電子發(fā)燒友App
創(chuàng)作
發(fā)文章
發(fā)帖 
提問 
發(fā)資料
發(fā)視頻資料介紹
軟件簡(jiǎn)介
FindShell 是一個(gè)自動(dòng)的內(nèi)存馬查殺工具,可以用于普通內(nèi)存馬和Java Agent內(nèi)存馬。
尤其針對(duì)難以查殺的Java Agent型內(nèi)存馬,例如冰蝎等主流工具的內(nèi)存馬都是Java Agent
主要分為以下四步:
-
利用
JDK提供的sa-jdi的API基于黑名單dump存在于JVM中真正的字節(jié)碼 -
這種字節(jié)碼在很多情況下是非法的,所以我修改了
ASM源碼以分析非法字節(jié)碼 -
基于
ASM做普通的分析和模擬棧幀做深入的分析 -
如果發(fā)現(xiàn)內(nèi)存馬將會(huì)嘗試自動(dòng)修復(fù)目標(biāo)(利用
Java Agent動(dòng)態(tài)恢復(fù)原始字節(jié)碼)
檢測(cè)
基本檢測(cè):java -jar FindShell.jar --pid [目標(biāo)JVM的PID]
這個(gè)pid的獲取方式可以通過jps命令找到你需要的目標(biāo)JVM的pid
這種情況下默認(rèn)必檢測(cè)的類有以下四個(gè)(最常見的Java Agent內(nèi)存馬出現(xiàn)的地方)
| 類名 | 方法名 |
|---|---|
| javax/servlet/http/HttpServlet | service |
| org/apache/catalina/core/ApplicationFilterChain | doFilter |
| org/springframework/web/servlet/DispatcherServlet | doService |
| org/apache/tomcat/websocket/server/WsFilter | doFilter |
并對(duì)以下的黑名單類進(jìn)行檢測(cè)(如果類名出現(xiàn)關(guān)鍵字則dump并分析該類字節(jié)碼)
keyword.add("shell"); keyword.add("memshell"); keyword.add("agentshell"); keyword.add("exploit"); keyword.add("payload"); keyword.add("rebeyond"); keyword.add("metasploit");
注意:
-
修改
org.sec.Constant代碼可以自定義黑名單和關(guān)鍵字 -
加入
--debug參數(shù)保留從JVM中dump出的字節(jié)碼供自行分析 -
并不是所有類的字節(jié)碼都可以
dump成功,但常見的這些類測(cè)試中沒問題
修復(fù)
目前僅做了Java Agent內(nèi)存馬的自動(dòng)修復(fù),支持最常見的HttpServlet和ApplicationFilterChain
檢測(cè)和修復(fù):java -jar FindShell.jar --pid [PID] --repair
根目錄存在一個(gè)RepairAgent.jar文件,這不屬于該項(xiàng)目,但我將代碼放在org.sec.repair包中供參考
注意:修復(fù)手段僅靶機(jī)測(cè)試成功,在真實(shí)環(huán)境中使用請(qǐng)慎重
原理
-
為什么不直接用
Java Agent或Alibaba Arthas工具對(duì)JVM當(dāng)前字節(jié)碼進(jìn)行dump
