copy-fail-CVE-2026-31431-IOC

该项目是一个针对CVE-2026-31431（“Copy Fail”）漏洞的检测、缓解和IOC工具包，该漏洞利用Linux内核中的页缓存数据损坏进行本地权限提升。核心功能包括通过auditd规则、eBPF监控、页缓存对比、Sigma规则及响应文档实现多层次检测；特别是eBPF监控器能够高精度地追踪AF_ALG活动、提取`authencesn`绑定尝试以及可疑的`splice()`使用情况，并将这些事件关联起来生成高置信度的攻击链警报。此项目适用于需要防范或调查基于页缓存篡改而不修改磁盘文件的Linux系统安全场景中，为安全团队提供了从实时监测到事后分析的一系列工具支持。