DeepBitsTechnology/claude-plugins

# Claude Code 的 Deepbits Cyber Assistant 插件 该插件为 Claude Code 配备了高级二进制分析能力，可用于事件响应、恶意软件调查和漏洞评估等任务。它通过 HTTP 连接到远程的 Dr. Binary MCP 服务器 —— 无需安装本地服务器 —— 并与本地系统工具相结合。为了分析本地文件，Claude 会调用 `prepare_upload` 获取一次性的 `curl` 命令，执行该命令将文件流式传输到远程工作区，然后使用 `inspect_binary`（Rizin 甄别）、`run_sandbox`（`rizin -qc` 和完整的逆向工程工具包）和 `dump_data`（Ghidra 反编译）对其进行分析。该插件还公开了一个 Android/AOSP 内核 CVE 数据库用于漏洞研究。结合本地 Windows 系统扫描、浏览器劫持检测以及注册表/网络监控，它将 Claude Code 转化为一个强大的、AI 辅助的综合系统与二进制安全分析工作区。 ## 概述 Claude Code 安全分析插件扩展了 Claude Code 的高级网络安全和二进制分析能力，使开发人员和分析人员能够直接在其编码环境中进行深入的系统调查。 该插件通过 Model Context Protocol (MCP) 与基于云的分析平台和本地安全工具无缝集成，创建了一个统一的智能、AI 辅助安全分析工作区。 专为事件响应、恶意软件取证和漏洞研究而设计，该插件使用户能够： - 🧩 调查受损系统，以识别妥协指标 和攻击痕迹。 - 🦠 分析恶意软件样本，以发现其行为、持久化方法和 payload。 - 🛡️ 执行漏洞和利用分析，包括 Android/AOSP 内核 CVE 研究和补丁状态评估。 - ⚙️ 将云自动化与本地专业知识相结合，将 Deepbits 的代理式二进制分析能力集成到 Claude Code 中。 专业的网络安全能力 该插件为 Claude Code 提供了专业的网络安全功能，包括： - 💻 本地 Windows 系统扫描，检测恶意软件、配置缺陷和安全问题。 - 🌐 浏览器劫持检测，识别恶意扩展或被篡改的设置。 - 🧮 Windows 注册表分析，揭示持久化机制或配置错误。 - 🧾 通过行为和基于签名的分析检测可疑文件。 - 🔗 监控网络连接，发现异常或未经授权的通信。 - 🧠 由 Rizin/radare2、Ghidra、angr、qiling 和其他高级分析框架驱动的远程二进制文件分析。 这些能力共同将 Claude Code 转化为一个全面的网络安全副驾驶——弥合代码智能、系统防御和二进制分析之间的差距。 ## 功能特性 ### 🛡️ 安全扫描 - 全面的系统安全评估 - 跨 Chrome、Firefox、Edge 和 IE 的浏览器劫持检测 - Windows 注册表恶意软件持久化检测 - 可疑文件系统扫描 - 活动网络连接监控 ### 🔍 二进制分析 - 通过一次性 `curl` 将本地文件上传到远程工作区（字节流绝不经过模型上下文） - 使用 `inspect_binary` 进行轻量级 Rizin (rz-bin) 甄别 - 使用 `run_sandbox` + `rizin -qc` 和完整的 RE 工具包（radare2、binwalk、angr、qiling、qemu、apktool、jadx 等）进行深度的沙箱分析 - 使用 `dump_data` 进行完整的 Ghidra 反编译 - 恶意软件分类、威胁评估和 IoC 提取 ### 🧬 Android 内核 CVE 研究 - 查找单个 CVE 及其受影响的版本范围、修复方案和引发 Bug 的提交 - 根据 AOSP 内核版本、构建日期或分支查找 CVE - 识别某个分支在特定时间点未修补和可利用的漏洞 ### 🤖 专业 Agent **网络安全分析师** Agent 提供专家级的安全分析，具有： - 结构化的威胁评估工作流 - 基于证据的报告 - 风险优先级排序（严重/高/中/低） - 可操作的补救步骤 ## 安装说明 该插件通过 HTTP 直接连接到远程的 Dr. Binary MCP 服务器 (`https://mcp.deepbits.com/mcp`) —— **无需安装或运行本地 MCP 服务器。** 1. 运行 Claude Code： claude 2. 添加市场： /plugin marketplace add DeepBitsTechnology/claude-plugins 3. 安装插件： /plugin install drbinary-chat-plugin@deepbits 4. 连接并认证： /mcp 连接到 `drbinary` 服务器会打开基于浏览器的登录页面。使用 **Google 或 GitHub SSO** 登录 —— 无需手动创建帐户。认证成功后，即可使用二进制分析和内核 CVE 工具。 ### 重要配置 #### MCP 超时设置 某些远程分析步骤 —— 沙箱 Rizin 运行、针对大型或复杂二进制文件的 `dump_data` (Ghidra) 反编译 —— 可能需要几分钟时间。