ReVa - 用于 AI 驱动逆向工程的 Ghidra MCP 服务器

一个为 AI 辅助逆向工程提供 Model Context Protocol (MCP) 服务器的 Ghidra 扩展

ReVa（逆向工程助手）是一个 Ghidra MCP 服务器，它使 AI 语言模型能够与 Ghidra 强大的逆向工程功能进行交互。ReVa 使用最先进的技术来限制 上下文腐烂，并支持长篇幅的逆向工程任务。

ReVa 与其他构建 RE 任务 AI 助手的努力不同，因为它采用了一种 工具驱动的方法，专注于设计用于有效使用 LLM 的工具。ReVa 旨在为 LLM 提供各种小型工具，就像你的逆向工程环境为你提供一系列小工具一样。

提供给 LLM 的每个工具都设计得易于使用，并且能够容忍多种输入，同时减少 LLM 的幻觉现象。我们通过为 LLM 提供模式定义，但同时允许其他形式的输入（包括引导 LLM 的描述），并将可纠正的错误重新导向 LLM，以及包含额外的输出来指导 LLM 的下一步决策，从而实现这一目标。

ReVa 的工具与其他解决方案不同，它们提供更小、更关键的片段，并辅以强化信息和其他相关信息的链接，以减少上下文使用和幻觉现象。这大大提高了性能，尤其是在处理长篇幅的逆向工程任务时。这也使得 ReVa 能够处理大型二进制文件，甚至整个固件映像。

为了鼓励像人类一样进行探索，我们在反编译结果中会报告命名空间和交叉引用等附加上下文信息，这是一种小小的提示，让 LLM 能够像人类一样探索二进制文件。

使用这种技术，你可以提出一般性问题并获得相关答案。模型会优先使用来自工具的信息，但在没有相关信息的情况下，它仍然可以根据自身的训练回答通用问题。

作为 MCP 服务器，ReVa 可以与其他 MCP 服务器一起使用，以丰富其分析内容。例如，你可以使用 GitHub MCP 服务器，让 ReVa 访问 GitHub 上的源代码；或者使用 Kagi MCP 服务器，让 ReVa 在网络上进行搜索。

你可以提出如下问题：

• 检查该项目中的程序，并解释主二进制文件与共享库之间的关系。
• 这个程序中有哪些有趣的字符串？
• 这个程序是否使用了加密？请用 Markdown 格式撰写一份关于加密及其使用位置的报告。
• 使用 PlantUML 语法绘制类图。
• 从 main 函数开始，详细检查该程序。在检查过程中重命名变量，并提供该程序的摘要。
• 解释 __mod_init 段的作用。
• mmap 函数返回什么？
• 地址 0x80000 处的函数是做什么的？
• 这是一道 CTF 题。请编写一个 pwntools 脚本以获取 flag。

安装

注意：ReVa 仅支持 Ghidra 12.0 及以上版本！

ReVa 是一个 Ghidra 扩展。要安装它，你可以从发布页面下载适用于你所使用的 Ghidra 版本的发行版，并使用 Ghidra 扩展管理器进行安装。

或者，你也可以从源代码构建它。为此，克隆仓库并运行以下命令：

export GHIDRA_INSTALL_DIR=/path/to/ghidra
gradle install

安装扩展后，你需要在两个地方将其激活：

1. 在项目视图中，打开“文件”菜单并选择“配置”。点击菜单右上角的“配置所有插件”按钮（看起来像一个插头）。勾选“ReVa Application Plugin”。
2. 在代码浏览器工具中（点击龙图标或打开一个文件），打开“文件”菜单并选择“配置”。点击菜单右上角的“配置所有插件”按钮（看起来像一个插头）。勾选“ReVa Plugin”。然后点击“文件”并选择“保存工具”。这将默认启用 ReVa。

使用

有两种方式可以使用 ReVa：通过 Ghidra 界面的助理模式，或无头模式。无头模式非常适合自动化和 CI/CD 流水线，而助理模式则非常适合交互式分析。

在助理模式下，ReVa 会连接到你正在运行的 Ghidra，并能与你一起处理项目。它可以实时地在同一文件或项目的其他文件上工作。这对于深入分析非常有用，ReVa 可以帮助识别算法、重命名变量、修复数据类型，以及完成许多其他分析任务。

