InnerWarden/forensic
GitHub: InnerWarden/forensic
一款零依赖的 Linux 静态取证二进制工具,直接解析 /proc 绕过用户态 hook,快速发现隐藏进程、rootkit、无文件恶意软件和 C2 连接。
Stars: 0 | Forks: 0
# InnerWarden Forensic
**只需丢下一个二进制文件。即可揪出攻击者。** 专为 Linux 打造的实时取证分析工具——零依赖,免安装。
```
scp innerwarden-forensic root@suspect:/tmp/
ssh root@suspect /tmp/innerwarden-forensic
```
## 它能发现什么
| 类别 | 内容 | 方式 |
|----------|------|-----|
| **隐藏进程** | 被 rootkit 隐藏的进程 | 暴力遍历 /proc/[PID] 与 readdir 比对 |
| **无文件恶意软件** | 仍在运行的已删除二进制文件 | /proc/PID/exe → "(deleted)" |
| **LD_PRELOAD 注入** | 库劫持 | 扫描 /proc/PID/environ |
| **C2 连接** | 后门网络连接 | 直接解析 /proc/net/tcp(绕过被 hook 的 netstat) |
| **可疑监听** | 后门端口 | 监听已知恶意端口(4444, 6667, 31337...) |
| **memfd 载荷** | 内存执行 | /proc/PID/fd → memfd: 链接 |
| **RWX 内存** | Shellcode 区域 | 带有 rwxp 权限的 /proc/PID/maps |
| **Rootkit 模块** | 已知的 LKM rootkit | /proc/modules 与已知名称对比(Diamorphine, Reptile...) |
| **文件篡改** | 被修改的系统文件 | /etc/passwd, shadow, sudoers, sshd_config 的 mtime |
| **全局 LD preload** | 系统级劫持 | /etc/ld.so.preload 非空 |
| **加壳二进制文件** | /tmp 中的加密恶意软件 | 可执行文件的 Shannon 熵值 > 7.5 |
| **临时目录可执行文件** | 恶意软件投放位置 | /tmp, /dev/shm, /var/tmp 中的可执行文件 |
## 为什么不直接使用现有工具?
`ps`, `netstat`, `lsof`, `ls` —— rootkit 会通过 `getdents` 系统调用操纵来 hook 所有这些工具。本工具直接读取 `/proc` 条目,从而绕过用户态 hooks。
## 输出
```
╔══════════════════════════════════════════════╗
║ InnerWarden Forensic — Live System Analysis ║
╚══════════════════════════════════════════════╝
Host: compromised-server
Processes: 142 visible, 1 hidden
Connections: 47
Suspicious: 3
── CRITICAL (2) ──
✗ [hidden_process] Hidden process PID 4321
Process 4321 exists in /proc but is NOT listed by readdir.
A rootkit is hiding it. comm=kworker_evil, exe=/tmp/.x (deleted)
✗ [suspicious_connection] Connection to suspicious port 4444
tcp4 ESTABLISHED → remote port 4444 (Metasploit default).
Local: 10.0.0.5:38271, Remote: 185.x.x.x:4444
```
使用 `--json` 获取机器可读的输出格式。
## 安装
```
# 构建 static binary
cargo build --release --target x86_64-unknown-linux-musl
# 或用于 ARM
cargo build --release --target aarch64-unknown-linux-musl
```
生成的约 2MB 二进制文件没有任何运行时依赖。
[InnerWarden](https://innerwarden.com) 安全生态系统的一部分。
标签:API接口, C2连接检测, DAST, DeepSeek, DNS 反向解析, DNS 解析, ELF二进制, Golang开发, HTTP请求, LD_PRELOAD注入, Linux取证, memfd_create, /proc文件系统, RWX内存扫描, SecList, 内存取证, 内存执行检测, 动态分析, 可视化界面, 后门检测, 子域名变形, 子域名枚举, 库, 应急响应, 恶意软件分析, 文件篡改检测, 无文件恶意软件, 熵值分析, 端口监听检测, 系统安全, 网络信息收集, 网络安全, 通知系统, 隐私保护, 隐藏进程, 零依赖, 静态二进制