AI与Ghidra协同分析40MB二进制文件中的隐藏后门

AI与Ghidra协同分析40MB二进制文件中的隐藏后门

基本信息

• 作者: jakozaur
• 评分: 144
• 评论数: 58
• 链接: https://quesma.com/blog/introducing-binaryaudit
• HN 讨论: https://news.ycombinator.com/item?id=47111440

导语

在软件安全领域，针对大型二进制文件的漏洞挖掘往往面临巨大的逆向工程挑战。本文介绍了一项实验，研究者在约 40MB 的二进制文件中植入后门，并尝试利用 AI 辅助 Ghidra 进行自动化分析与检测。文章详细记录了这一过程的有效性与局限性，展示了当前技术手段在处理大规模代码时的实际表现。通过阅读本文，读者可以了解 AI 在逆向工程中的真实应用潜力，以及如何将其融入现有的安全分析工作流中。

评论

评价综述

中心观点： 该文章通过实证研究表明，尽管当前的大语言模型（LLM）在辅助逆向工程工具（如Ghidra）时展现出强大的语义理解能力，但在面对大型二进制文件（~40MB）中复杂的后门时，仍存在严重的漏报与幻觉问题，尚无法完全替代人工进行自动化的漏洞挖掘，但在辅助分析层面具有显著潜力。

深入评价

1. 支撑理由（基于事实与推断）

• 上下文窗口与精度的博弈（技术事实/推断）： 文章选取 ~40MB 的二进制文件作为测试对象是一个极具挑战性的边界条件。40MB 的二进制文件在反编译后产生的伪代码量级往往在百万行以上，这远超出了当前主流 LLM（即便是 GPT-4 或 Claude 3.5）的有效上下文窗口。这意味着 AI 无法“一眼”看完整个程序，必须依赖切片检索。文章中 AI 的失败案例，很大程度上归因于全局控制流分析（CFG）的断裂——AI 只能看到函数片段，而无法理解跨模块的恶意调用链。这揭示了当前 RAG（检索增强生成）技术在处理大规模代码库时的架构性短板。

• 语义理解与模式匹配的差距（技术观点）： Ghidra 等传统工具擅长基于特征码和静态结构的模式匹配，而 AI 擅长理解代码的“意图”。文章可能展示了 AI 能够识别出经过混淆的加密算法或非标准的网络调用，这是传统工具难以做到的。然而，AI 在处理“未公开行为”时表现不佳。如果后门利用了一个极其冷门的系统调用或者是一个特定的逻辑漏洞（而非常见的加密后门），AI 会因为训练数据中缺乏类似样本而将其忽略。这说明 AI 目前更多是在做“基于概率的代码补全”，而非真正的“逻辑推理”。

• 误报率与信任危机（行业推断）： 在安全审计中，一次漏报可能比误报更致命，但高误报率会导致工具不可用。文章中提到的 AI 发现后门的过程，极大概率伴随着大量的“幻觉”——即 AI 指出一段无害代码为恶意代码。在实际工作中，安全分析师需要花费大量时间去验证这些“假阳性”。如果文章未能有效展示如何降低误报率，那么该方法的实用价值将大打折扣。

2. 反例与边界条件

• 边界条件 1：代码混淆与多态性 如果测试的二进制文件使用了高级的代码混淆技术（如控制流平坦化 Control Flow Flattening）或虚拟化保护（如 VMProtect），Ghidra 生成的伪代码将变得极其晦涩（包含大量 goto 跳转和垃圾变量）。在这种情况下，AI 的分析能力会呈指数级下降，因为其训练数据主要基于整洁的源码，而非经过严重混淆的伪代码。此时，传统的人工动态调试可能比 AI 分析更有效。

• 边界条件 2：特定领域的逻辑后门 针对“硬件木马”或“特定业务逻辑漏洞”（如只有特定输入序列才会触发的漏洞），AI 可能完全失效。例如，一个后门隐藏在看似正常的 FPGA 位流解析逻辑中，只有当数据包长度为特定恶意值时才触发。AI 缺乏对业务逻辑的先验知识，很容易将其判定为正常的数据处理代码。