在无头模式下，ReVa 不需要 Ghidra 界面即可运行。这在自动化、CI/CD 流水线中，或者当你希望在流水线中运行 ReVa 时非常有用。ReVa 会为你自动启动 Ghidra 和项目。无头模式下的项目是临时性的（会话范围内的），并且会自动清理。当你不需要 Ghidra 界面，而希望 ReVa 独立工作时，这种方式非常实用。

你可以在 MCP 客户端的 MCP 配置中选择使用哪种模式。

助理模式

在助理模式下，你需要运行已安装 ReVa 的 Ghidra，并将你的 MCP 客户端连接到 Ghidra 中运行的 ReVa MCP 服务器。首先必须启动 Ghidra 并打开一个项目。

ReVa 使用 流式 MCP 传输，默认监听端口 8080，你可以在项目视图的 Ghidra 设置中更改此端口。这允许多个客户端连接到同一个界面，以便进行交互式使用。

Claude Code

Claude Code 是推荐用于 ReVa 的客户端，性能极佳，并且能够很好地处理大型二进制文件和项目。

claude mcp add --scope user --transport http ReVa -- http://localhost:8080/mcp/message

当你在 Ghidra 打开的情况下使用 claude 命令时，它会连接到 ReVa MCP 服务器。你可以通过在 Claude Code 聊天中输入 /mcp 来检查是否已连接。

为了默认启用所有 ReVa 命令，并避免每次使用工具时都需要确认，你可以在 Claude Code 中使用 /permissions 命令，添加一条针对 mcp__ReVa 的规则。这样 ReVa 就可以在无需你每次授权的情况下使用所有工具。

VSCode

VSCode 内置了 MCP 客户端，配置说明可以在 GitHub Copilot 文档 中找到。

{
  "mcp": {
    "servers": {
      "ReVa Assistant": {
        "type": "http",
        "url": "http://localhost:8080/mcp/message"
      }
    }
  }
}

无头模式

ReVa 可以在无 GUI 的 Ghidra 无头模式下运行，这使其非常适合：

• 自动化 - CI/CD 流水线和自动化分析
• Docker - 容器化的逆向工程工作流程
• PyGhidra - 基于 Python 的自动化

Claude Code

# 设置 Ghidra 安装目录，这必须始终在您的环境变量中
export GHIDRA_INSTALL_DIR=/path/to/ghidra
uv 工具安装 reverse-engineering-assistant
claude mcp 添加 --作用域 用户 ReVa -- mcp-reva

claude -p "使用 ReVa 导入 /bin/ls，并告诉我它是如何工作的"

项目将在当前工作目录下的 .reva/projects/ 中创建。 如果您在同一目录下运行 claude，可以将多个文件导入到同一个项目中。只需让 ReVa 处理新文件即可。

PyGhidra 集成

您也可以直接从 PyGhidra 脚本中使用 ReVa：

import pyghidra
pyghidra.start()

from reva.headless import RevaHeadlessLauncher

# 启动服务器
launcher = RevaHeadlessLauncher()
launcher.start()

if launcher.waitForServer(30000):
    print(f"服务器已在端口 {launcher.getPort()} 上准备就绪")
    # ... 您的分析代码以及代理 ...
    
launcher.stop()

Claude 代码市场

ReVa 仓库包含一个 Claude 代码市场和插件，以使 ReVa 的使用更加便捷。这些包括技能和脚本，帮助 ReVa 更好地与 Claude 代码配合使用。

您可以使用以下命令进行安装：

claude plugin marketplace add cyberkaida/reverse-engineering-assistant

这会将 ReVa 技能 添加到您的 Claude 代码安装中。

• 二进制初步分析
• 深度分析
• 加密分析
• CTF 指南

我还会随着时间的推移添加更多技能，以帮助完成逆向工程任务。

支持

您喜欢我的工作吗？想支持这个项目及其他项目吗？对该项目的设计与构建过程感兴趣吗？ 这个项目及许多其他项目都在我的直播频道 https://twitch.tv/cyberkaida 上实时开发！

ReVa (Reverse Engineering Assistant) 快速上手指南

ReVa 是一个基于 Ghidra 的 MCP（Model Context Protocol）服务器，旨在让 AI 语言模型能够与 Ghidra 强大的逆向工程能力进行交互。它采用“工具驱动”方法，通过提供小型、精确的工具片段来减少 AI 幻觉，特别适用于长周期的逆向分析任务和大体积二进制文件。

