analyzing-linux-kernel-rootkits
作者 mukul975analyzing-linux-kernel-rootkits 可協助 DFIR 與威脅狩獵工作流程,透過 Volatility3 的 cross-view 檢查、rkhunter 掃描,以及 /proc 與 /sys 比對,偵測 Linux kernel rootkit,找出隱藏模組、被掛鉤的系統呼叫與遭竄改的核心結構。這是一份實用的 analyzing-linux-kernel-rootkits 指南,適合用於鑑識初步分流。
這項技能拿到 79/100,因為它提供了真正可操作的 Linux kernel rootkit 分析流程,內容也夠清楚,代理程式不太需要猜測就能觸發。對目錄使用者來說,如果需要聚焦的鑑識工作流程,這個技能值得安裝;不過它仍比通用型事件應變技能更專門。
- 觸發條件與範圍明確:說明與總覽都清楚指出,目標是偵測 Linux 記憶體映像與即時系統中的核心層 rootkit。
- 操作指引具體:參考檔案包含 Volatility3 外掛指令、記憶體擷取選項,以及 rkhunter 的使用範例。
- 對代理程式的可用性高:內含腳本展示了圍繞 Volatility3 外掛執行與 JSON 解析的結構化自動化流程。
- SKILL.md 中沒有安裝指令,因此使用者必須自行推斷設定步驟,而不是直接照著完整的導入流程操作。
- 這項技能聚焦在鑑識與 rootkit 分析,適用範圍偏窄;離開 Linux 記憶體轉存與主機掃描情境後,實用性會下降。
analyzing-linux-kernel-rootkits 技能概覽
analyzing-linux-kernel-rootkits 是一個聚焦的鑑識技能,專門透過記憶體分析、交叉視角比對與輕量級主機掃描來偵測 Linux kernel rootkit。它最適合需要判斷一台遭入侵的 Linux 系統是否在 ring 0 隱藏程序、模組、syscall 或憑證的事件應變人員、DFIR 分析師與威脅狩獵人員。若你正在評估 analyzing-linux-kernel-rootkits 是否適合 Digital Forensics,這個技能的核心價值不只是輸出偵測結果,而是提供一條可重複的流程,幫助你從懷疑走到證據。
這個 skill 擅長什麼
這個 skill 的重心放在 Volatility3 的 Linux plugins,例如 check_syscall、lsmod、hidden_modules、check_idt、pslist、pstree、check_creds 與 sockstat。它也包含基於 rkhunter 的主機端檢查,以及 /proc 與 /sys 的差異分析,能補到一般 userland 工具容易漏掉的不一致。
什麼情況下最適合使用
當你手上有 Linux memory dump、可以掃描的 live system,或兩者都有,而且需要一條結構化的 rootkit 初步判讀流程時,就很適合用它。尤其是在你懷疑像是 syscall 被 hook、kernel modules 被隱藏,或 kernel 結構遭竄改這類隱匿手法時,這個 skill 特別有用。
工作流程會長什麼樣子
analyzing-linux-kernel-rootkits 這個 skill 走的是證據導向,而不是閒聊式推測:你應該會看到命令、plugin 選擇,以及不一致結果的解讀。它最有幫助的情境,是你已經有 dump 格式、目標 kernel 版本,以及明確問題,例如「這台主機是不是在隱藏活動?」
如何使用 analyzing-linux-kernel-rootkits skill
先安裝並打開正確的檔案
使用 npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-linux-kernel-rootkits 安裝。接著先讀 SKILL.md,再看 references/api-reference.md 了解命令模式,以及 scripts/agent.py 了解自動化邏輯。若你是在評估要不要跑這個 skill,這些檔案比快速掃一遍 repo 更能看出實際分析路徑。
先提供最少但最有用的上下文
要把 analyzing-linux-kernel-rootkits 用得好,請提供:採集類型(.lime、raw 或 partial dump)、已知的目標發行版/kernel、系統是 live 還是 offline,以及具體懷疑點。好的輸入例如:「分析這份 Ubuntu 22.04 的 LiME dump,找 hidden modules 與 syscall hooks」或「用 rkhunter 和 cross-view checks 檢查一台 live Debian 主機是否有 kernel rootkit 指標。」
