Java 内存马查杀工具

原创 于 2025-08-13 14:32:02 发布 · 379 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #内存马

工具介绍

Java 内存马查杀工具,基于 Agent + Instrumentation + ASM 的 Java 进程内存马检测与清除工具(含 GUI)

本项目是一款用于检测与清除 Java 进程中内存马的工具。工具设计为三部分:

  • GUI 管理端(JFormDesigner):提供可视化操作界面,用于目标进程选择、会话管理、实时日志查看与分发、审计与导出。
  • Agent(注入模块):运行在目标 JVM 内部,基于 Instrumentation获取字节码、保存原始字节码、使用 ASM 分析字节码以判定可疑/恶意模块,并在确认后通过 redefineClasses + 反射手段执行清除。
  • 部分工具类:如socket服务端,JVM列表处理类等

GUI 与 Agent 通过 socket 连接通信:日志集中展示并按内存马类型分发到对应日志面板,便于定位与审计。

socket分别监听本地8899端口和9900端口。

核心功能

  1. 注入与会话管理

    • 使用 Attach API 将 Agent 加载到目标 JVM,并建立 socket 会话。
    • 支持通过 PID 列表选择或手动指定目标进程。

  2. 字节码抓取与保存

    • 在目标进程内抓取内存马字节码。
    • 将抓取到的字节码持久化到磁盘(按包/类名组织),便于使用 JADX /IDEA 等工具反编译。

  3. 字节码分析(ASM)

    • 解析方法调用、反射使用、动态类生成、独立 ClassLoader 等可疑特征。
    • 根据规则/签名对可疑模块进行分类(例如:动态加载并执行字节数组的模块、持有网络回连逻辑的模块、注入到关键框架的 hook 等)。

  4. 清除逻辑

    • 对确认的内存马使用 Instrumentation.redefineClasses()将恶意类替换为安全/空实现。
    • 通过反射断开入口(清理静态字段、移除 hook、停止相关线程、关闭网络连接等)。
    • 清除操作在进程内执行并记录完整操作日志以备审计。

  5. 日志与告警

    • 所有检测与清除操作实时回传 GUI 并按模块分发到相应日志面板。
    • 支持标记高危事件为告警并导出审计报告。

工具使用

将Kill_Memshell.jar文件将MemShellScannerAgent-1.0-SNAPSHOT.jar文件放到同一目录下

java -jar MemShellScannerAgent-1.0-SNAPSHOT.jar

扫描与清除

  1. 启动 GUI 点击获取当前进程,可得到当前运行的JVM进程列表。
  2. 选择进程点击attach则可注入进程,下方的日志界面会输出检测进程和结果。在中间的内存马分类板块会输出各内存马相关信息。
  3. 在内存马板块获取到内存马类名后可在右侧板块按照格式[filter/servlet/listener…]classname 输入,点击清除内存马,即可移除进程中内存马。
  4. 导出的内存马字节码保存在当前根目录下的dumpClassFile文件夹中