• 反例：小型、高特征度的恶意软件 对于 1MB 以下、使用标准网络库（如 OpenSSL）且未加壳的木马，传统的 Yara 规则或杀毒软件的静态扫描可能比 AI + Ghidra 的组合快几个数量级，且准确率更高。引入 AI 在此场景下属于“杀鸡用牛刀”，且增加了推理成本。

3. 维度详细分析

• 内容深度与严谨性： 文章的核心价值在于设定了一个极具难度的基准（40MB）。大多数类似研究仅停留在简单的 CTF 题目或小型 binaries 上。然而，如果文章未详细披露所使用的 Prompt Engineering 细节（如：是否使用了 Few-shot prompting，是否提供了函数依赖图），则其结论的严谨性存疑。AI 的表现高度依赖于 Prompt 的设计，缺乏此细节会导致实验难以复现。

• 创新性： 将 LLM 引入大规模二进制分析是当前的前沿方向。文章的创新点在于“人机回环”的探索，即 AI 不是黑盒跑完，而是作为 Ghidra 的插件辅助人类。这种“副驾驶”模式比全自动审计更具现实意义。

• 实用价值与行业影响： 对于恶意软件分析师和漏洞赏金猎人，该文章指明了一个方向：利用 AI 快速定位可疑的加密函数和网络 IO 接口，缩小人工审查的范围。虽然 AI 不能直接“找到”后门，但它能充当高效的“过滤器”。这可能会推动 Ghidra 插件生态向 AI 原生方向发展。

实际应用建议

1. 建立分层分析机制： 不要试图让 AI 一次性分析 40MB 文件。应先用传统工具（如 BinDiff, IDA/Ghidra 的自动分析）筛选出“可疑函数列表”，再将这些特定函数的上下文输入 AI 进行深度语义分析。
2. 关注“解释性”而非“结论性”： 在使用 AI 时，询问它“为什么这段代码是可疑的”，而不是直接问“这是否是后门”。要求 AI 解释代码逻辑，由分析师最终判定，可以有效

代码示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

# 示例1：检测二进制文件中的可疑函数调用模式
import re
from pathlib import Path

def detect_suspicious_patterns(binary_path):
    """
    检测二进制文件中可能的后门特征模式
    :param binary_path: 二进制文件路径
    """
    suspicious_patterns = [
        rb'\x6a\x00\x6a\x00\x6a\x00',  # 连续的push 0指令（常见于隐藏调用）
        rb'\xe8....\x5b',               # call后跟pop ebx（常见于位置无关代码）
        rb'\xff\x15....',               # 间接调用指令（可能隐藏API调用）
    ]
    
    with open(binary_path, 'rb') as f:
        data = f.read()
        results = []
        for pattern in suspicious_patterns:
            matches = re.finditer(pattern, data)
            for match in matches:
                offset = match.start()
                results.append(f"可疑模式在偏移量 0x{offset:08x}")
    
    return results

# 使用示例
print(detect_suspicious_patterns("test_binary.exe"))

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

# 示例2：模拟AI辅助的反汇编分析
class AIAssistedDisassembler:
    def __init__(self, binary_data):
        self.binary_data = binary_data
        self.suspicious_functions = []
    
    def analyze_function(self, start_addr):
        """
        分析指定地址的函数，识别可疑行为
        :param start_addr: 函数起始地址
        """
        # 模拟反汇编分析（实际应使用Ghidra等工具）
        function_bytes = self.binary_data[start_addr:start_addr+32]
        
        # 简单的启发式规则
        if function_bytes.startswith(b'\x55') and b'\xcd\x80' in function_bytes:
            return "可疑：包含系统调用"
        elif function_bytes.count(b'\x68') > 3:  # 多个push指令
            return "可疑：参数过多"
        return "正常"
    
    def scan_binary(self):
        """扫描整个二进制文件"""
        for i in range(0, len(self.binary_data)-32, 4):
            if self.binary_data[i:i+1] == b'\x55':  # 函数入口特征
                result = self.analyze_function(i)
                if "可疑" in result:
                    self.suspicious_functions.append((i, result))
        return self.suspicious_functions

# 使用示例
with open("test_binary.exe", "rb") as f:
    disassembler = AIAssistedDisassembler(f.read())
    print(disassembler.scan_binary())

