当前位置：首页>Linux>Linux应急响应综合工具--LinIR

Linux应急响应综合工具--LinIR

2026-04-16 15:44:08

免责声明

本文只做学术研究使用，不可对真实未授权网站使用，如若非法他用，与平台和本文作者无关，需自行负责！

前言

因为所有工具写到一起，各位师傅看的时候也不方便，后期一篇工具一个文章，前言中会写明一共写了多少工具，喜不喜欢这款工具，先看简介，觉得合适那就继续观看，最后下载测试

LinIR

项目地址：https://github.com/dogadmin/LinIR
简介：单二进制、零依赖的取证分诊工具，直接从内核接口和文件系统结构采集进程、网络、持久化和完整性证据
这里命令不会太多讲解，因为有web页面

完整采集（最常用）：sudo ./linir collect三维分析（运行态 + 历史残留 + 未来触发 + 统一时间线）：sudo ./linir collect --timeline带 YARA + 分诊包：sudo ./linir collect --yara-rules /opt/yara-rules/ --bundleIOC 在线监控：sudo ./linir watch --iocs ./iocs.txtWeb 仪表盘（含 AI 分析）：sudo ./linir gui                    # 本机访问sudo ./linir gui --host 0.0.0.0     # 公网访问web仪表盘功能：  一键采集 / 三维分析  风险评分卡片 ·交互式表格 ·评分证据展开  历史残留 / 未来触发 / 统一时间线 标签页  AI 智能分析（MiniMax M2.5/M2.7）：一键综合分析、预制话术（入侵判定/后门排查/横向移动/数据外泄/持久化分析/处置建议）、多轮对话  IOC 实时监控（SSE）·YARA 扫描  JSON / CSV 导出 ·API Token 认证 ·暗色主题

三维状态模型

维度	含义	典型来源
运行时（运行态）	此刻正在发生什么	进程、连接、活跃持久化、YARA 命中
Retained（历史残留态）	过去留下了什么痕迹	文件时间线、持久化变更、deleted exe、认证历史、日志
Triggerable（可触发态）	未来还会触发什么	自启动服务、定时任务、KeepAlive/Restart 机制

统一时间线将三态事件按时间排序，形成完整的攻击链视图独立子命令：sudo ./linir retained --window 48h   # 仅历史残留sudo ./linir triggerable             # 仅未来触发sudo ./linir timeline                # 全量时间线与 collect 组合：sudo ./linir collect --with-retained --with-triggerable --timeline

采集能力

维度	Linux 数据源	macOS 数据源
自检	/proc/self/exe、环境变量、LD_PRELOAD	同左 + DYLD 检测
进程	/proc/<pid>/stat、、、、cmdlineexefd/*maps	sysctl kern.proc.all + proc_pidpath + KERN_PROCARGS2
网络	/proc/net/tcp、、、 + inode→PIDudpraw*unix	proc_pidfdinfo + sysctl pcblist_n
持久化	systemd、crontab、shell profile、SSH、ld.so.preload、rc.local	LaunchDaemons/Agents、cron、shell profile、SSH
完整性	进程/网络/文件/模块视图交叉验证、kernel taint	进程/网络/文件视图交叉验证
历史残留	文件时间线、持久化 mtime/ctime、wtmp/btmp、auth.log、syslog	文件时间线、plist mtime、system.log
可触发态	enabled systemd、timers、cron、Restart=always、SSH 强制命令	RunAtLoad、KeepAlive、StartInterval、cron
YARA	纯 Go 引擎，支持 condition 子集	同左