日志与导出

  • 支持导出抓取到的字节码(打包为 zip)以便离线反编译分析。
  • 支持将检测报告导出为 JSON 或 HTML 以便存档与审计。

工具下载

https://github.com/CafeD1/Kill_Memshell

内存查杀copagent研究
SHELLCODE_8BIT的博客
09-11 1648
1.cop注入进程jvm进程2.agent扫描进程。
在校自研内存查杀工具,非常好用
S18374的博客
10-25 164
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
java内存查杀工具
qq_44749590的博客
08-18 1164
java内存查杀工具
Java内存查杀GUI工具
公众号:乌云安全
03-28 389
注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习功能:关于内存查杀的文章和工具已经有不少,不过大都不够完善,各有缺点;于是我做了一款版本的实时内存查杀工具,支持本地查杀与远程查杀;仅测试了这一种中间件,不过理论上任何实现了规范的中间件都可以查杀。优势:实时监控目标一键反编译分析代码一键查杀内存工具下载地址 : Java内存查杀GUI工具https://mp.weixin.qq.com/s/PEM83gFVAQeBWZ4lzixMGA
2024最新工具分享 | 自研内存查杀工具MemShellKiller,红队必备
苏诺木安全团队
12-26 302
2024最新工具分享 | 自研内存查杀工具MemShellKiller,红队必备
内存查杀工具FindShell试用
HRay's blog
03-17 7285
首先使用冰蝎创建一个内存 成功进入内存界面 接下来尝试使用findshell查杀,项目主页为 https://github.com/4ra1n/FindShell 服务器上首先部署代码,执行 git clone https://github.com/4ra1n/FindShell.git 然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装) mvn package 打包后在targe..
内存查杀工具使用
m0_64777251的博客
06-24 1136
jadheapdump干货|冰蝎、哥斯拉 内存应急排查_冰蝎内存-CSDN博客。
内存查杀工具
Python_0011的博客
02-10 807
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描。朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。Google hacking语法大全。”,否则可能就看不到了啦!
内存查杀工具分享!!!
logic1001的博客
02-23 1269
查杀内存
内存查杀工具cop使用方法
2302_77302329的博客
05-18 749
参考文章第二点:内存介绍及分析(转载) - 知乎
Java内存查杀
weixin_65629944的博客
12-18 540
Java内存查杀 只需要将tomcat-memshell-scanner.jsp放在可能被注入内存的web录下,然后使用浏览器访问即可直接获得扫描结果。通过jsp脚本扫描并查杀各类中间件内存。这里推荐几款内存查杀工具
在校自研内存查杀工具,非常实用
stopys6的博客
09-07 709
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
kmalloc
qq_24993025的博客
08-11 785
摘要: kmalloc是Linux内核中用于分配小块连续内存(≤4K)的核心机制,底层依赖slab(小内存)或buddysystem(大内存)。其分配策略为:≤8K从slab分配(预定义kmalloc_caches管理不同尺寸的slab,如8B~8K),>8K则直接调用buddysystem(最大支持4M)。内存地址通过内核启动时已建立线性映射(PA=VA-FixedOffset)。实现上,kmalloc通过编译优化区分常量/非常量请求,最终调用___kmalloc_large_node(buddysyst
Linux学习-应用软件编程(文件IO)
最新发布
2501_91684151的博客
08-12 826
Linux内核专门为应用层提供的文件操作方式。1.打开文件 open2.读写文件 read/write3.关闭文件 close。
零基础数据结构与算法——第七章:算法实践与工程应用-性能分析与瓶颈
qqxhb 资源共享
08-12 155
本文介绍了性能分析与优化的方法,通过汽车保养等生活例子类比编程优化过程。首先阐述了性能分析工具的重要性,包括性能分析器、基准测试、内存分析工具等,帮助定位程序瓶颈。然后分析了常见的性能瓶颈:不必要的对象创建、方法调用、IO操作和同步机制,通过代码示例对比展示了优化前后的差异。文章强调通过专业工具诊断问题并针对性优化,可以有效提升程序性能,就像精准维修汽车能显著改善其运行状态。这些优化技巧适用于各种编程场景,有助于开发高效稳定的软件系统。
【2025C卷】华为OD机试九日集训第5期 - 按算法分类,由易到难,提升编程能力和解题技巧
学Java,找哪吒
08-12 577
参加完华为OD七日集训的小伙伴,可以写一篇“华为OD七日集训总结”文章,发布在CSDN,作为一个成果物。支持ChatGPT所有插件,可创建自己的ChatGPT插件,使用朋友分享的自定义插件。例如最强编程插件Code Copilot、AI绘画插件DALL-E、论文专属Consensus、搜索文献插件Scholar GPT。刷了700多道题。
Java与C++:max函数对比全解析
2301_80215285的博客
08-11 400
Java 提供了类似 C++ max 函数的功能,但实现方式不同。Math.max() 用于基本类型比较,Collections.max() 和 Stream API 处理对象比较。Java 通过重载方法支持不同类型,而 C++ 使用模板。对于多值比较,Java 需使用 Stream API 或循环实现。自定义比较需通过 Comparator 接口,而 C++ 可直接传入比较函数。Java 的方案更类型安全,但 C++ 的模板更灵活。实际开发中,Java 的 Math.max()、Collections.m
