe-analysis
6
PE 结构、导入、导出、指纹、pdata、符号恢复
PE 签名
pe-signature
2
PE 数字签名验证
Qiling
qiling
1
Qiling 二进制模拟
报告
reporting
3
报告生成与导出
RetDec
retdec
1
RetDec 反编译后端
Rizin
rizin
1
Rizin 反汇编后端
运行时去混淆
runtime-deobfuscate
4
运行时去混淆与模拟
SBOM
sbom
1
软件物料清单生成
相似度分析
similarity
2
二进制相似度匹配
Speakeasy
speakeasy
3
Speakeasy 模拟分析
静态初筛
static-triage
20
能力初筛、资源图谱、配置提取、行为分类、编译器/壳检测
字符串
strings
2
高级字符串提取与分析
威胁情报
threat-intel
3
ATT&CK 映射与 IOC 导出
脱壳
unpacking
3
加壳检测、脱壳与 child sample handoff
UPX
upx
1
UPX 脱壳后端
可视化
visualization
5
HTML 报告、行为时间线、数据流图、证据图、crypto 生命周期图
VM 分析
vm-analysis
10
VM/模拟器检测与分析
漏洞扫描
vuln-scanner
2
漏洞模式扫描与摘要
Wine
wine
1
通过 Wine 执行 Windows PE
YARA
yara
3
YARA 规则扫描与生成
YARA-X
yara-x
1
YARA-X 新一代规则引擎
依然还在迭代中~
如果你对下面这些方向感兴趣,欢迎各位佬友走过路过看看、提issue
仓库地址: Last-emo-boy/rikune
参考文档: Rikune — MCP Server for Windows Reverse Engineering
2 个帖子 - 2 位参与者
来源: linux.do查看原文