binary-triage

Performs initial binary triage by surveying memory layout, strings, imports/exports, and functions to quickly understand what a binary does and identify suspicious behavior. Use when first examining a binary, when user asks to triage/survey/analyze a program, or wants an overview before deeper reverse engineering.

1. Załaduj program do analizy, używając get-current-program aby zobaczyć aktywny plik binarny, lub list-project-files aby wybrać z dostępnych programów w projekcie. Zanotuj ścieżkę programu (np. "/Hatchery.exe") — będzie ci potrzebna w kolejnych krokach.

2. Przeskanuj strukturę pamięci za pomocą get-memory-blocks, aby zrozumieć budowę binaria. Zwróć uwagę na sekcje .text (kod), .data (dane), .rodata (stałe i ciągi) oraz .bss (niezainicjalizowane dane). Szukaj anomalii: niezwykle dużych sekcji, zaszyfrowanych fragmentów, sekcji z kodem zapisywalnym lub danymi wykonywalnym.

3. Przeanalizuj ciągi znaków w pliku za pomocą get-strings-count aby zobaczyć całkowitą liczbę, a następnie get-strings z podziałem na strony (100–200 ciągów na raz). Szukaj wskaźników funkcjonalności lub złośliwego zachowania: adresów URL, adresów IP, ścieżek plików, kluczy rejestru, nazw funkcji API oraz słów kluczowych takich jak "admin", "password", "crypto", "encrypt", "download", "inject" czy "shellcode".

4. Sprawdź symbole i importy programu, aby zidentyfikować używane biblioteki i funkcje systemowe. To pomoże ci zrozumieć, z jakimi zasobami system się komunikuje.

5. Przejrzyj listę funkcji w binarium, aby wyłapać podejrzane lub interesujące procedury wymagające głębszej analizy.

6. Na podstawie zebranych informacji utwórz listę zadań do dalszego badania — zaznacz obszary wymagające szczegółowego reverse engineeringu.