Kendryck-Garcia/FileIntegrityMonitor

# 加密文件完整性监控器与主机检测代理 ## 📖 概述 本项目是一个事件驱动的、内核级的防御性安全工具，使用 Python 开发，用于持续审计主机目录的完整性。通过计算和跟踪加密校验和，它能够即时检测、标记并记录未经授权的文件修改、添加或删除操作。此工具复制了在企业端点检测与响应 (EDR) 和主机入侵检测系统 (HIDS)（如 Tripwire、AIDE 和 Wazuh 的 Syscheck 模块）中发现的核心机制。 ## ✨ 主要特性 * **内存安全的加密技术：** 使用 `hashlib` 库实现分块流式处理管道，以生成抗碰撞的 **SHA-256** 指纹，安全处理数 GB 的二进制文件而不会导致内存不足 (OOM) 系统崩溃。 * **关系型持久化基线：** 利用嵌入式 **SQLite** 数据库后端，建立已知良好系统文件的安全、不可变的参考快照，跟踪路径、块大小和操作系统修改时间戳。 * **事件驱动的内核监控：** 通过 **Watchdog** 框架与原生 Linux 内核通知子系统 (`inotify`) 集成，在文件系统变化发生的确切毫秒内执行即时、零延迟的检测。 * **降噪过滤器：** 具备先进的配置解析层，可自动排除临时交换文件 (`.swp`, `.tmp`)、隐藏的系统文件 (`.DS_Store`) 和日志文件，以消除误报并防止警报疲劳。 * **取证审计跟踪：** 通过导出嵌入精确 ISO 格式时间戳的、结构化的、仅追加的 **JSON** 安全事件，简化事件响应流程，便于 SIEM 或日志聚合器轻松摄取。 ## 🛠️ 技术栈 * **语言：** Python 3.13 * **核心库：** `sqlite3` (持久化), `hashlib` (加密), `watchdog` (操作系统内核事件), `json` (取证导出), `argparse` (CLI 接口) * **环境：** Kali Linux (模拟企业 Linux 生产服务器) * **安全焦点：** 主机检测与端点安全 (HIDS/EDR) ## 📊 结果与可视化 ### 1. 实时检测输出 此终端视图演示了活动监视守护进程拦截未经授权的系统操作——同时捕获一个植入的 Web Shell 后门、一个被修改的 SSH 配置文件，以及一次通过删除 hosts 文件进行的规避尝试。  ### 2. 结构化 JSON 安全日志 此代码片段展示了在 `fim_alerts.json` 中生成的清晰、标准化的取证跟踪，为安全分析师和摄取管道提供即时的入侵指标 (IoC) 上下文。  ### 3. SIEM 仪表板可视化 FIM 流式输出被集中到一个分析界面，以跟踪事件频率并优先处理修复响应。  ## 🛡️ 事件响应工作流 1. **建立基线：** 系统管理员对一个干净的服务器目录进行快照 (`python3 fim.py --baseline`)，将参考指纹安全地存储在 SQLite 中。 2. **拦截渗透：** 攻击者入侵了一个 Web 应用程序，并尝试将恶意载荷 (`webshell.php`) 写入受监控的文件夹。 3. **触发警报与审计：** Watchdog 引擎立即拦截操作系统内核事件，将该文件标记为未经授权，警报终端界面，并将一条带有 ISO 时间戳的记录刷新到 JSON 审计跟踪中，以便进行快速的取证隔离。 **注意：** 本项目仅用于教育目的，展示了加密操作、操作系统事件挂钩和防御性工程实践的整合。

标签：AI红队测试, EDR, JSON日志, OISF, Python, SHA-256, SQLite, TLS, Watchdog, x64dbg, 主机入侵检测, 事件驱动, 入侵检测系统, 内核通知, 加密哈希, 哈希算法, 基线管理, 安全事件, 安全数据湖, 无后门, 日志管理, 端点安全, 篡改检测, 脆弱性评估, 补丁管理, 逆向工具, 防御工具, 防御框架