先做 cross-view checks,再逐步縮小範圍
實用的 analyzing-linux-kernel-rootkits 指引,是先比對不同視角再下結論:lsmod 對 hidden_modules、pslist 對 pstree、/proc 對 /sys,接著再用 check_syscall 與 check_idt 看有沒有 hook 的跡象。rkhunter 適合拿來做主機端佐證,但不要把它當成單獨的最終裁決。最有價值的輸出通常是不一致之處,而不是單一警報。
留意主要限制
Volatility3 依賴相容的 kernel symbol table,所以 ISF 檔缺失或不對都會削弱結果。記憶體 dump 也可能是不完整、被壓縮過,或在採集方式上限制了 plugin 的覆蓋範圍。如果你無法確實對上 kernel,請直接在 prompt 裡說明;這個 skill 比起假裝有把握,更擅長指出可疑的缺口。
analyzing-linux-kernel-rootkits skill 常見問題
這只適用於 memory forensics 嗎?
不是。這個 skill 是為 Linux memory forensics 設計的,但也支援用 rkhunter 做 live-system 掃描,以及對 runtime 視圖之間的差異做檢查。對 analyzing-linux-kernel-rootkits 來說,若是 Digital Forensics 場景,記憶體分析通常更強;live 檢查則比較適合拿來佐證。
我需要很懂 Volatility3 嗎?
不需要,但你要知道手上是什麼 artifact。只要能說清楚 dump 類型和你想回答的問題,初學者也能使用這個 skill。若你只是想要一個沒有證據材料的泛用「幫我掃伺服器」答案,這個 skill 就不太適合。
這和一般 prompt 有什麼不同?
一般 prompt 常是抽象地問「rootkit 偵測」。這個 skill 更有行動性,因為它會直接指向具體的 Linux plugins、關聯步驟,以及預期會出現的不一致類型。這能在真實事件流程中使用 analyzing-linux-kernel-rootkits 時,減少猜測空間。
什麼情況下不該用?
如果你只有模糊懷疑,沒有主機存取、沒有 dump,也沒有 kernel 上下文,就不要依賴它。它也不適合非 Linux 系統,或你需要的是惡意程式逆向分析,而不是 kernel 完整性分析的案例。
如何改進 analyzing-linux-kernel-rootkits skill
提供更精準的證據輸入
最能提升品質的做法,就是提供明確的 artifact 與問題。不要只說「幫我檢查這台系統」,而是說「比對這份 Fedora 38 memory image 的 pslist 和 pstree 與 /proc,再檢查 syscall hooks」。這樣 analyzing-linux-kernel-rootkits 的輸出會更聚焦,也更容易驗證。
要求關聯分析,不要只要偵測結果
rootkit 工作最常失敗的地方,就是分析師停在單一 plugin。你應該要求這個 skill 去整合 hidden_modules、check_syscall、check_idt 與 process listings 的結果,並說清楚哪些發現彼此能互相佐證、哪些證據比較薄弱。這在 analyzing-linux-kernel-rootkits 的使用上尤其重要,因為 false positives 常常來自上下文不完整。
改善採集與 symbol 上下文
如果可以,請提供 kernel version、distro、採集方法,以及對應 symbol table 的來源。更完整的 symbol context 代表更準確的 plugin 解讀,也能少走很多死路。如果你手上的是 partial dump,請一開始就講明,讓分析先把可靠部分排在前面。
第一輪之後再迭代收斂
先看第一輪輸出,再把下一個問題縮窄:例如只查 hidden modules,或針對某個可疑 syscall entry 做驗證。對 analyzing-linux-kernel-rootkits 而言,逐步縮小範圍通常比一次丟出大而全的請求,更能產出好的鑑識判斷。