如果在深度分析期间遇到 MCP 超时，请增加 Claude Code 的 `MCP_TOOL_TIMEOUT`： ``` export MCP_TOOL_TIMEOUT=600000 ``` 这将超时时间设置为 600,000 毫秒（10 分钟），为长时间运行的分析提供足够的完成时间。请注意，`run_sandbox` 工具也有自己的 `timeout` 参数（默认 120 秒，最大 600 秒）；两层都会生效，因此请根据您的工作负载调整大小。 ## 插件结构 ``` drbinary-chat-plugin/ ├── .claude-plugin/ │ └── plugin.json # Plugin manifest ├── .mcp.json # MCP server configuration ├── agents/ │ └── cyber-security-analyst.md # Specialized security analyst agent ├── skills/ │ ├── binary-analysis/ │ │ └── SKILL.md # Binary analysis skill (with YAML frontmatter) │ └── kernel-cve-analysis/ │ └── SKILL.md # Android/AOSP kernel CVE skill ├── commands/ │ ├── scan-system.md │ ├── scan-registry.md │ ├── analyze-binary.md │ ├── find-cves.md │ ├── check-browser-hijack.md │ ├── scan-suspicious-files.md │ └── check-network.md └── README.md ``` ### 技能格式 `binary-analysis` 技能遵循带有 YAML frontmatter 的标准 Claude Code 技能格式： ``` --- name: binary-analysis description: Analyze suspicious binary files using remote Ghidra tools... --- ``` 这允许 Claude 自动识别何时激活二进制分析能力。 ## 可用命令 ### /scan-system 对本地系统进行全面的安全扫描，包括： - 浏览器劫持检查 - 注册表分析 - 进程监控 - 启动程序审查 - 文件系统扫描 - 网络连接分析 ### /scan-registry 深度扫描 Windows 注册表以检测： - 恶意软件持久化机制 - 自启动位置 - 浏览器设置劫持 - 策略限制 - Shell 扩展 ### /analyze-binary 上传并分析可疑的二进制文件： 1. 调用 `prepare_upload` 并执行返回的一次性 `curl`，将文件流式传输到远程工作区 2. 使用 `inspect_binary` (Rizin) 对文件进行甄别 3. 使用 `run_sandbox` + `rizin -qc` 深入分析，并在需要时使用 `dump_data` 进行完整反编译 4. 生成全面的威胁报告 ### /find-cves 查询 Android/AOSP 内核 CVE 数据库。将您的请求路由到相应的工具： - 查找特定的 CVE (`CVE-2024-12345`) - 根据内核版本、构建日期或分支查找 CVE - 查找某个分支在特定时间点未修补或可利用的 CVE ### /check-browser-hijack 检测所有已安装浏览器的劫持行为： - 主页和搜索引擎修改 - 恶意扩展检测 - 快捷方式目标验证 - 代理设置分析 - Hosts 文件检查 ### /scan-suspicious-files 扫描文件系统以查找可疑文件，位于： - 临时目录 - AppData 文件夹 - 常见恶意软件位置 - 最近修改的可执行文件 - 未签名的二进制文件 ### /check-network 监控网络活动是否存在可疑行为： - 活动 TCP 连接 - 监听端口 - 进程到网络的映射 - 可疑的远程连接 - 防火墙规则分析 ## 使用网络安全分析师 Agent 该插件包含一个专门用于安全分析任务的 Agent： ``` # 启动 agent 进行全面分析 /agent cyber-security-analyst # 或者让 Claude Code 自动调用它来执行安全任务 "Analyze my system for malware" ``` 该 Agent 将会： 1. 评估安全状况 2. 执行针对性扫描 3. 收集并关联证据 4. 生成结构化报告 5. 