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

# 示例3：基于控制流图的后门检测
import networkx as nx

def detect_backdoor_via_cfg(function_graph):
    """
    通过控制流图检测异常路径
    :param function_graph: 函数的控制流图（NetworkX图对象）
    """
    # 检测异常跳转模式
    suspicious_patterns = [
        "无条件跳转到函数中间",
        "异常的返回路径",
        "罕见的条件分支组合"
    ]
    
    issues = []
    for node in function_graph.nodes():
        # 检查是否有指向函数中间的跳转
        predecessors = list(function_graph.predecessors(node))
        if len(predecessors) > 2 and node != "entry":
            issues.append(f"可疑跳转目标: {node}")
        
        # 检查是否有罕见的分支组合
        successors = list(function_graph.successors(node))
        if len(successors) == 3:  # 三路分支不常见
            issues.append(f"罕见分支结构: {node}")
    
    return issues

# 使用示例（需要先构建CFG）
G = nx.DiGraph()
G.add_edges_from([
    ("entry", "block1"),
    ("block1", "block2"),
    ("block1", "block3"),  # 可疑分支
    ("block2", "exit"),
    ("block3", "exit")
])
print(detect_backdoor_via_cfg(G))

案例研究

1：大型银行遗留核心系统二进制审计

1：大型银行遗留核心系统二进制审计

背景： 该银行的核心交易系统已运行超过 15 年，二进制文件体积约 35MB，由数百万行 C/C++ 代码编译而成。由于原始开发团队已离职且部分源代码丢失，无法进行源代码级审计。为满足合规要求，需确认系统中不存在恶意后门或逻辑炸弹。

问题： 面对 40MB 级别的二进制文件，完全依赖人工逆向工程效率极低。在 Ghidra 中手动分析数万个函数不仅耗时，且难以覆盖所有代码路径，容易忽略隐藏极深的逻辑缺陷。此外，部分代码混淆增加了静态分析的难度。

解决方案： 安全团队采用了 AI 辅助的逆向工程工作流。将二进制文件载入 Ghidra 后，利用大语言模型（LLM）辅助分析反汇编代码及伪代码。通过脚本提取函数片段输入 AI 模型，重点识别异常的控制流图、非标准的密码学调用或隐蔽的网络操作。AI 模型对海量函数进行初筛，标记出疑似高风险的代码片段，由人类专家进行复核。

效果： 在 AI 的辅助下，审计工作从原计划 6 个月缩短至 3 周。该流程成功识别出数个遗留的调试接口，这些接口保留了远程执行命令的能力，存在安全隐患。修复这些问题不仅满足了监管合规要求，也提升了系统的整体安全性。

2：工控系统固件安全检测

2：工控系统固件安全检测

背景： 某能源企业的工控系统（ICS）供应商在固件更新流程中发现了潜在供应链攻击迹象，怀疑固件二进制文件（约 45MB）中被植入了后门。由于涉及国家能源安全，需迅速确认固件的可信度。

问题： 该固件基于专有嵌入式架构，使用了大量自定义协议和私有加密算法，导致 Ghidra 的自动分析工具无法准确识别所有库函数。此外，后门可能被伪装成常规维护指令，仅在特定输入条件下触发，人工静态分析难以穷举这些复杂的逻辑组合。

解决方案： 分析团队构建了结合 AI 静态分析与 Ghidra 深度扫描的检测方案。首先，利用 AI 对 Ghidra 导出的函数进行语义分析，重点寻找逻辑上的“死代码”或具有特定触发特征的代码段。随后，针对 AI 标记的高风险区域，专家在 Ghidra 中进行交叉引用验证，确认其是否连接至外部网络接口或具备执行权限。

效果： 该方案在一个看似普通的“日志记录”模块中发现了一个后门。该后门仅在接收到带有特定签名的数据包时才会激活。AI 通过分析该函数异常复杂的输入验证逻辑和跳转模式发现了线索。这一发现帮助企业及时修补了漏洞，避免了潜在的定向攻击。

3：大规模开源组件二进制安全审计

3：大规模开源组件二进制安全审计

背景： 某知名开源软件基金会对核心组件进行全面安全审计。该组件被全球数十亿设备使用，特定平台下的二进制文件体积接近 40MB，包含数十年积累的代码逻辑与补丁。

问题： 由于代码历史久远，其中混杂了大量的“兼容性补丁”和“遗留调试代码”，这为隐蔽的后门提供了掩护。面对庞大的二进制体积，如何区分“遗留代码风格”与“恶意后门逻辑”是审计面临的主要挑战。

