当前位置：首页 > news >正文

Java内存马的检测与发现

news 来源：原创 2025/5/15 5:32:41

【网络安全】Java内存马的检测与发现

一、Java内存马的现象
二、检测思路
三、重点关注类
四、检测方法
- 1. 检查方法（FindShell）
- 2. 检查方法（sa-jdi）
- 3. 检查方法（arthas-boot）
- 4. 检查方法（cop.jar）
- 5. 检查方法（memshell_scanner）

一、Java内存马的现象

webshell可以正常访问，并且从log日志中可以看到webshell的访问状态码为200，但是在对应的目录中却找不到文件，如果存在此类情况，可以判断服务器中了内存马
在这里插入图片描述

二、检测思路

根据Java内存马的特点，检测思路如下：

注入jar包
dump已加载的class字节码
反编译为java代码
源码webshell检测

这样检测比较消耗性能，可以考虑缩小源码检测

三、重点关注类

在检测过程中需要重点关注的几个类和方法：

javax/servlet/http/HttpServlet#service
org/apache/catalina/core/ApplicationFilterChain#doFilter
org/springframework/web/servlet/DispatcherServlet#doService
org/apache/tomcat/websocket/server/WsFilter#doFilter

四、检测方法

1. 检查方法（FindShell）

排查工具：FindShell：https://github.com/geekmc/FindShell

安装&打包方法：

进入到FindShell目录，打包项目，执行mvn package
- 如果没有mvn命令需要先install apache-maven
- 如果报错提示sd-jdi.jar的问题，就需要修改pom⽂件中的sd-jdi.jar⽂件的路径，然后重新打包
打包成功后会在target⽬录下⽣成FindShell-1.0.jar⽂件

通过官方文档可以得知检测命令为java -jar FindShell.jar --pid [目标JVM的PID]

找到jvm进程，并记住pid：jps -l
查找内存⻢并dump出class⽂件（保存在当前路径下）：java -jar FindShell-1.0.jar --pid xxx —debug

发现内存马提示如下图所示
c9.p
未发现内存马提示如下图所示：
在这里插入图片描述

针对dump出来的⽂件使⽤jd-gui进⾏class反编译，可以发现是冰蝎3.0

在这里插入图片描述

2. 检查方法（sa-jdi）

排查工具：sa-jdi.jar： 在jdk中的/lib/目录下、dumpclass.jar：https://github.com/hengyunabc/dumpclass

使用方法：
使用GUI的方法可以执行命令如下：

找到sa-jdi.jar⽂件位置：echo $JAVA_HOME/lib
出现图形化界面：sudo java -cp sa-jdi.jar sun.jvm.hotspot.HSDB
- or 不找位置直接执行：sudo java -classpath "$JAVA_HOME/lib/sa-jdi.jar" sun.jvm.hotspot.HSDB
- or jhsdb hsdb

注：如果在attach进程的时候提示error，多半是权限问题，程序权限和木马权限保持⼀致即可
在这里插入图片描述

注入以后可以在菜单栏的tools中查看是否有关键类

如果发现存在关键class的话，可以使用dumpclass.jar或者sa-jdi文件进行dump（sa-jdi.jar可以点击下图的create进行创建）

如下图所示
左半部分图片上面为存在类，成功导出；
左半部分下面为不存在无法导出的结果
在这里插入图片描述
使用jd-gui进行反编译