内存马查杀工具FindShell试用

原创 已于 2022-03-17 22:47:56 修改 · 7.2k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内存马查杀 #findshell

于 2022-03-17 20:34:12 首次发布
本文介绍了如何使用FindShell工具检测内存马,详细步骤包括代码部署、执行与分析。通过修改NameFilter.java和Constant.java,增强了工具的查杀能力,使其能更多地dump和分析可疑文件。最后,建议了内存马清理和预防措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先使用冰蝎创建一个内存马

成功进入内存马界面

接下来尝试使用findshell查杀,项目主页为

https://github.com/4ra1n/FindShell

服务器上首先部署代码,执行

git clone https://github.com/4ra1n/FindShell.git

然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装)

mvn package

打包后在target目录下生成FindShell-1.0.jar文件

通过官方文档得知检测命令为

java -jar FindShell.jar --pid [目标JVM的PID]

我们首先通过jps命令获取jvm的pid

再执行

java -jar FindShell-1.0.jar --pid 2230

发现内存马

 如果需要自行分析内容,可以增加--debug参数,执行

java -jar FindShell-1.0.jar --pid 2230 --debug

这样dump出来的class文件会放到out目录下,我们也可以自行反编译class文件分析,下图为反编译看到的内存马内容

发现内存马就需要清理,鉴于内存马可能有多个,且程序也有可能无法全部查出来,有条件的情况下,最好还是可以重启tomcat

----------------20220317补充--------------

参考文章https://xz.aliyun.com/t/10910

程序为了减少dump过多导致性能等问题,做了黑名单,满足黑名单名称的类才会进行dump分析,默认dump的文件比较少,因此我做了下简单修改,让程序不过分影响性能的情况下尽量多dump一些文件分析

1.修改src/main/java/org/sec/util/NameFilter.java  33行if (klassName.contains(k)) {为if (klassName.toLowerCase().contains(k)) {  使其匹配class名称时忽略大小写

2.修改src/main/java/org/sec/Constant.java  增加keyword,框起来的是我自己增加的

增加了cmd,filter,servlet三个 

3.修改后重新执行mvn package打包即可

 