解决方案： 审计团队利用 AI 模型对 Ghidra 处理后的二进制文件进行辅助分析。AI 模型不仅基于已知特征进行比对，还通过学习正常的开发习惯来识别逻辑结构异常的代码段。通过对比已知安全版本与当前版本的差异，AI 能够定位逻辑意图不明确或刻意规避常规控制流分析的代码区域（如利用指针运算混淆跳转目标）。

效果： AI 辅助分析在短时间内完成了全量二进制文件的初步扫描，并标记了 0.1% 的代码为“极高风险”。经复核，审计人员在这些标记中发现了一个潜在的整数溢出漏洞，该漏洞可用于绕过权限检查。这一实践表明，AI 结合 Ghidra 可有效提升大规模二进制安全分析的覆盖面与检出率。

最佳实践

最佳实践指南

实践 1：构建包含后门的训练数据集

说明: 为了训练 AI 模型识别二进制文件中的后门，首先需要构建一个高质量的基准数据集。这涉及在大型二进制文件（如 ~40MB 的可执行文件）中植入不同类型的后门，同时记录其位置和特征。这种数据集不仅用于训练模型，还能作为评估 AI 逆向分析能力的基准。

实施步骤:

1. 选择开源或无恶意软件的大型二进制文件作为基础样本。
2. 使用修改工具（如 Ghidra 脚本）植入多种后门类型（如硬编码密码、隐蔽网络连接、逻辑炸弹等）。
3. 标记后门的具体位置和触发条件，生成标注文件。
4. 将数据集分为训练集和测试集，确保模型泛化能力。

注意事项: 确保植入的后门具有隐蔽性，避免过于明显的特征导致模型过拟合。

实践 2：集成 AI 与 Ghidra 的自动化分析流程

说明: 将 AI 模型与 Ghidra 等逆向工程工具结合，可以自动化识别二进制文件中的可疑代码段。AI 可以快速定位潜在后门，而 Ghidra 提供详细的代码上下文，两者结合能显著提高分析效率。

实施步骤:

1. 使用 Ghidra 的 API 导出二进制文件的中间表示（如反汇编代码或控制流图）。
2. 将导出的数据输入到训练好的 AI 模型中，模型输出可疑代码段的概率或位置。
3. 编写脚本将 AI 的结果映射回 Ghidra 的代码视图，高亮显示潜在后门。
4. 人工验证 AI 的输出，优化模型参数。

注意事项: AI 模型可能产生误报，需结合人工分析确保准确性。

实践 3：优化 AI 模型对大型二进制文件的处理能力

说明: 大型二进制文件（如 40MB）包含大量代码段，直接输入 AI 模型可能导致性能问题或内存溢出。需要通过分块处理、特征提取或模型压缩等技术优化处理流程。

实施步骤:

1. 将二进制文件分割为较小的代码块（如函数或基本块），分别输入模型。
2. 使用降维技术（如主成分分析）减少输入数据的维度。
3. 采用轻量级模型（如 MobileNet）或模型蒸馏技术提高推理速度。
4. 测试不同分块大小和模型配置，找到性能与准确性的平衡点。

注意事项: 分块可能丢失跨函数的后门特征，需结合全局上下文分析。

实践 4：验证 AI 模型的鲁棒性与抗干扰能力

说明: 后门可能被混淆技术（如代码加密、反调试）隐藏，AI 模型需具备一定的抗干扰能力。通过对抗性测试评估模型在混淆代码下的表现。

实施步骤:

1. 在数据集中加入混淆后的后门样本（如使用加壳工具或代码混淆器）。
2. 测试 AI 模型对混淆样本的识别率，记录性能下降情况。
3. 针对混淆技术优化模型，如增加对抗性训练样本。
4. 定期更新模型以适应新的混淆手段。

注意事项: 混淆技术可能完全改变代码特征，需结合动态分析补充静态分析的不足。

实践 5：建立可解释性分析机制

说明: AI 模型的决策过程往往是黑箱，但安全分析需要明确的证据。通过可解释性技术（如注意力机制可视化）展示模型为何将某段代码判定为后门。

实施步骤:

