AnonNeo77/koaudit
GitHub: AnonNeo77/koaudit
KOAUDIT 是一款静态分析 Linux 内核模块的审计工具,用于在不加载执行模块的前提下检测其中可能存在的 rootkit 行为和高风险模式。
Stars: 0 | Forks: 0
# KOAUDIT
用于 Linux 内核模块的静态分析工具。
KOAUDIT 会检查已编译的 Linux 内核模块(`.ko`),并报告通常与内核 rootkit、不安全驱动程序和恶意模块相关的可疑行为。分析以静态方式执行——模块永远不会被加载或执行。
## 功能
* Linux 内核模块(`.ko`)的静态分析
* ELF 验证和元数据检查
* 检测常见的内核 hook 模式
* 检测写保护绕过
* 检测凭据操作 API
* 检测自定义 IOCTL 接口
* 检测动态符号解析
* 检测可疑的模块元数据
* JSON 和 HTML 报告输出
* 轻量级,无需外部服务
## 安装
```
git clone https://github.com/AnonNeo77/koaudit.git
cd koaudit
pip install -r requirements.txt
```
## 用法
```
python3 koaudit.py module.ko
```
详细输出:
```
python3 koaudit.py --verbose module.ko
```
JSON 报告:
```
python3 koaudit.py --json module.ko
```
HTML 报告:
```
python3 koaudit.py --html module.ko
```
## 当前检测规则
* 写保护绕过
* 内核 tracing hook
* 凭据操作 API
* 自定义 IOCTL 接口
* 动态符号解析
* 模块元数据异常
## 局限性
* 仅限静态分析。
* 模块**不会**被执行。
* 检测结果正常并不能保证模块是安全的。
* 检测基于已实现的启发式规则,可能无法识别所有技术。
标签:0day挖掘, ELF分析, 云安全监控, 内核安全, 逆向工具, 静态分析