bali-36/Linux-SysMon
GitHub: bali-36/Linux-SysMon
一款基于 auditd 和 psutil 的 Linux 实时系统调用监控工具,通过自定义规则检测恶意行为模式并提供可视化告警与日志导出。
Stars: 1 | Forks: 0
# 系统调用监控工具
[](https://www.python.org/)
[](https://opensource.org/licenses/MIT)
一款基于 Linux 的 CLI 工具,用于带有安全警报的实时系统调用监控,其灵感来源于 APT/恶意软件检测模式。
## 功能
- 结合进程上下文的实时系统调用监控
- 恶意模式检测(支持自定义规则)
- 针对可疑活动的视觉和声音警报
- 进程树可视化(PID/PPID 追踪)
- 为可信进程设置白名单
- 导出功能(JSON/CSV)
- 类似 Metasploit 的 CLI 界面及丰富的可视化效果
## 要求
- Linux Kernel 4.4+(推荐:5.10+)
- Python 3.8+
- auditd 框架
- Root 权限
## 安装说明
### 1. 克隆仓库
```
git clone https://github.com/bali-36/Linux-SysMon
.git
cd Linux-SysMon
```
### 2. 安装依赖
```
# Python packages
pip install -r requirements.txt
# System packages (Kali/Debian)
sudo apt update
sudo apt install auditd psutil python3-tk
sudo apt install linux-headers-$(uname -r)
```
### 3. 配置 auditd
```
# 启动 auditd 服务
sudo systemctl start auditd
sudo systemctl enable auditd
# 添加监控规则
sudo auditctl -a always,exit -S execve -k process_monitor
sudo auditctl -a always,exit -S ptrace -k process_monitor
```
## 配置
编辑 `config/` 目录下的配置文件:
`malicious_patterns.yaml`
```
syscalls:
- execve
- ptrace
- openat
- keyctl
dangerous_args:
- "O_WRONLY"
- "PROT_EXEC"
- "/dev/shm"
```
`whitelist.yaml`
```
pids:
- 1 # systemd
- 1234 # your trusted process
processes:
- "sshd"
- "bash"
commands:
- "sudo apt update"
```
### 用法
基础监控
```
sudo python3 sysmon.py
```
带声音警报
```
sudo python3 sysmon.py --sound
```
### 界面导航
```
Main Menu:
1. Live Monitoring - Real-time system call display
2. View Security Alerts - Show triggered alerts
3. Export Logs - Save logs to JSON/CSV
4. Exit - Quit program
```
### 快捷键
`Ctrl+C` - 退出程序并自动保存日志
`↑/↓` - 导航菜单
`Enter` - 选择选项
## 许可证
MIT 许可证 - 详情请参阅 [LICENSE](./LICENSE)
## 免责声明
本工具仅供教育和授权的安全测试目的使用。严禁滥用本软件。
标签:auditd, Hpfeeds, Python, 安全告警, 无后门, 系统调用, 逆向工具