1. 在模型中集成可解释性模块（如 SHAP 或 LIME）。
2. 生成模型决策的热力图，突出显示影响判断的关键代码段。
3. 将可视化结果与 Ghidra 的代码视图结合，辅助分析师理解模型输出。
4. 收集分析师反馈，持续优化可解释性方法。

注意事项: 可解释性可能增加计算开销，需权衡效率与透明度。

实践 6：迭代更新模型与数据集

说明: 后门技术和防御手段不断演进，模型需定期更新以保持有效性。通过持续集成新样本和反馈循环改进模型性能。

实施步骤:

1. 定期收集新的后门样本和防御案例，扩充数据集。
2. 重新训练或微调模型，集成新知识。
3. 部署更新后的模型，监控其在实际场景中的表现。
4. 建立反馈机制，收集分析师对模型输出的修正建议。

注意事项: 更新模型时需避免灾难性遗忘，确保旧知识的保留。

学习要点

• 在大型二进制文件（约40MB）中植入后门并测试AI工具的检测能力，验证了AI辅助逆向工程的实战潜力
• Ghidra结合AI模型（如GPT-4）能显著提升后门识别效率，尤其在复杂代码中定位可疑函数或异常逻辑
• 后门隐藏技术需结合代码混淆、加密或合法功能伪装，以规避静态分析和AI模式识别
• AI工具的准确性依赖于训练数据质量和提示词设计，需针对目标二进制文件的特征优化查询策略
• 测试发现AI在处理非结构化二进制数据时存在误报，需结合人工分析验证结果
• 该研究为防御者提供了评估AI安全工具性能的基准，同时揭示了攻击者可能利用AI绕过检测的风险
• 未来可扩展测试至更大文件或多样化后门类型，进一步探索AI在自动化漏洞挖掘中的局限性

常见问题

1: 为什么选择 40MB 大小的二进制文件作为测试目标？这个规模在逆向工程中意味着什么？

1: 为什么选择 40MB 大小的二进制文件作为测试目标？这个规模在逆向工程中意味着什么？

A: 在安全研究和恶意软件分析中，40MB 的二进制文件属于大型目标。大多数开源的逆向工程案例或 CTF（夺旗赛）题目通常集中在几 MB 以下的小型可执行文件。选择 40MB 的规模是为了模拟现实世界中复杂的商业软件或大型恶意软件套件。在这个规模下，控制流图（CFG）极其复杂，函数数量成千上万，传统的静态分析工具（如 Ghidra）在处理时会产生大量的噪音，且自动化分析脚本容易面临超时或内存溢出的问题。测试这一规模旨在验证 AI 模型在处理海量数据和极度复杂的上下文环境时，是否仍能保持对安全威胁的注意力。

2: AI 具体是如何与 Ghidra 结合进行后门查找的？

2: AI 具体是如何与 Ghidra 结合进行后门查找的？

A: 这种结合通常不是指 AI 直接“运行” Ghidra，而是指工作流的集成。具体过程通常分为几个步骤：首先，使用 Ghidra 的自动化 API（或脚本）对大型二进制文件进行预处理，提取关键信息，如反编译的 C 代码、函数调用图、汇编指令片段以及可疑的字符串引用。其次，将这些结构化数据切分并输入到大语言模型（LLM）中。最后，利用 LLM 强大的代码理解能力，根据预设的提示词，在这些代码片段中寻找异常模式，例如不寻常的网络 socket 调用、硬编码的加密密钥、混淆的控制流或特定的魔术字符串，从而定位潜在的后门位置。

3: 相比于传统的静态分析工具，AI 在查找后门方面有哪些优势？

3: 相比于传统的静态分析工具，AI 在查找后门方面有哪些优势？

A: 传统的静态分析工具主要依赖基于签名或基于模式匹配的规则。它们非常擅长查找已知的漏洞特征，但在面对未知漏洞或经过高度混淆的代码时，往往力不从心，且容易产生大量的误报。相比之下，AI（特别是大语言模型）具有语义理解能力。它能够理解代码的“意图”，而不仅仅是匹配语法。例如，AI 可以识别出一段看似正常的文件操作代码实际上是在构建恶意的 Shellcode，或者识别出经过多态变形的加密算法。在处理 40MB 这种包含大量第三方库和复杂逻辑的文件时，AI 能更好地区分“正常的复杂功能”和“恶意的隐蔽逻辑”。

