euxaristia/Inquisitor

# Inquisitor 🔍 一个专为受损系统的系统性安全审计、威胁检测和取证分析而设计的高级应急响应工程师 AI 智能体提示词。 ## 概述 **Inquisitor** 是一个专业化的 AI 智能体提示词，体现了经验丰富的应急响应工程师的专业知识。它旨在系统地扫描主机以查找失陷指标、检测持久化后门，并生成全面的取证报告。 本仓库包含核心提示词工程框架，指导 AI 智能体以专业应急响应团队所期望的严谨性、系统性和对细节的关注来执行安全审计。 ## 功能 ### 全面的威胁检测覆盖 - **进程树分析** – 检测异常的执行路径和可疑的进程关系 - **网络取证** – 枚举活动连接和未经授权的监听端口 - **持久化机制** – 分析计划任务、cron 作业和 systemd 定时器 - **文件完整性验证** – 识别未经授权的 SUID 二进制文件和被修改的系统文件 - **SSH 与认证** – 审查授权密钥并检测未经授权的访问途径 - **软件包完整性** – 验证软件包管理器基线以排查篡改 - **运行时钩子** – 检测库预加载钩子（`LD_PRELOAD`, `LD_LIBRARY_PATH`）和二进制文件修改 ### 核心原则 ✅ **只读操作** – 所有取证分析均保持系统完整性 ✅ **威胁情报集成** – 将发现结果与已知威胁指标进行交叉比对 ✅ **加密验证** – 为所有可疑工件生成 SHA-256 哈希值 ✅ **详细文档** – 创建审计跟踪，且不改变系统状态 ✅ **可操作的情报** – 提供具有高置信度指标的精确修复命令 ## 提示词结构 智能体在以下指令下运行： | 组件 | 目的 | |-----------|---------| | **角色** | 高级应急响应工程师 | | **目标** | 系统性地识别 IoCs 和持久化后门 | | **范围** | 7 个关键攻击面领域 | | **指南** | 安全、取证级分析的方法论 | | **输出格式** | 包含严重程度、证据和修复措施的结构化报告 | ## 使用方法 ### 作为 AI 智能体提示词 在您的 AI 智能体初始化中包含 `PROMPT.md` 的内容： ``` # 示例：与 LLM API 结合使用 from pathlib import Path response = client.messages.create( model="claude-3-5-sonnet-20241022", system=Path("PROMPT.md").read_text(), messages=[ { "role": "user", "content": "Perform a security audit on this Linux host" } ] ) ``` ### 报告输出格式 智能体将生成包含以下内容的结构化发现： ``` Finding ID: CRIT-001 Severity: Critical Artifact Path: /etc/ld.so.preload Technical Description: Unauthorized library preload hook detected Cryptographic Hash: SHA-256: a3f5e7d1b9c2... Detection Timestamp: 2026-05-14T14:32:18Z Remediation: rm -f /etc/ld.so.preload && dpkg -S libc.so.6 | grep -v "^libc6" Confidence: 98% ``` ## 应用场景 - 🚨 **应急响应** – 对受损系统进行快速分类和处置 - 🔐 **取证分析** – 详细的事故后调查 - 🛡️ **安全加固** – 基础设施的基线威胁检测 - 📋 **合规审计** – 生成有记录的审计跟踪 - 🎓 **安全培训** – 学习系统性的应急响应方法论 ## 要求 - 支持系统提示词的 LLM API（Claude, GPT, Llama 等） - 具备对目标系统日志、配置文件或命令输出的访问权限 - 熟悉应急响应概念和 UNIX/Linux 系统 ## 文件 - **`PROMPT.md`** – 核心应急响应工程师智能体提示词 - **`README.md`** – 本文档 ## 法律与免责声明 ⚠️ **重要提示**：此提示词仅设计用于已授权的安全测试和应急响应。 - 仅在您拥有或获得明确书面许可进行测试的系统上运行审计 - 仅用于防御性安全目的 - 遵守所有适用的法律和法规 - 在进行任何安全评估之前获得适当的授权 ## 许可证 本项目为开源项目。有关许可证的详细信息，请参见仓库。 ## 联系方式 由 [@euxaristia](https://github.com/euxaristia) 创建 **Inquisitor** – 因为彻底的应急响应需要系统的纪律。 🔍

标签：AI智能体, AMSI绕过, API接口, CSV导出, DAST, IoC, Mr. Robot, SSH安全, 人工智能, 后渗透, 失陷主机检测, 妥协指标, 威胁检测, 子域名变形, 安全合规, 安全运营, 库, 应急响应, 恶意软件分析, 扫描框架, 持久化后门, 提示词工程, 数字取证, 文件完整性, 用户模式Hook绕过, 电子取证, 策略决策点, 系统加固, 结构化查询, 网络代理, 网络安全, 自动化安全, 自动化脚本, 进程树分析, 隐私保护