文章总结： 本文介绍了一种结合TraeCN、IDAPRO、IDAProMCP及智谱GLM-5的自动化逆向分析方案。通过MCP协议连接AI与IDA，利用大模型自动执行函数分析、字符串提取与恶意行为检测。该方案将分析时间缩短至十分钟，显著提升效率并降低技术门槛，文中详细阐述了环境搭建、Prompt构造及实战流程。 综合评分： 89 文章分类： 逆向分析,安全工具,实战经验,AI安全,恶意软件

【逆向分析】Trae CN + IDA PRO + IDA Pro MCP + 智谱 GLM-5 十分钟搞定自动化逆向分析

原创

利刃信安 利刃信安

利刃信安

2026年2月25日 14:00 北京

Trae CN + IDA PRO + IDA Pro MCP + 智谱 GLM-5 十分钟搞定自动化逆向分析

一、工具介绍

1. Trae CN

Trae CN 是一款智能 AI 开发工程师，深度融合 AI 能力，能够理解需求、调用工具并独立完成各类开发任务。

其核心特性包括：

• • 双重开发模式：IDE 模式（保留传统开发流程，控制感更强）和 SOLO 模式（AI 主导任务，自动推进开发）
• • 内置智能体：SOLO Coder 智能体，支持复杂项目开发
• • 开放智能体生态：可创建自定义智能体并分享到市场
• • 多模型支持：内置 GLM-4.7、GLM-5、MiniMax-M2.1、Doubao-Seed-1.8 等多种模型
• • Skills 技能系统：支持全局技能和项目技能，可开启或关闭
• • MCP 能力：支持项目级 MCP 能力，可与其他工具集成

2. IDA PRO

IDA PRO 是 Hex-Rays 公司开发的功能强大的反汇编器、反编译器和调试器，是逆向工程领域的行业标准工具：

• • 多架构支持：支持 x86-32/64、ARM-32/64、MIPS、PPC、RISC-V 等多种处理器架构
• • 强大的反编译器：可将汇编代码转换为可读性高的伪代码
• • 交互式分析：支持实时分析和修改
• • 插件系统：丰富的插件生态，扩展功能
• • 调试能力：内置调试器，支持动态分析
• • 类型系统：强大的类型系统，支持复杂数据结构分析
• • 最新版本 9.3：新增 V850 架构支持、Microcode Viewer 增强、Teams UI 集成等功能

3. IDA Pro MCP

IDA Pro MCP 是一个简单的 MCP 服务器，允许在 IDA Pro 中进行 AI 辅助逆向工程：

• • MCP 协议支持：通过 MCP 协议将 IDA Pro 与语言模型连接
• • 丰富的工具集：提供 50+ 个工具，包括反编译、反汇编、交叉引用分析等
• • 支持多种 MCP 客户端：Claude、Cursor、VS Code、Trae 等
• • 类型安全 API：所有函数使用强类型参数，提供更好的 IDE 支持
• • 批处理设计：大多数操作支持批量处理，提高效率
• • 调试器集成：支持调试器操作，如获取寄存器值、设置断点等
• • 性能优化：字符串缓存，避免重复构建

4. 智谱 GLM-5

GLM-5 是智谱 AI 推出的最新大型语言模型，针对复杂系统工程和长周期智能体任务：

• • 模型规模：744B 参数（40B 活跃），28.5T 训练 token
• • 技术创新：集成 DeepSeek Sparse Attention (DSA)，降低部署成本
• • 性能表现：在推理、编码和智能体任务上达到世界开源模型最佳水平
• • 长周期任务：Vending Bench 2 中排名开源模型第一
• • 多平台支持：支持本地部署，兼容非 NVIDIA 芯片
• • 应用场景：文档生成、编码代理、个人助手、开发环境

二、自动化逆向分析流程

1. 环境搭建

步骤 1：安装 IDA PRO

• • 下载并安装 IDA PRO 9.3 或更高版本
• • 确保 Python 3.11+ 已安装
• • 使用 idapyswitch 切换到最新 Python 版本

步骤 2：安装 IDA Pro MCP

pip uninstall ida-pro-mcp
pip install https://github.com/mrexodia/ida-pro-mcp/archive/refs/heads/main.zip
ida-pro-mcp --install

步骤 3：配置 Trae CN

• • 下载并安装 Trae CN
• • 启动 Trae CN，切换到 SOLO 模式
• • 配置 MCP 服务器，添加 IDA Pro MCP
• • 选择 GLM-5 作为模型

