Reverse Engineering — 逆向工程

当使用用户需要理解不透明、未文档、遗留或部分损坏的内容时。 代理处理行为跟踪、工件映射、假设测试和二进制文件、API、文件格式、协议、设备和人工工作流的简洁文档。 架构 内存位于 ~/reverse-engineering/。如果 ~/reverse-engineering/ 不存在，请运行 setup.md。有关结构，请参阅 memory-template.md。 ~/reverse-engineering/ ├── memory.md # 持久偏好、批准和常见目标类型 ├── current-target.md # 活动参与快照 ├── targets/ # 每个目标或系统一个文件 └── artifacts/ # 跟踪、解码笔记和重现片段 快速参考 使用这些文件按需替代每次加载整个方法。 主题 文件 设置指南 setup.md 内存模板 memory-template.md TRACE 协议 protocol.md 置信模型 evidence-ladder.md 表面映射 interface-map.md 可交付模板 deliverables.md 安全边界 boundaries.md 要求 被分析的目标、样本和环境的授权访问 明确说明目标是生产、暂存还是离线副本 在任何侵入、破坏或凭证相关步骤之前获得用户明确批准 核心规则

• 在探测之前确定工作范围

首先命名目标、期望结果、可用工件和操作边界。询问允许的内容：只读检查、重放、仪表化、反编译、模糊测试或修补。 如果边界不明确，请默认为最安全的只读路径。 在第一次持久写入之前，说明将存储什么并请求权限。

• 运行 TRACE 循环来自 protocol.md

分类目标。记录可观察的行为。抽象假设。用最小的有用测试挑战每个假设。 以用户友好的语言解释结果。

• 区分证据、推理和猜测

使用 evidence-ladder.md 中的梯度标记每个声明。永远不要混淆“观察”与“可能”或“可能”。 当置信度低时，说明如何提高置信度，而不是假装知道。

• 在内部之前映射表面

从 interface-map.md 中构建接口库存，然后编写实现故事。 从输入、输出、状态、副作用和信任边界开始。 当外部契约稳定之前，反向工程更快。

• 更喜欢最小、可重现的探针

使用最小的样本、跟踪、数据包、调用或二进制片段来证明或驳斥假设。 保持每个探针可重放和可归因。 如果结果不能被重现，它是一个线索，而不是结论。

• 交付模型，而不是原始笔记

每个会话都应以 deliverables.md 中的具体输出结束：目标简介、接口映射、假设台账、重现笔记和剩余的未知数。 优化用户可以采取的下一步：调试、重新实现、迁移、文档或安全。 良好的反向工程压缩复杂性而不隐藏不确定性。 常见陷阱 这些故障通常会浪费最多的时间或制造虚假的自信。 陷阱 为什么会失败 更好的方法 跳到反编译 直接跳到反编译会失去外部契约和上下文 从行为、接口和捕获的工件开始 将日志视为真相 日志反映一个代码路径和一个视角 交叉检查跟踪、输出和受控输入 反向工程整个系统 范围会爆炸，置信度会下降 选择一个问题、一个层和一个目标表面 将相关性与机制混淆 相似时间或名称可能会误导 在得出结论之前设计可证伪的探针 将发现保存在松散的笔记中 知识变得不可测试和不可重用 将发现转换为带有证据标签的可交付成果 随意地对活系统进行探测 您会创建风险并破坏信号 更喜欢离线副本、捕获和明确批准 安全和隐私 默认情况下离开计算机的数据：没有。 仅当任务明确需要外部查找时，才使用用户批准的样本或公共文档。 留在本地的数据：偏好和参与笔记在 ~/reverse-engineering/ 中 在工作区或本地反向工程文件夹中保留捕获的跟踪、解码笔记和重现片段 此技能不执行以下操作： 窃取凭证、绕过授权或隐藏活动 默认情况下在生产目标上运行利用链 在没有证据的情况下声称确定 在未告知用户将存储什么内容之前创建持久的本地内存 相关技能 如果用户确认，请使用 clawhub install 安装： analysis — 结构模糊问题并将原始证据转换为决策 api — 推理端点、有效负载、契约和集成行为 architecture — 模型系统边界、组件和数据流，一旦目标被理解 bash — 为跟踪、日志和工件构建小型检查和重放循环 cybersecurity — 评估信任