环境准备

在开始之前，请确保满足以下系统要求和依赖：

• Ghidra 版本：必须安装 Ghidra 12.0 或更高版本（低版本不支持）。
• 构建工具：如果选择源码编译，需要安装 Gradle。
• AI 客户端：推荐使用 Claude Code，也支持配置了 MCP 功能的 VSCode 或其他 MCP 客户端。
• 环境变量：需设置 GHIDRA_INSTALL_DIR 指向你的 Ghidra 安装路径。

安装步骤

你可以通过下载预编译包或源码编译两种方式安装。

方法一：使用扩展管理器（推荐）

1. 前往项目的 Releases 页面，下载对应你 Ghidra 版本的发布包。
2. 打开 Ghidra，进入 File -> Install Extensions...。
3. 点击绿色加号图标，选择下载的压缩包进行安装。
4. 重启 Ghidra。

方法二：源码编译安装

克隆仓库并执行以下命令：

export GHIDRA_INSTALL_DIR=/path/to/ghidra
gradle install

激活插件

安装完成后，需要在两个位置启用 ReVa：

1. 项目视图 (Project View)：

   • 点击 File -> Configure。
   • 点击右上角的插头图标 ("Configure all plugins")。
   • 勾选 "ReVa Application Plugin"。

2. 代码浏览器 (Code Browser)：

   • 打开任意文件或点击 Dragon 图标进入 Code Browser。
   • 点击 File -> Configure。
   • 点击右上角的插头图标 ("Configure all plugins")。
   • 勾选 "ReVa Plugin"。
   • 点击 File -> Save Tool 以默认启用该插件。

基本使用

ReVa 支持两种运行模式：助手模式 (Assistant Mode)（带图形界面，适合交互式分析）和 无头模式 (Headless Mode)（无图形界面，适合自动化/CI/CD）。

模式一：助手模式 (交互式分析)

此模式下，ReVa 连接到正在运行的 Ghidra GUI，适合深度人工辅助分析。

1. 启动 Ghidra：打开包含目标二进制文件的项目。
2. 配置 MCP 客户端：ReVa 默认监听 8080 端口。

使用 Claude Code (推荐)

在终端执行以下命令添加 ReVa 服务：

claude mcp add --scope user --transport http ReVa -- http://localhost:8080/mcp/message

• 验证连接：在 Claude Code 聊天中输入 /mcp 查看状态。
• 授权工具：为避免每次调用工具都需确认，输入 /permissions 并为 mcp__ReVa 添加允许规则。

使用 VSCode

在 VSCode 的用户设置 (settings.json) 中添加以下配置：

{
  "mcp": {
    "servers": {
      "ReVa Assistant": {
        "type": "http",
        "url": "http://localhost:8080/mcp/message"
      }
    }
  }
}

使用示例： 连接成功后，你可以直接询问：

"Examine the programs in this project and explain the relationship between the main binary and the shared libraries." "Does this program use encryption? Write a markdown report on the encryption and where it is used."

---

模式二：无头模式 (自动化/脚本)

此模式无需启动 Ghidra 图形界面，适合集成到 CI/CD 流水线或 Docker 容器中。

使用 Claude Code 命令行

首先设置环境变量并安装工具：

export GHIDRA_INSTALL_DIR=/path/to/ghidra
uv tool install reverse-engineering-assistant
claude mcp add --scope user ReVa -- mcp-reva

直接通过命令行发起分析任务（会自动创建临时项目）：

claude -p "Import /bin/ls with ReVa and tell me how it works"

项目文件将保存在当前目录的 .reva/projects/ 文件夹中。

使用 PyGhidra 集成

你可以在 Python 脚本中直接启动 ReVa 服务器：

import pyghidra
pyghidra.start()

from reva.headless import RevaHeadlessLauncher

# 启动服务器
launcher = RevaHeadlessLauncher()
launcher.start()

if launcher.waitForServer(30000):
    print(f"Server ready on port {launcher.getPort()}")
    # ... 在此处编写你的 Agent 分析代码 ...

launcher.stop()

增强功能 (可选)

为了获得更好的体验，可以安装 ReVa 专用的 Claude Code 技能包（包含二进制分类、深度分析、密码学分析等技能）：

claude plugin marketplace add cyberkaida/reverse-engineering-assistant