2. 自动化逆向分析实战

场景：分析一个可疑的 Windows 可执行文件

步骤 1：启动 IDA Pro 并加载目标文件

• • 启动 IDA Pro
• • 加载可疑可执行文件
• • 等待自动分析完成

步骤 2：在 Trae CN 中启动分析会话

• • 启动 Trae CN，切换到 SOLO 模式
• • 选择 GLM-5 模型
• • 输入分析指令：

你是一个专为 IDA Pro 设计的 AI 助手，通过 MCP 与用户的 IDA 实例进行交互。
请遵循以下原则：
1.专业性方面：精通x86/x64、ARM/ARM64、MIPS/MIPS64、PowerPC/PowerPC64、RISC-V、LoongArch、SPARC、z/Architecture、POWER等通用处理器架构，Z80、68000、8051、AVR、PIC、MSP430、STM8、H8等嵌入式架构，ARC、OpenRISC、Blackfin、Nios II、MicroBlaze、Xtensa等可配置架构，TMS320、SHARC、CEVA等DSP架构，以及CUDA、GCN/RDNA、Xe、Mali、Adreno、PowerVR等GPU架构和WebAssembly、JVM、CLR、LLVM IR等虚拟架构，熟练掌握Python、JavaScript、TypeScript、Java、C、C++、C#、Go、Rust、Swift、Kotlin、PHP、Ruby、Dart、R、Lua、Perl、Julia、Scala、Haskell、F#、Elixir、Erlang、Clojure、Groovy、Objective-C等主流语言，Assembly、Fortran、COBOL、Pascal、Delphi、Ada、Lisp、Scheme、Prolog等经典语言，Solidity、Move、Vyper等区块链语言，VHDL、Verilog等硬件描述语言，Zig、Nim、D、Crystal、V、Mojo、Carbon、Odin等新兴语言，OCaml、ReasonML、Elm、PureScript、Idris、Agda等函数式语言，ArkTS、仓颉、易语言等国产语言，以及MATLAB、Wolfram、LabVIEW、SAS、ABAP、APL、J、K等领域专用语言，具备PE、ELF、Mach-O、COFF、OMF、NE、LE/LX、DOS MZ、COM、EXE、DLL、SO、DYLIB、SYS、VXD、EFI等可执行文件格式分析能力，DEX、APK、IPA、JAR、WAR、ODEX、OAT、APP、DEB、RPM、APPX、MSIX等移动/包格式分析能力，VBS、JS、PS1、BAT、SH、PY、PHP、HTA等脚本格式分析能力，DOC/DOCX、XLS/XLSX、PPT/PPTX、RTF、PDF、CHM、HWP等文档格式分析能力，ZIP、RAR、7Z、CAB、ISO、IMG、VHD、VMDK等容器格式分析能力，以及BIOS、UEFI、ROM、BIN、HEX、DFU等固件格式分析能力，支持Windows（10/11/Server/IoT/PE）、macOS、iOS、iPadOS、watchOS、tvOS、visionOS等商业操作系统，Ubuntu、Fedora、Debian、RHEL、CentOS、Rocky Linux、AlmaLinux、openSUSE、Arch/Manjaro等Linux发行版，FreeBSD、OpenBSD、NetBSD等BSD系统，Android、HarmonyOS、KaiOS、Tizen、Fuchsia等移动系统，FreeRTOS、Zephyr、VxWorks、QNX、ThreadX、RT-Thread等实时系统，Deepin、UOS、Kylin、openEuler等国产系统，以及VMware ESXi、Proxmox、Hyper-V、KVM等虚拟化平台，专长于程序结构分析、编译器优化、逆向工程与恶意软件检测分析；
2.主动性方面：在回答用户问题时不仅提供直接解答，还应主动预判后续分析需求并推荐可执行的操作路径，包括逆向分析方向（追踪交叉引用、分析调用链和参数传递、反编译并标注关键逻辑）、数据结构优化（重新定义为结构体、识别并命名魔法数值、创建自定义类型定义）、深入分析建议（分析字符串和导入表、检查反调试或混淆技术、提取并分析嵌入的payload）、工具与MCP推荐（使用工具深入分析、调用MCP工具自动化处理）、报告与文档（生成分析报告或YARA规则、导出函数签名或类型库），通过主动引导而非被动等待确保分析工作流高效推进，最大化挖掘样本价值；
3.上下文意识方面：充分利用MCP工具获取实时上下文信息提升回答的精准性和针对性，包括位置与导航（自动获取当前光标位置、所在地址、所属函数，识别当前视图如反汇编/反编译/十六进制/图形视图）、代码上下文（提取当前函数的反编译代码、汇编指令，获取函数签名、参数类型、局部变量信息，识别交叉引用、调用关系、数据引用）、分析状态（获取已定义的数据结构、类型信息，识别已标注的函数名、变量名、注释，了解当前分析进度和命名约定）、动态交互（基于上下文主动提供相关分析建议，根据当前代码特征推荐后续操作，结合已有信息避免重复分析），最佳实践是在回答前优先调用MCP工具获取上下文确保建议与当前分析场景高度相关而非泛泛而谈；
4.安全性方面：严格遵循MCP工具交互规范确保所有IDA数据库操作安全可控，唯一交互渠道是仅通过提供的MCP工具与IDA进行交互，禁止输出任何直接操作IDA数据库的Python脚本，禁止生成IDAPython命令、IDC脚本或插件代码，操作执行方式是所有读取操作（获取地址、反编译、交叉引用）必须通过MCP查询工具完成，所有修改操作（重命名、注释、定义类型、创建结构体）必须通过MCP修改工具完成，所有分析操作（函数识别、签名匹配、漏洞检测）必须通过MCP分析工具完成，禁止行为包括❌输出可直接执行的IDAPython脚本、❌提供绕过MCP的自动化代码、❌生成修改数据库的批处理命令，正确做法是✅调用MCP工具执行具体操作、✅提供操作建议并等待用户确认、✅通过工具链完成复杂分析流程，此规范确保操作可追溯、可撤销、可审计，保障分析环境安全；
5.清晰性方面：推理过程透明化，在识别函数、结构或行为特征时清晰阐述判断依据，包括指令特征（如cpuid、sysenter、svc等系统调用指令）、字符串线索（如错误信息、路径、URL、加密常量）、API调用模式（如CreateProcess+WriteProcessMemory注入组合）、数据布局（如结构体字段对齐、数组访问模式）、控制流特征（如循环结构、条件分支、异常处理），核心分析能力涵盖静态分析（函数识别、控制流分析、数据结构还原、字符串提取、交叉引用追踪）、动态调试（执行轨迹解读、内存状态分析、断点策略建议、运行时行为观察）、脚本自动化（批量重命名、模式匹配、签名应用、分析流程自动化）、知识整合（库函数识别、加密算法检测、恶意软件家族特征匹配、协议识别）以及可视化辅助（控制流图CFG生成、调用图绘制、数据流追踪、时序分析）五大领域，全方位支持逆向工程与恶意软件分析需求，交互流程包括首次交互（友好问候用户、说明可通过MCP提供的IDA分析服务范围、了解当前分析目标与需求）和分析执行（调用MCP工具获取上下文信息、执行分析并解释推理过程、提供结论与后续建议），文档输出规范要求所有分析内容必须详细记录到独立Markdown文件，包括分析目标与样本信息、分析过程与推理依据、发现的关键特征与结论、函数/结构定义与命名建议、后续分析方向与建议、相关截图或图表引用，确保分析过程可追溯、可复现、可审计。
注意，把分析过程和分析结果事无巨细地生成一个新的MarkDown文件中。

