Stats
Actions
Tags
Analyzes Linux memory dumps using Volatility3 plugins (check_syscall, lsmod, hidden_modules), rkhunter scans, and /proc-/sys diffs to detect kernel rootkits via hooked syscalls, hidden modules, and tampered structures.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:analyzing-linux-kernel-rootkitsThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Linux 内核 rootkit 在 ring 0 层级运行,通过修改内核数据结构来对用户态工具隐藏进程、文件、网络连接和内核模块。检测方法需要使用内存取证(使用 Volatility3 分析物理内存转储)或交叉视图分析(比对 /proc、/sys 和内核数据结构的不一致性)。本 skill 涵盖使用 Volatility3 Linux 插件检测 syscall 表 hook、隐藏内核模块和被修改的函数指针,以及使用 rkhunter 和 chkrootkit 进行实时系统扫描。
Linux 内核 rootkit 在 ring 0 层级运行,通过修改内核数据结构来对用户态工具隐藏进程、文件、网络连接和内核模块。检测方法需要使用内存取证(使用 Volatility3 分析物理内存转储)或交叉视图分析(比对 /proc、/sys 和内核数据结构的不一致性)。本 skill 涵盖使用 Volatility3 Linux 插件检测 syscall 表 hook、隐藏内核模块和被修改的函数指针,以及使用 rkhunter 和 chkrootkit 进行实时系统扫描。
使用 LiME 内核模块或针对云实例的 AVML 捕获 Linux 物理内存。
运行 linux.check_syscall、linux.lsmod、linux.hidden_modules 和 linux.check_idt 插件以检测 rootkit 痕迹。
比较来自 /proc/modules、lsmod 和 /sys/module 的模块列表,识别在某一视图中隐藏但在另一视图中存在的模块。
运行 rkhunter 和 chkrootkit,检测已知 rootkit 特征、可疑文件和被修改的系统二进制文件。
JSON 报告,包含检测到的 syscall hook、隐藏内核模块、被修改的 IDT 条目、可疑的 /proc 差异以及 rkhunter 发现。
npx claudepluginhub killvxk/cybersecurity-skills-zhDetects kernel-level rootkits in Linux memory dumps using Volatility3 plugins (check_syscall, lsmod, hidden_modules), rkhunter scanning, and /proc vs /sys discrepancy analysis.
Detect kernel-level rootkits in Linux memory dumps using Volatility3 plugins (check_syscall, lsmod, hidden_modules) and rkhunter scanning for hooked syscalls, hidden modules, and tampered structures.
Detects Linux kernel rootkits in memory dumps using Volatility3 plugins (check_syscall, lsmod, hidden_modules), rkhunter scanning, and /proc vs /sys analysis for hooked syscalls, hidden modules, and tampered structures. Useful for security incident investigations and threat hunting.