AnonNeo77/koaudit

GitHub: AnonNeo77/koaudit

KOAUDIT 是一款静态分析 Linux 内核模块的审计工具,用于在不加载执行模块的前提下检测其中可能存在的 rootkit 行为和高风险模式。

Stars: 0 | Forks: 0

# KOAUDIT 用于 Linux 内核模块的静态分析工具。 KOAUDIT 会检查已编译的 Linux 内核模块(`.ko`),并报告通常与内核 rootkit、不安全驱动程序和恶意模块相关的可疑行为。分析以静态方式执行——模块永远不会被加载或执行。 ## 功能 * Linux 内核模块(`.ko`)的静态分析 * ELF 验证和元数据检查 * 检测常见的内核 hook 模式 * 检测写保护绕过 * 检测凭据操作 API * 检测自定义 IOCTL 接口 * 检测动态符号解析 * 检测可疑的模块元数据 * JSON 和 HTML 报告输出 * 轻量级,无需外部服务 ## 安装 ``` git clone https://github.com/AnonNeo77/koaudit.git cd koaudit pip install -r requirements.txt ``` ## 用法 ``` python3 koaudit.py module.ko ``` 详细输出: ``` python3 koaudit.py --verbose module.ko ``` JSON 报告: ``` python3 koaudit.py --json module.ko ``` HTML 报告: ``` python3 koaudit.py --html module.ko ``` ## 当前检测规则 * 写保护绕过 * 内核 tracing hook * 凭据操作 API * 自定义 IOCTL 接口 * 动态符号解析 * 模块元数据异常 ## 局限性 * 仅限静态分析。 * 模块**不会**被执行。 * 检测结果正常并不能保证模块是安全的。 * 检测基于已实现的启发式规则,可能无法识别所有技术。
标签:0day挖掘, ELF分析, 云安全监控, 内核安全, 逆向工具, 静态分析