Java Agent內(nèi)存馬是調(diào)用redefineClass方法對(duì)字節(jié)碼進(jìn)行修改的。而調(diào)用retransformClass方法的時(shí)候參數(shù)中的字節(jié)碼并不是調(diào)用redefineClass后被修改的類的字節(jié)碼。對(duì)于冰蝎來講,根本無法獲取被冰蝎修改后類的字節(jié)碼。我們自己寫Java Agent清除內(nèi)存馬的時(shí)候,同樣也是無法獲取到被redefineClass修改后的字節(jié)碼,只能獲取到被retransformClass修改后的字節(jié)碼。通過Javaassist等ASM工具獲取到類的字節(jié)碼,也只是讀取磁盤上響應(yīng)類的字節(jié)碼,而不是JVM中的字節(jié)碼
-
那么怎樣獲得存在于
JVM中真正的字節(jié)碼
之前有寬字節(jié)安全的師傅提到利用sa-jdi工具對(duì)真正的當(dāng)前字節(jié)碼進(jìn)行dump后反編譯結(jié)合人工分析,該工具也是基于JDK自帶的sa-jdi庫實(shí)現(xiàn)的,不過加入了一些過濾的選項(xiàng)
- 什么情況下這樣的字節(jié)碼為什么是非法的
當(dāng)目標(biāo)類存在lambda表達(dá)式的時(shí)候會(huì)導(dǎo)致非法字節(jié)碼,具體可以參考我的文章
- 修改了哪些源碼以解析非法字節(jié)碼
參考連接:修改源碼說明
- 為什么要結(jié)合普通字節(jié)碼分析和模擬棧幀分析兩種呢
因?yàn)?code>Runtime.exec這種調(diào)用很不常見且過程簡(jiǎn)單,用普通的字節(jié)碼分析即可解決。但是冰蝎的反射調(diào)用defineClass并反射invoke以實(shí)現(xiàn)代碼執(zhí)行效果的方式,過程比較復(fù)雜,且反射調(diào)用是程序中的常見功能,簡(jiǎn)單的分析會(huì)導(dǎo)致誤報(bào)
- 什么是模擬棧幀分析
參考文章:詳解Java自動(dòng)代碼審計(jì)工具實(shí)現(xiàn)?和?基于污點(diǎn)分析的JSP Webshell檢測(cè)
免責(zé)聲明
工具僅用于安全研究以,由于使用該工具造成的任何后果使用者負(fù)責(zé)
- EDA工具CADENCE原理圖與PCB設(shè)計(jì)說明 58次下載
- 基于NVM和DRAN的混合內(nèi)存系統(tǒng)設(shè)計(jì)方案 12次下載
- 基于內(nèi)存關(guān)聯(lián)分析的內(nèi)存預(yù)拷貝遷移策略 14次下載
- 一種基于內(nèi)存關(guān)聯(lián)分析的預(yù)拷貝遷移策略 9次下載
- 基于機(jī)器學(xué)習(xí)的內(nèi)存泄漏測(cè)試腳本預(yù)測(cè)方法 30次下載
- 基于定理證明的內(nèi)存安全驗(yàn)證工具算法綜述 5次下載
- 16位CRC驗(yàn)證碼生成VI工具下載 55次下載
- 內(nèi)存模塊說明 5次下載
- 如何在虛擬環(huán)境下進(jìn)行病毒的查殺詳細(xì)資料概述 13次下載
- windows應(yīng)用程序讀取進(jìn)程的內(nèi)存工具免費(fèi)下載 1次下載
- 騰訊內(nèi)部內(nèi)存泄漏分析工具簡(jiǎn)析 0次下載
- 熊貓燒香病毒怎樣進(jìn)行手動(dòng)查殺 1次下載
- 360殺毒軟件v1.2正式版_永久免費(fèi) 0次下載
- ie首頁修復(fù)工具
- 內(nèi)存芯片測(cè)試軟件工具
- 如何使用DevEco Studio性能調(diào)優(yōu)工具Profiler定位應(yīng)用內(nèi)存問題 367次閱讀
- 堆棧和內(nèi)存的基本知識(shí) 521次閱讀
- buffers內(nèi)存與cached內(nèi)存的區(qū)別 547次閱讀
- 系統(tǒng)內(nèi)存和運(yùn)行內(nèi)存的區(qū)別 3567次閱讀
- 用于分析可執(zhí)行程序和內(nèi)存轉(zhuǎn)儲(chǔ)的命令行工具介紹 1313次閱讀
- 命令執(zhí)行不回顯利用工具解讀 1307次閱讀