C#抽象类不能实例化,只能被继承。抽象成员没有实现,必须在非抽象的派生类中重写并提供实现。
ISDF工软未来
08-12 244
摘要:本文介绍了C#中抽象类和抽象成员的特性与应用。抽象类不可实例化,只能作为基类继承,可包含抽象成员(无实现)和普通成员(有实现),常用于定义通用模板。抽象成员强制派生类用override实现,包括方法、属性等。文章通过StorageDevicecs抽象类及其派生类(UDISK、mp3、Mobile_Harddrive)的实例,展示了抽象类的实际应用:定义统一接口(Read/Write),各子类实现具体功能,Computer类通过抽象类引用调用不同设备的功能,体现了多态性。关键点:1)子类必须实现所有抽象
Spring Boot WebSocket实时在线人数统计
我的博客
08-10 678
通过以上完整实现方案,可以构建一个高性能、可靠的实时在线人数统计系统。根据实际业务需求,可以选择内存存储或Redis集群方案,并灵活调整各项配置参数。订阅/topic/onlineUsers。WebSocket连接(/ws)发送/app/hello消息。
内存查杀
08-07
内存是一种无文件攻击技术,攻击者通过在内存中注入恶意代码来实现持久化控制,避免了将恶意代码写入磁盘文件,从而绕过传统的基于文件的检测机制。针对内存查杀,通常依赖于内存分析、行为检测以及特定工具的使用。 ### 内存查杀方法 1. **Java Agent 技术** Java Agent 是一种可以在 JVM 启动时或运行时动态修改类字节码的技术。通过编写自定义的 Java Agent,可以实现对内存中加载的类进行监控和分析,检测是否存在异常的类加载行为,从而发现内存的存在。例如,`copagent` 是一个基于 Java Agent 的内存检测与清除工具,能够对运行中的 Java 应用进行实时监控[^1]。 2. **Arthas 分析与排查** Arthas 是阿里巴巴开源的 Java 诊断工具,支持对运行中的 Java 应用进行线程、类加载、JVM 状态等多维度的分析。通过 Arthas 可以查看当前加载的类信息,识别出未在磁盘上存在的类,从而判断是否为内存。例如,使用 `sc` 命令查看所有已加载的类,若发现某个类在磁盘上不存在,则可能是内存。此外,还可以使用 `thread` 命令查看线程信息,识别异常线程[^4]。 3. **内存快照分析** 对运行中的进程进行内存快照(heap dump)分析,可以识别出异常的类或对象。通过 `jmap` 工具生成堆转储文件后,使用 `MAT`(Memory Analyzer Tool)等工具进行分析,查找可疑的类或对象。例如,某些内存会通过 `ClassLoader` 动态加载恶意类,这些类通常不会出现在正常的类路径中[^1]。 4. **行为监控与流量分析** 内存虽然不依赖磁盘文件,但仍会通过网络进行通信。通过流量监控工具(如 Wireshark、Suricata 等)可以检测异常的网络连接和通信模式。例如,某些内存可能会定期与 C2 服务器通信,发送心跳包或接收命令。结合 IDS/IPS 规则,可以识别这类行为[^2]。 5. **Web 容器日志与线程分析** 在 Tomcat 等 Web 容器中,可以通过日志分析和线程状态监控来识别内存。例如,某些内存会通过 Filter 或 Servlet 实现持久化,导致 Web 容器中出现异常的 Filter 或 Servlet 配置。通过检查 `web.xml` 配置文件或运行时加载的 Filter 信息,可以发现异常配置[^1]。 ### 内存查杀工具 1. **Tomcat Memshell Scanner** 该工具专为检测 Tomcat 中的内存而设计,支持对运行中的 Tomcat 实例进行扫描,识别异常的类加载行为和 Filter/Servelt 配置。该工具可以通过命令行运行,并输出详细的扫描结果,便于进一步分析[^1]。 2. **copagent** 这是一个基于 Java Agent 的内存检测与清除工具,支持对运行中的 Java 应用进行实时监控。通过加载自定义的 Agent,可以拦截类加载事件,识别异常类并进行清除操作。该工具开源且易于集成到现有系统中[^1]。 3. **Java-Memshell-Scanner** 由 c0ny1 开发的内存扫描工具,支持对 Java Web 应用中的 Filter、Servlet 等组件进行扫描,识别潜在的内存攻击。该工具可以通过命令行调用,并提供详细的扫描报告,便于安全人员进行后续分析。 4. **Arthas** 作为一款强大的 Java 诊断工具,Arthas 提供了多种命令用于分析运行中的 Java 应用。通过 `sc` 命令可以查看所有已加载的类,通过 `thread` 命令可以查看线程状态,识别异常线程。此外,Arthas 还支持动态修改类字节码,可用于清除内存。 5. **Sysdig Falco** 虽然不是专为内存设计,但 Falco 是一个强大的行为监控工具,支持对系统调用、网络连接、文件访问等行为进行实时监控。通过定义自定义规则,可以检测到内存相关的异常行为,如异常的网络连接、线程创建等[^2]。 ### 示例:使用 Arthas 查看已加载类 ```bash # 查看所有已加载的类 sc -d *.* ``` 该命令将列出所有已加载的类及其类加载器信息,便于识别异常类。 ### 示例:使用 jmap 生成堆转储文件 ```bash # 生成堆转储文件 jmap -dump:format=b,file=heap.bin <pid> ``` 生成的 `heap.bin` 文件可以使用 MAT 工具进行分析,查找可疑对象。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李白你好

年轻人,少吐槽,多搬砖

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值