内存查杀copagent研究
SHELLCODE_8BIT的博客
09-11 1648
1.cop注入进程jvm进程2.agent扫描进程。
应急响应 -162天:webshell和内存查杀
wuqingsix的博客
02-14 1062
如:利用此系统中间件等爆出的通用漏洞,利用安全知识进行模拟攻击,了解外来攻击的方法。应急人员:通过网站程序利用红队思路排查漏洞,根据漏洞数据包配合日志分析攻击行为。应急人员:在时间和漏洞配合日志没有头绪分析下,可以尝试对后门分析找到攻击行为。获取当前WEB环境的组成架构(语言,数据库,中间件,系统等)如:翻日志 确定攻击时间,请求方式,请求地址,ip。背景交代:某公司在某个时间发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。背景交代:某公司在发现网站出现篡改或异常。
在校自研内存查杀工具,非常好用
stopluox的博客
09-20 229
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
内存检测排查手段
热门推荐
SimoSimoSimo的博客
11-05 2万+
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
Java Servlet内存原理和应急响应查杀
yy1715713348的博客
06-18 900
大家应该或多或少听说过 “一句话木” 或者 webshell (小、大)吧?以前黑客搞攻击,就把恶意代码塞进服务器的文件里,远程操控服务器,就跟在自己电脑上操作似的。但安全防护技术不断进步,传统那种基于文件的 WebShell,想躲过检测和清理越来越难。所以,攻击者搞出了内存(Memory Shell),这是种无文件落地的木内存说白了,就是把恶意代码直接注入应用程序运行时的内存里。和传统基于文件的 WebShell 不一样,它不依赖磁盘上任何持久化存储。
内存查杀工具
Python_0011的博客
02-10 807
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描。朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。Google hacking语法大全。”,否则可能就看不到了啦!
查杀内存工具
weixin_46211944的博客
09-23 648
查杀内存工具
HVV之内存检测工具
公众号:乌云安全
09-23 844
一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木检测(检测所有已知内存加载木)
在校自研内存查杀工具,非常实用
stopys6的博客
09-07 709
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
1、应急响应-网站入侵检测&访问日志&漏洞排查&Webshell内存查杀
m0_65842464的博客
01-22 1418
针对网页篡改与Web后门攻击应对措施: 基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。 如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为 如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击 如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击
内存查杀工具分享!!!
logic1001的博客
02-23 1270
查杀内存
内存查杀工具使用
m0_64777251的博客
06-24 1136
jadheapdump干货|冰蝎、哥斯拉 内存应急排查_冰蝎内存-CSDN博客。
应急--内存查杀演示(极简)
m0_58355451的博客
08-30 4378
由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的。以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
IT软件汇
09-11 365
工具分享 | 自研内存查杀工具MemShellKiller,红队必备
SRC实战 | 信息泄露挖掘
logic1001的博客
03-13 820
1. 信息搜集首先老语法先搜集一波,毕竟没有钓鱼和sg的能力,只能找注册站去挖挖了。web.title=”XX大学”&&web.body=”忘记密码”&&web.body=”注册”
java内存查杀工具
qq_44749590的博客
08-18 1164
java内存查杀工具
tomcat-memshell-scanner.jsp脚本工具在windows上怎么使用
最新发布
06-24
<think>我们正在讨论的是在Windows系统上使用tomcat-memshell-scanner.jsp脚本工具来检测Tomcat内存。根据引用[2]中提到的工具,tomcat-memshell-scanner是用于Java内存检测的工具之一。步骤指南:1.获取工具:从GitHub下载java-memshell-scanner项目(项目地址:https://github.com/c0ny1/java-memshell-scanner)2.部署到Tomcat:将下载的tomcat-memshell-scanner.jsp文件放在Tomcat服务器的web应用目录下(例如ROOT目录),以便通过浏览器访问。3.访问扫描页面:在浏览器中输入该jsp文件的URL(如:http://localhost:8080/tomcat-memshell-scanner.jsp)4.执行扫描:按照页面提示进行操作,扫描Tomcat内存中的恶意后门(内存)。5.查看结果:扫描完成后,页面会显示检测结果。注意:该工具需要在Tomcat服务器上运行,因此需要确保服务器已启动,并且有权限部署该jsp文件。引用[2]中提到了多个工具,其中tomcat-memshell-scanner.jsp就是用于Tomcat内存扫描的。根据引用[3],内存检测还可以使用VisualVM等工具进行辅助分析,但这里我们专注于使用tomcat-memshell-scanner.jsp。详细步骤:1.下载工具:访问GitHub项目:https://github.com/c0ny1/java-memshell-scanner下载整个项目(可以点击Code->DownloadZIP),或者直接下载tomcat-memshell-scanner.jsp文件(在项目的jsp目录下)。2.部署到Tomcat:-将tomcat-memshell-scanner.jsp文件复制到Tomcat的webapps目录下的某个应用中,比如ROOT(即默认应用)目录下。-如果Tomcat正在运行,可能需要重启Tomcat(但通常jsp文件放入后可以直接访问,无需重启)。3.访问工具:在浏览器中访问:http://<你的服务器IP>:<端口>/tomcat-memshell-scanner.jsp例如,本地Tomcat默认地址:http://localhost:8080/tomcat-memshell-scanner.jsp4.使用工具:打开页面后,通常会有一个按钮或链接来启动扫描。点击后,工具会扫描当前Tomcat容器中加载的所有类和过滤器等,检测是否存在已知的内存。5.结果解读:工具会列出可疑的类,并标记出已知的内存特征。根据结果,可以进一步处理恶意内存。注意:由于内存是运行在内存中的,清除内存通常需要重启Tomcat服务。在检测到内存后,应进一步排查漏洞入口,防止再次被注入。另外,引用[2]还提到了其他工具,如河内存查杀工具(有Windows版本),也可以作为备选方案。相关问题:1.如何清除检测到的内存?2.除了使用tomcat-memshell-scanner.jsp,还有哪些方法可以检测Java内存?3.如何预防内存注入?</think>### Windows上使用tomcat-memshell-scanner.jsp指南 #### 工具简介 `tomcat-memshell-scanner.jsp` 是检测Tomcat内存的专用工具[^2],通过扫描内存中的恶意Filter/Servlet/Listener等组件,识别无文件Webshell。项目地址:https://github.com/c0ny1/java-memshell-scanner --- #### 使用步骤 1. **下载工具** - 访问GitHub项目 → 下载`jsp`目录中的扫描脚本 - 或直接下载:[tomcat-memshell-scanner.jsp](https://raw.githubusercontent.com/c0ny1/java-memshell-scanner/master/jsp/tomcat-memshell-scanner.jsp) 2. **部署脚本** ```powershell # 将脚本放入Tomcat的web应用目录(如ROOT) copy tomcat-memshell-scanner.jsp C:\apache-tomcat-9.0\webapps\ROOT\ ``` 3. **访问扫描页面** - 浏览器打开:`http://localhost:8080/tomcat-memshell-scanner.jsp` - 显示扫描界面: ![扫描界面示例](https://github.com/c0ny1/java-memshell-scanner/raw/master/images/en_index.png) 4. **执行扫描** - 点击`Scan`按钮启动检测 - 检测内容: - 恶意Filter链 - 动态注册的Servlet - 异常Listener - 内存特征(如哥斯拉/冰蝎等) 5. **结果解读** - **红色条目**:高风险内存 - **黄色条目**:可疑组件 - 关键字段: - `Class Name`:恶意类名 - `Pattern`:匹配的内存特征 - `Risk Level`:风险等级 6. **清除内存** ```powershell # 必须重启Tomcat服务才能清除内存驻留 net stop Tomcat9 && net start Tomcat9 ``` --- #### 注意事项 1. **权限要求** - 脚本需在Tomcat进程用户权限下运行 - 若遇权限错误,修改`catalina.policy`添加: ```java grant codeBase "file:${catalina.base}/webapps/ROOT/-" { permission java.security.AllPermission; }; ``` 2. **误报处理** - 排除已知安全组件(如Shiro): ```java // 修改源码中的检测规则 excludePatterns.add("org.apache.shiro."); ``` 3. **替代方案** - 河内存查杀工具(Windows版):[下载链接](https://dl.shellpub.com/hmws/1.2.0/hmws-1.2.0.zip)[^2] - copagent工具:[项目地址](https://github.com/ofmkms/copagent) --- #### 检测原理 通过反射获取`ApplicationContext`的`filterMaps`和`filterConfigs`,比对已知内存特征: ```java Field filterMaps = context.getClass().getDeclaredField("filterMaps"); filterMaps.setAccessible(true); List<FilterMap> filterMapList = (List<FilterMap>) filterMaps.get(context); ``` 特征库包含哥斯拉/冰蝎等常见内存的类名、方法签名和字节码模式[^3]。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值