- 一款解決大文件內(nèi)存溢出的 Excel 處理工具 1815次閱讀
- valgrind檢測(cè)內(nèi)存問題的原理 2492次閱讀
- 初識(shí)內(nèi)存取證-volatility與Easy_dump 3185次閱讀
- 基于智能狀態(tài)和源代碼插樁的C程序內(nèi)存安全性動(dòng)態(tài)分析 1591次閱讀
- shiro綜合利用工具介紹 5461次閱讀
- Memray工具簡(jiǎn)介及安裝與使用方法 2970次閱讀
- nonecc內(nèi)存和ecc內(nèi)存的區(qū)別 1.4w次閱讀
- 新規(guī)劃PCI核查工具的使用方法和應(yīng)用事例 3142次閱讀
- Android內(nèi)存管理機(jī)制與分析工具 4570次閱讀
上傳資料賺積分下載排行
本周
- 1山景DSP芯片AP8248A2數(shù)據(jù)手冊(cè)
- 1.06 MB | 532次下載 | 免費(fèi)
- 2RK3399完整板原理圖(支持平板,盒子VR)
- 3.28 MB | 339次下載 | 免費(fèi)
- 3TC358743XBG評(píng)估板參考手冊(cè)
- 1.36 MB | 330次下載 | 免費(fèi)
- 4DFM軟件使用教程
- 0.84 MB | 295次下載 | 免費(fèi)
- 5元宇宙深度解析—未來的未來-風(fēng)口還是泡沫
- 6.40 MB | 227次下載 | 免費(fèi)
- 6迪文DGUS開發(fā)指南
- 31.67 MB | 194次下載 | 免費(fèi)
- 7元宇宙底層硬件系列報(bào)告
- 13.42 MB | 182次下載 | 免費(fèi)
- 8FP5207XR-G1中文應(yīng)用手冊(cè)
- 1.09 MB | 178次下載 | 免費(fèi)
本月
- 1OrCAD10.5下載OrCAD10.5中文版軟件
- 0.00 MB | 234315次下載 | 免費(fèi)
- 2555集成電路應(yīng)用800例(新編版)
- 0.00 MB | 33566次下載 | 免費(fèi)
- 3接口電路圖大全
- 未知 | 30323次下載 | 免費(fèi)
- 4開關(guān)電源設(shè)計(jì)實(shí)例指南
- 未知 | 21549次下載 | 免費(fèi)
- 5電氣工程師手冊(cè)免費(fèi)下載(新編第二版pdf電子書)
- 0.00 MB | 15349次下載 | 免費(fèi)
- 6數(shù)字電路基礎(chǔ)pdf(下載)
- 未知 | 13750次下載 | 免費(fèi)
- 7電子制作實(shí)例集錦 下載
- 未知 | 8113次下載 | 免費(fèi)
- 8《LED驅(qū)動(dòng)電路設(shè)計(jì)》 溫德爾著
- 0.00 MB | 6656次下載 | 免費(fèi)
總榜
- 1matlab軟件下載入口
- 未知 | 935054次下載 | 免費(fèi)
- 2protel99se軟件下載(可英文版轉(zhuǎn)中文版)
- 78.1 MB | 537798次下載 | 免費(fèi)
- 3MATLAB 7.1 下載 (含軟件介紹)
- 未知 | 420027次下載 | 免費(fèi)
- 4OrCAD10.5下載OrCAD10.5中文版軟件
- 0.00 MB | 234315次下載 | 免費(fèi)
- 5Altium DXP2002下載入口
- 未知 | 233046次下載 | 免費(fèi)
- 6電路仿真軟件multisim 10.0免費(fèi)下載
- 340992 | 191187次下載 | 免費(fèi)
- 7十天學(xué)會(huì)AVR單片機(jī)與C語言視頻教程 下載
- 158M | 183279次下載 | 免費(fèi)
- 8proe5.0野火版下載(中文版免費(fèi)下載)
- 未知 | 138040次下載 | 免費(fèi)
工商網(wǎng)監(jiān)
評(píng)論