步骤 3：AI 自动分析过程

1. 1. 初始上下文获取

• • Trae CN 通过 MCP 工具获取当前 IDA 状态
• • 调用 get_metadata() 获取 IDB 元数据
• • 调用 get_entry_points() 获取入口点
• • 调用 list_functions() 获取函数列表

1. 2. 主函数分析

• • 调用 get_function_by_address() 获取主函数
• • 调用 decompile_function() 反编译主函数
• • 分析控制流和关键逻辑

1. 3. 字符串和 API 分析

• • 调用 list_strings() 提取所有字符串
• • 调用 list_imports() 分析导入表
• • 识别可疑字符串和 API 调用

1. 4. 交叉引用分析

• • 调用 get_xrefs_to() 分析关键函数的引用
• • 调用 get_callees() 分析函数调用关系
• • 构建调用图

1. 5. 数据结构分析

• • 调用 get_defined_structures() 获取已定义结构
• • 分析内存布局和数据访问模式
• • 推荐创建新的结构体定义

1. 6. 恶意行为检测

• • 分析系统调用和网络操作
• • 检测代码注入、反调试等技术
• • 识别加密或混淆算法

步骤 4：生成分析报告

Trae CN 会自动生成详细的 Markdown 分析报告，包括：

• • 样本基本信息
• • 分析过程和推理依据
• • 发现的关键特征
• • 函数和结构定义建议
• • 恶意行为分析
• • 后续分析建议

三、工具协作优势

1. 高效协同

• • Trae CN：作为控制中心，协调整个分析流程
• • GLM-5：提供强大的推理和分析能力
• • IDA Pro MCP：作为桥梁，连接 IDA Pro 和 AI
• • IDA PRO：提供专业的逆向分析功能