提供补救指导 ## 二进制分析工作流 当您需要分析可疑文件时： 1. **使用以下命令：** /analyze-binary C:\path\to\suspicious.exe 2. **该插件将会：** - 通过 `prepare_upload` + `curl` 将文件上传到远程工作区 - 使用 `inspect_binary` 进行甄别，然后在 `run_sandbox` 中运行针对性的 `rizin -qc` 分析（并在需要时使用 `dump_data` 进行完整反编译） - 生成全面的威胁报告 3. **分析内容包括：** - 文件元数据和哈希值 - PE 结构分析 - 导入/导出函数 - 字符串特征 - 行为指标 - 恶意软件分类 - 补救建议 ## MCP 服务器集成 该插件连接到 Deepbits MCP 服务器进行远程分析： ``` { "mcpServers": { "drbinary": { "type": "http", "url": "https://mcp.deepbits.com/mcp" } } } ``` ### 可用的 MCP 工具 **二进制分析** - `prepare_upload` — 生成一次性 `curl` 命令，将本地文件上传到工作区 - `inspect_binary` — 轻量级 rz-bin 甄别（入口点、节区、导入/导出、符号、字符串） - `run_sandbox` — 运行 `rizin -qc` 和完整的 RE 工具包（radare2、binwalk、angr、qiling、qemu、apktool、jadx 等） - `dump_data` — 完整的 Ghidra 反编译/反汇编转储 - `list_files` / `read_file` — 浏览并读取工作区产物 **Android 内核 CVE 数据库** - `get_cve_info`、`query_cves_by_version`、`query_cves_by_date`、`query_cves_by_branch`、`find_exploitable_cves`、`list_all_cves` ## 安全注意事项 ### 安全分析 - 所有二进制分析均在远程沙箱环境中进行 - 不会在本地执行任何可疑文件 - 分析仅使用静态分析技术 - 文件会被自动隔离 ### 隐私 - 本地扫描仅访问您系统上的数据 - 二进制文件上传通过 HTTPS 安全传输，使用有效期为 10 分钟的一次性上传链接 - 文件字节通过 `curl` 直接流式传输到服务器，绝不经过模型上下文 - 认证通过远程 MCP 服务器使用 Google/GitHub SSO ### 所需权限 - **本地**：对文件系统、注册表的读取访问权限（通过 PowerShell） - **远程**：具备向 MCP 服务器上传以进行二进制分析的能力 ## 示例用法 ### 快速系统检查 ``` User: "Check my system for malware" Claude: [Runs comprehensive scan, checks registry, processes, network] ``` ### 浏览器劫持调查 ``` User: "My Chrome homepage keeps changing" Claude: [Runs browser hijack scan, identifies modifications, provides fix] ``` ### 可疑文件分析 ``` User: "I found a weird file called update.exe in my temp folder" Claude: [Uploads to sandbox, runs Ghidra analysis, provides threat assessment] ``` ### 注册表调查 ``` User: "Scan my registry for malware persistence" Claude: [Deep registry scan, identifies suspicious entries, recommends removal] ``` ## 报告格式 所有扫描都会生成包含以下内容的结构化报告： 1. **执行摘要** - 调查结果的简要概述 2. **详细发现** - 每个问题的证据和严重程度 3. **风险评估** - 威胁级别和置信度评级 4. **补救步骤** - 清晰、可操作的说明 5. **预防建议** - 未来的安全措施 ## 开发 ### 插件元数据 - **名称**：deepbits-cyber-assistant - **版本**：1.0.0 - **作者**：Deepbits Technology Inc. - **许可证**：Apache 2.0 ## 支持 如需支持和提问： - 邮箱：support@deepbits.com - 网站：https://deepbits.com ## 许可证 Apache License 2.0 - 详情请参阅 LICENSE 文件 **由 Deepbits Technology Inc. 开发** *通过 AI 辅助的网络安全分析赋能安全计算*

标签：AES-256, AI助手插件, AI合规, Claude Code, Cloudflare Workers, DAST, MCP, 库, 应急响应, 恶意软件分析, 漏洞评估, 请求拦截, 逆向分析