IKKARDOLAMAS/Threat-Hunting-Audit-Lab

# 取证审计：Rootkit 检测与持久性分析 ## 🛡️ 项目描述 本仓库记录了针对 Linux 系统进行面向 **Threat Hunting**（威胁狩猎）技术审计的方法论与执行过程。主要目标是检测运行在内核级别或通过篡改核心二进制文件来运作的 **Rootkit**、后门（Backdoor）以及持久性机制。 ## 🛠️ 技术栈 * **审计工具：** Chkrootkit v0.58 * **操作系统：** Kali Linux * **审计区域：** * 管理命令的完整性（`ls`、`ps`、`netstat`、`login`）。 * 可加载内核模块（LKM）分析。 * 混杂模式接口检测（Sniffing）。 * 库路径中的隐藏文件分析。 ## 📊 发现与技术分析 在 **第 15 天** 的审计过程中，发现了多个需要进行详细取证分析的事件，以区分合法活动与真实威胁： ### 1. 网络进程检测（Sniffer 检测） 在 `eth0` 接口上识别到一个“Packet Sniffer”告警。 * **证据：** `eth0: PACKET SNIFFER(/usr/sbin/NetworkManager[686])` * **分析：** 通过追踪 PID 686，确认该活动源自 **NetworkManager** 服务。 * **状态：** **已确认的误报。** 操作系统的正常行为。 ### 2. 隐藏文件审计（Aliens） 扫描报告在 `/usr/lib/` 中发现了多个可疑文件。 * **证据：** `hashcat`、`gophish` 和 `llvm` 等工具中的隐藏文件。 * **分析：** 通过与软件仓库的官方包进行比对，验证了这些文件的来源。确认它们是预装的安全工具正常运行所必需的组件。 * **状态：** **合法文件。** ## 📸 审计证据 *图 1：接口验证与网络活动检测。* *图 2：可疑文件审计与库完整性验证。* ## 🏁 结论 经过详尽的分析，证明系统**未受已知 Rootkit 感染**，且其核心二进制文件未显示任何被入侵的迹象。标记为“Warning”的发现已经过分析，并被归类为系统的正常合法活动。

标签：0day挖掘, API接口, Chkrootkit, CIDR输入, Cutter, FalsoPositivo, KaliLinux, LKM分析, Web归档检索, 二进制完整性分析, 内核安全, 后门检测, 库, 应急响应, 持久化分析, 数字取证, 网络嗅探检测, 网络安全, 自动化脚本, 防御绕过, 隐私保护, 隐藏文件分析