Analyzes Linux memory dumps using Volatility3 plugins (check_syscall, lsmod, hidden_modules), rkhunter scans, and /proc-/sys diffs to detect kernel rootkits via hooked syscalls, hidden modules, and tampered structures.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
Linux 内核 rootkit 在 ring 0 层级运行,通过修改内核数据结构来对用户态工具隐藏进程、文件、网络连接和内核模块。检测方法需要使用内存取证(使用 Volatility3 分析物理内存转储)或交叉视图分析(比对 /proc、/sys 和内核数据结构的不一致性)。本 skill 涵盖使用 Volatility3 Linux 插件检测 syscall 表 hook、隐藏内核模块和被修改的函数指针,以及使用 rkhunter 和 chkrootkit 进行实时系统扫描。
Detects Linux kernel rootkits in memory dumps using Volatility3 plugins (check_syscall, lsmod, hidden_modules), rkhunter scanning, and /proc vs /sys analysis for syscall hooks and hidden modules.
Detects Linux kernel rootkits in memory dumps using Volatility3 plugins (check_syscall, lsmod, hidden_modules), rkhunter scanning, and /proc vs /sys analysis for hooked syscalls, hidden modules, and tampered structures. Useful for security incident investigations and threat hunting.
Detects rootkits on compromised systems by identifying hidden processes, hooked syscalls, modified kernel structures, hidden files, and covert connections using memory forensics, cross-view detection, and integrity checks.
Share bugs, ideas, or general feedback.
Linux 内核 rootkit 在 ring 0 层级运行,通过修改内核数据结构来对用户态工具隐藏进程、文件、网络连接和内核模块。检测方法需要使用内存取证(使用 Volatility3 分析物理内存转储)或交叉视图分析(比对 /proc、/sys 和内核数据结构的不一致性)。本 skill 涵盖使用 Volatility3 Linux 插件检测 syscall 表 hook、隐藏内核模块和被修改的函数指针,以及使用 rkhunter 和 chkrootkit 进行实时系统扫描。
使用 LiME 内核模块或针对云实例的 AVML 捕获 Linux 物理内存。
运行 linux.check_syscall、linux.lsmod、linux.hidden_modules 和 linux.check_idt 插件以检测 rootkit 痕迹。
比较来自 /proc/modules、lsmod 和 /sys/module 的模块列表,识别在某一视图中隐藏但在另一视图中存在的模块。
运行 rkhunter 和 chkrootkit,检测已知 rootkit 特征、可疑文件和被修改的系统二进制文件。
JSON 报告,包含检测到的 syscall hook、隐藏内核模块、被修改的 IDT 条目、可疑的 /proc 差异以及 rkhunter 发现。