analyzing-linux-kernel-rootkits

使用 Volatility3 Linux 插件(check_syscall、lsmod、hidden_modules)分析 Linux 内存转储,结合 rkhunter 系统扫描和 /proc 与 /sys 差异分析,检测 hooked syscall、隐藏内核模块和被篡改的系统结构,以识别内核级 rootkit。

9 stars

Best use case

analyzing-linux-kernel-rootkits is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Volatility3 Linux 插件(check_syscall、lsmod、hidden_modules)分析 Linux 内存转储,结合 rkhunter 系统扫描和 /proc 与 /sys 差异分析,检测 hooked syscall、隐藏内核模块和被篡改的系统结构,以识别内核级 rootkit。

Teams using analyzing-linux-kernel-rootkits should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-linux-kernel-rootkits/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-linux-kernel-rootkits/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-linux-kernel-rootkits/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-linux-kernel-rootkits Compares

Feature / Agentanalyzing-linux-kernel-rootkitsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Volatility3 Linux 插件(check_syscall、lsmod、hidden_modules)分析 Linux 内存转储,结合 rkhunter 系统扫描和 /proc 与 /sys 差异分析,检测 hooked syscall、隐藏内核模块和被篡改的系统结构,以识别内核级 rootkit。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 分析 Linux 内核 Rootkit

## 概述

Linux 内核 rootkit 在 ring 0 层级运行,通过修改内核数据结构来对用户态工具隐藏进程、文件、网络连接和内核模块。检测方法需要使用内存取证(使用 Volatility3 分析物理内存转储)或交叉视图分析(比对 /proc、/sys 和内核数据结构的不一致性)。本 skill 涵盖使用 Volatility3 Linux 插件检测 syscall 表 hook、隐藏内核模块和被修改的函数指针,以及使用 rkhunter 和 chkrootkit 进行实时系统扫描。

## 前置条件

- 已安装 Volatility3(pip install volatility3)
- Linux 内存转储(通过 LiME、AVML 或 /proc/kcore 获取)
- 与目标内核版本匹配的 Volatility3 Linux 符号表(ISF)
- 用于实时系统扫描的 rkhunter 和 chkrootkit
- 用于比对的已知良好内核镜像

## 步骤

### 步骤 1:获取内存转储
使用 LiME 内核模块或针对云实例的 AVML 捕获 Linux 物理内存。

### 步骤 2:使用 Volatility3 分析
运行 linux.check_syscall、linux.lsmod、linux.hidden_modules 和 linux.check_idt 插件以检测 rootkit 痕迹。

### 步骤 3:交叉视图分析
比较来自 /proc/modules、lsmod 和 /sys/module 的模块列表,识别在某一视图中隐藏但在另一视图中存在的模块。

### 步骤 4:实时系统扫描
运行 rkhunter 和 chkrootkit,检测已知 rootkit 特征、可疑文件和被修改的系统二进制文件。

## 预期输出

JSON 报告,包含检测到的 syscall hook、隐藏内核模块、被修改的 IDT 条目、可疑的 /proc 差异以及 rkhunter 发现。

Related Skills

performing-privilege-escalation-on-linux

9
from killvxk/cybersecurity-skills-zh

Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。

performing-linux-log-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

对 Linux 系统日志(包括 syslog、auth.log、systemd journal、kern.log 和应用程序日志)进行取证调查,以重建用户活动、检测未授权访问并在被入侵的 Linux 系统上建立事件时间线。

hardening-linux-endpoint-with-cis-benchmark

9
from killvxk/cybersecurity-skills-zh

使用 CIS Benchmark 建议对 Ubuntu、RHEL 和 CentOS 的 Linux 端点进行加固, 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Linux 服务器、修复审计发现 或为 Linux 基础设施建立安全基线的场景。

analyzing-windows-shellbag-artifacts

9
from killvxk/cybersecurity-skills-zh

分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。

analyzing-windows-registry-for-artifacts

9
from killvxk/cybersecurity-skills-zh

提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。

analyzing-windows-prefetch-with-python

9
from killvxk/cybersecurity-skills-zh

使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。

analyzing-windows-lnk-files-for-artifacts

9
from killvxk/cybersecurity-skills-zh

解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。

analyzing-windows-event-logs-in-splunk

9
from killvxk/cybersecurity-skills-zh

在 Splunk 中分析 Windows Security、System 和 Sysmon 事件日志,使用映射到 MITRE ATT&CK 技术的 SPL 查询检测身份验证攻击、权限提升(Privilege Escalation)、持久化(Persistence)机制和横向移动 (Lateral Movement)。适用于 SOC 分析师调查基于 Windows 的威胁、构建检测查询,或对 Windows 终端和域控制器执行取证时间线分析。

analyzing-windows-amcache-artifacts

9
from killvxk/cybersecurity-skills-zh

解析并分析 Windows Amcache.hve 注册表配置单元(Registry Hive),提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史,用于数字取证(Digital Forensics)和事件响应(Incident Response)调查。

analyzing-web-server-logs-for-intrusion

9
from killvxk/cybersecurity-skills-zh

解析 Apache 和 Nginx 访问日志,检测 SQL 注入(SQL Injection)尝试、本地文件包含(Local File Inclusion)、 目录遍历(Directory Traversal)、Web 扫描器指纹及暴力破解(Brute Force)模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源, 以及针对请求频率和响应大小异常值的统计异常检测。

analyzing-usb-device-connection-history

9
from killvxk/cybersecurity-skills-zh

从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史,以追踪可移动存储设备的使用情况和潜在的数据外泄行为。

analyzing-typosquatting-domains-with-dnstwist

9
from killvxk/cybersecurity-skills-zh

使用 dnstwist 生成域名置换变体并识别针对您所在组织已注册的仿冒域名,从而检测域名抢注(Typosquatting)、同形字符钓鱼和品牌冒充域名。