文章总结： LinIR是一款Linux应急响应综合工具，具备单二进制零依赖特性，支持从内核接口和文件系统采集进程、网络、持久化等证据。工具提供三维分析模型（运行态/历史残留/可触发态）和统一时间线功能，内置Web仪表盘支持AI智能分析、YARA扫描和实时监控。文档包含完整使用命令和跨平台采集能力说明，强调仅限于学术研究使用。 综合评分： 85 文章分类： 应急响应,安全工具,威胁情报,漏洞分析,安全运营

Linux应急响应综合工具–LinIR

原创

一个努力的学渣 一个努力的学渣

一个努力的学渣

2026年4月7日 15:31 北京

在小说阅读器读本章

去阅读

免责声明

本文只做学术研究使用，不可对真实未授权网站使用，如若非法他用，与平台和本文作者无关，需自行负责！

前言

因为所有工具写到一起，各位师傅看的时候也不方便，后期一篇工具一个文章，前言中会写明一共写了多少工具，喜不喜欢这款工具，先看简介，觉得合适那就继续观看，最后下载测试

LinIR

• 项目地址：https://github.com/dogadmin/LinIR
• 简介：单二进制、零依赖的取证分诊工具，直接从内核接口和文件系统结构采集进程、网络、持久化和完整性证据
• 这里命令不会太多讲解，因为有web页面

完整采集（最常用）：sudo ./linir collect三维分析（运行态 + 历史残留 + 未来触发 + 统一时间线）：sudo ./linir collect --timeline带 YARA + 分诊包：sudo ./linir collect --yara-rules /opt/yara-rules/ --bundleIOC 在线监控：sudo ./linir watch --iocs ./iocs.txtWeb 仪表盘（含 AI 分析）：sudo ./linir gui                    # 本机访问sudo ./linir gui --host 0.0.0.0     # 公网访问web仪表盘功能：  一键采集 / 三维分析  风险评分卡片 ·交互式表格 ·评分证据展开  历史残留 / 未来触发 / 统一时间线 标签页  AI 智能分析（MiniMax M2.5/M2.7）：一键综合分析、预制话术（入侵判定/后门排查/横向移动/数据外泄/持久化分析/处置建议）、多轮对话  IOC 实时监控（SSE）·YARA 扫描  JSON / CSV 导出 ·API Token 认证 ·暗色主题

• 三维状态模型

| | | | | — | — | — | | 维度 | 含义 | 典型来源 | | 运行时（运行态） | 此刻正在发生什么 | 进程、连接、活跃持久化、YARA 命中 | | Retained（历史残留态） | 过去留下了什么痕迹 | 文件时间线、持久化变更、deleted exe、认证历史、日志 | | Triggerable（可触发态） | 未来还会触发什么 | 自启动服务、定时任务、KeepAlive/Restart 机制 |

统一时间线将三态事件按时间排序，形成完整的攻击链视图独立子命令：sudo ./linir retained --window 48h   # 仅历史残留sudo ./linir triggerable             # 仅未来触发sudo ./linir timeline                # 全量时间线
与 collect 组合：sudo ./linir collect --with-retained --with-triggerable --timeline

• 采集能力

| | | | | — | — | — | | 维度 | Linux 数据源 | macOS 数据源 | | 自检 | /proc/self/exe、环境变量、LD_PRELOAD | 同左 + DYLD 检测 | | 进程 | /proc//stat、、、、cmdlineexefd/*maps | sysctl kern.proc.all + proc_pidpath + KERN_PROCARGS2 | | 网络 | /proc/net/tcp*、、、 + inode→PIDudp*raw*unix | proc_pidfdinfo + sysctl pcblist_n | | 持久化 | systemd、crontab、shell profile、SSH、ld.so.preload、rc.local | LaunchDaemons/Agents、cron、shell profile、SSH | | 完整性 | 进程/网络/文件/模块视图交叉验证、kernel taint | 进程/网络/文件视图交叉验证 | | 历史残留 | 文件时间线、持久化 mtime/ctime、wtmp/btmp、auth.log、syslog | 文件时间线、plist mtime、system.log | | 可触发态 | enabled systemd、timers、cron、Restart=always、SSH 强制命令 | RunAtLoad、KeepAlive、StartInterval、cron | | YARA | 纯 Go 引擎，支持 condition 子集 | 同左 |

• 使用：

• 解压：tar zxvf linir-v0.2.0-linux-amd64.tar.gz

• 本机访问：./linir-v0.2.0-linux-amd64 gui

• 远程访问：./linir-v0.2.0-linux-amd64 gui –host 0.0.0.0

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个努力的学渣 一个努力的学渣 一个努力的学渣《Linux应急响应综合工具–LinIR》