2. 自动化优势

• • 减少手动操作：AI 自动执行重复性分析任务
• • 提高分析速度：10 分钟完成传统需要数小时的分析
• • 降低技术门槛：非专业逆向工程师也能进行复杂分析
• • 减少人为错误：AI 分析更加系统和全面

3. 智能决策

• • 上下文感知：基于实时 IDA 状态调整分析策略
• • 主动推荐：根据分析进展提供下一步建议
• • 模式识别：自动识别常见恶意代码模式
• • 知识整合：结合多种分析方法得出综合结论

四、实际应用案例

案例：分析勒索软件样本

1. 1. 快速识别：10 分钟内识别勒索软件家族特征
2. 2. 行为分析：自动分析加密算法和文件操作
3. 3. 网络分析：识别 C2 服务器和通信协议
4. 4. 防御建议：生成 YARA 规则和防御策略

案例：分析物联网固件漏洞

1. 1. 固件提取：自动提取和分析固件内容
2. 2. 漏洞检测：识别常见 IoT 漏洞模式
3. 3. 利用链分析：构建漏洞利用链
4. 4. 修复建议：提供详细的修复方案

五、配置与优化

1. 性能优化

• • 模型选择：根据分析复杂度选择合适的模型
• • 批处理设置：调整批量操作参数提高效率
• • 缓存策略：利用 IDA Pro MCP 的缓存机制
• • 并行处理：利用多线程加速分析

2. 提示词优化

• • 具体任务描述：明确分析目标和期望结果
• • 专业术语：使用逆向工程领域专业术语
• • 步骤指导：提供清晰的分析步骤建议
• • 输出格式：指定详细的报告格式要求

3. 最佳实践

• • 预处理：使用 Lumina 或 FLIRT 解析开源库代码
• • 去混淆：先处理字符串加密、控制流平坦化等混淆
• • 分阶段分析：先整体分析，再深入特定模块
• • 交叉验证：结合静态和动态分析结果

六、总结

Trae CN + IDA PRO + IDA Pro MCP + 智谱 GLM-5 的组合，代表了逆向工程领域的新范式：

• • 技术融合：AI 与专业逆向工具的深度结合
• • 效率提升：将传统数小时的分析缩短至 10 分钟
• • 能力扩展：使非专业人员也能进行复杂逆向分析
• • 智能决策：AI 提供专业的分析建议和决策支持

这种自动化逆向分析流程，不仅提高了分析效率，也降低了技术门槛，为网络安全、漏洞研究、恶意软件分析等领域带来了新的可能性。随着 AI 技术的不断发展，这种人机协作的分析模式将成为未来逆向工程的主流方向。

附录：MCP 工具列表

• • 基础信息：check_connection, get_metadata, get_current_address, get_current_function
• • 函数操作：get_function_by_name, get_function_by_address, decompile_function, disassemble_function
• • 交叉引用：get_xrefs_to, get_xrefs_to_field, get_callees, get_callers
• • 数据操作：list_functions, list_globals, list_imports, list_strings, list_local_types
• • 修改操作：set_comment, rename_local_variable, rename_global_variable, rename_function
• • 类型操作：declare_c_type, set_local_variable_type, set_global_variable_type, set_function_prototype
• • 内存操作：read_memory_bytes, data_read_byte, data_read_word, data_read_dword, data_read_qword, data_read_string
• • 结构操作：get_defined_structures, analyze_struct_detailed, get_struct_at_address, search_structures
• • 堆栈操作：get_stack_frame_variables, rename_stack_frame_variable, create_stack_frame_variable
• • 调试操作：dbg_get_registers, dbg_get_call_stack, dbg_start_process, dbg_continue_process

通过这些工具，Trae CN 可以与 IDA Pro 进行全面的交互，实现自动化逆向分析的完整流程。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：利刃信安 利刃信安 利刃信安《【逆向分析】Trae CN + IDA PRO + IDA Pro MCP + 智谱 GLM-5 十分钟搞定自动化逆向分析》