Java内存马查杀

1.环境搭建

2.查杀脚本

3.查杀项目

arthas工具

是一个Java的综合诊断攻击，不是专门用来做内存马查杀的

1.查看URL路由（看Servlet内存马）

内存马的触发特征：

URL地址路径 在源码中没有的 不存在的 —很可能就是内存马

2.sc查看JVM已加载的类信息

sc *.Filter

3.jad反编译指定已加载类的源码

sc *.Servlet

4.classloader查看classloader的继承树，urls，类加载信息

4.GUI项目

5.日志排查

针对提取的路径，排查访问页面不存在但是日志里的返回 200状态码

因为内存马的触发特征：

URL地址路径 在源码中没有的 不存在的 ——很可能就是内存马

6、学习资料

https://github.com/Getshell/Mshell

蓝队排查思路

1、弄清楚当前环境的组织架构:中间件 框架等

2、对应查找可能类型的内存马技术如:tomcat 或 框架 springboot

3、基于上述信息想到用何种项目工具便于分析

listener型内存马

中间件型内存马

Tomcat Valve型内存马:动态注册Valv

框架型内存马

SpringController型内存马+SpringInterceptor型内存马

cop.jar项目工具

arthas工具

Spring webflux型内存马

arthas工具

注意:

不同内存马类型查杀

arthas检测:有的是基于内存马固定的后缀，名字，文件中的常见关键字去找到可

疑类然后去定性