Capstone es un framework de desensamblado de código máquina concebido como motor de referencia para el análisis binario y la ingeniería inversa en la comunidad de seguridad. Desarrollado en C puro y distribuido bajo licencia BSD de código abierto, expone una API neutra respecto a la arquitectura, ligera, intuitiva y thread-safe, apta para integrarse en proyectos de firmware, módulos de kernel o herramientas de reversing.
El proyecto soporta un amplio abanico de arquitecturas: ARM, ARM64 (ARMv8), BPF, Ethereum VM, M68K, M680X, MIPS, MOS65XX, PowerPC, RISC-V, SH, SPARC, SystemZ, TMS320C64X, TriCore, WebAssembly, XCore y x86 en sus variantes de 16, 32 y 64 bits. Además de devolver la instrucción desensamblada, Capstone aporta metadatos semánticos —como los registros implícitos leídos y escritos en cada operación— especialmente útiles en análisis de malware.
Ofrece enlaces oficiales para más de 20 lenguajes (Python, Ruby, Java, Go, C#, Node.js, C++, Rust, OCaml, Lua, Delphi, Haskell, Perl, PHP, entre otros) y funciona de forma nativa en Windows, macOS, iOS, Android, Linux, *BSD y Solaris. Su bajo consumo y modularidad lo hacen adecuado para entornos restringidos.
La comunidad de reversing lo respalda con testimonios de investigadores como George "Geohot" Hotz, Felix "FX" Lindner, Bruce Dang, Joxean Koret y Ange Albertini, que lo califican como el estándar de facto en motores de desensamblado. Los detalles técnicos se presentaron en Black Hat USA 2014.
En 2025-2026 la actividad ha sido intensa: la rama 6.0.0 ha avanzado desde Alpha5 hasta Alpha9, con mejoras en RISC-V, x86, M68K y M680X (soporte ColdFire), SPARC actualizado a LLVM 18, instrucciones propietarias AArch64 de Apple, ruedas Python ABI3 y parches para las advisories GHSA-5m9f-vqcm-g5pr y GHSA-jrw4-wj52-2vw8. La rama estable 5.0.7-5.0.9 incorpora backports de CVE-2025-68114 y CVE-2025-67873, correcciones de compilación con CMake 4 y optimizaciones de velocidad en la decodificación x86.