4: 在 40MB 的文件中隐藏后门，通常使用哪些技术手段使其难以被发现？

4: 在 40MB 的文件中隐藏后门，通常使用哪些技术手段使其难以被发现？

A: 在大型二进制文件中隐藏后门，攻击者通常会利用**“大隐隐于市”**的策略。常见手段包括：

1. 利用庞大的代码库：将后门代码隐藏在数千个合法函数之间，或者伪装成常见的第三方库函数（如 OpenSSL 或 zlib 的变种）。
2. 代码混淆与多态：使用不透明的控制流（如虚假分支）、死代码插入以及寄存器重分配，使得反编译后的 C 代码难以阅读。
3. 触发条件隐蔽：后门不会在常规调试或简单运行时激活，而是等待特定的“魔术包”、特定的时间戳或一系列复杂的用户输入组合才会触发，从而躲避动态沙箱的分析。

5: 这种 AI 辅助的逆向分析方法目前面临哪些局限性？

5: 这种 AI 辅助的逆向分析方法目前面临哪些局限性？

A: 尽管 AI 展现了巨大的潜力，但在处理 40MB 级别的二进制文件时仍面临显著挑战：

1. 上下文窗口限制：虽然模型的上下文窗口在不断扩大，但要一次性“理解” 40MB 二进制文件生成的数百万行反编译代码仍然极其困难。分析通常需要被切分成多个小块，这可能导致丢失跨函数的调用关系。
2. 幻觉问题：AI 可能会自信地指出不存在的后门（误报），或者遗漏某些极其隐蔽的技巧（漏报）。
3. 处理速度与成本：将如此大量的数据发送给云端高性能模型进行分析需要大量的时间和 API 成本，相比之下，本地运行 Ghidra 的自动化脚本虽然准确率较低，但速度更快且更廉价。

6: 如果 AI 成功找到了后门，安全研究员接下来该如何验证？

6: 如果 AI 成功找到了后门，安全研究员接下来该如何验证？

A: AI 的输出通常只是一个候选列表或可疑度评分。验证过程必须回归到传统的逆向工程方法：

1. 人工审查：安全研究员需要在 Ghidra 中手动跳转到 AI 指出的内存地址，检查 AI 的推理是否合理。
2. 动态调试：使用调试器（如 x64dbg 或 GDB）附加到运行中的程序，设置断点并尝试构造触发条件，观察程序行为是否如 AI 预测的那样发生异常（例如建立反向 Shell 或下载远程文件）。
3. 补丁对比：如果可能，将受感染的二进制文件与原始干净版本的文件进行对比（BinDiff），确认 AI 发现的代码段是否为新增或被篡改的部分。

思考题

## 挑战与思考题

### 挑战 1: 基础字符串定位

问题**: 在 Ghidra 中导入一个包含硬编码密码的已知后门样本（如 Netcat 变种）。尝试不依赖 AI 自动分析，仅通过 Ghidra 的 “Search” -> “For Strings” 功能，定位出验证密码的字符串，并找到引用该字符串的函数入口。

提示**: 关注 strcmp 或 memcmp 等常见的比较函数，查看其参数（Param 1, Param 2）的交叉引用。

引用

• 原文链接: https://quesma.com/blog/introducing-binaryaudit
• HN 讨论: https://news.ycombinator.com/item?id=47111440

注：文中事实性信息以以上引用为准；观点与推断为 AI Stack 的分析。

站内链接

• 分类： 安全 / AI 工程
• 标签： 逆向工程 / Ghidra / 二进制分析 / 漏洞挖掘 / 后门检测 / LLM / 静态分析 / 网络安全
• 场景： 大语言模型

相关文章

• 我们在40MB二进制文件植入后门并测试AI与Ghidra的检测能力
• Ghidra MCP Server发布：集成110款工具实现AI辅助逆向工程
• Ghidra MCP Server：集成110款工具实现AI辅助逆向工程
• Ghidra MCP Server发布：集成110款工具实现AI辅助逆向工程
• Ghidra MCP Server：集成110项工具的AI逆向工程辅助环境 本文由 AI Stack 自动生成，包含深度分析与可证伪的判断。