色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

電子發(fā)燒友App

硬聲App

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示
創(chuàng)作
電子發(fā)燒友網(wǎng)>電子資料下載>電子資料>FindShell內(nèi)存馬查殺工具

FindShell內(nèi)存馬查殺工具

2022-05-06 | zip | 1.08 MB | 次下載 | 2積分

資料介紹

授權(quán)協(xié)議 Apache-2.0
開發(fā)語言 Java
軟件類型 開源軟件
所屬分類 管理和監(jiān)控漏洞檢測掃描和評估

軟件簡介

FindShell 是一個自動的內(nèi)存馬查殺工具,可以用于普通內(nèi)存馬和Java Agent內(nèi)存馬。

尤其針對難以查殺的Java Agent型內(nèi)存馬,例如冰蝎等主流工具的內(nèi)存馬都是Java Agent

主要分為以下四步:

  • 利用JDK提供的sa-jdiAPI基于黑名單dump存在于JVM真正的字節(jié)碼
  • 這種字節(jié)碼在很多情況下是非法的,所以我修改了ASM源碼以分析非法字節(jié)碼
  • 基于ASM做普通的分析和模擬棧幀做深入的分析
  • 如果發(fā)現(xiàn)內(nèi)存馬將會嘗試自動修復目標(利用Java Agent動態(tài)恢復原始字節(jié)碼)

檢測

基本檢測:java -jar FindShell.jar --pid [目標JVM的PID]

這個pid的獲取方式可以通過jps命令找到你需要的目標JVMpid

這種情況下默認必檢測的類有以下四個(最常見的Java Agent內(nèi)存馬出現(xiàn)的地方)

類名 方法名
javax/servlet/http/HttpServlet service
org/apache/catalina/core/ApplicationFilterChain doFilter
org/springframework/web/servlet/DispatcherServlet doService
org/apache/tomcat/websocket/server/WsFilter doFilter

并對以下的黑名單類進行檢測(如果類名出現(xiàn)關(guān)鍵字則dump并分析該類字節(jié)碼)

keyword.add("shell");
keyword.add("memshell");
keyword.add("agentshell");
keyword.add("exploit");
keyword.add("payload");
keyword.add("rebeyond");
keyword.add("metasploit");

注意:

  • 修改org.sec.Constant代碼可以自定義黑名單和關(guān)鍵字
  • 加入--debug參數(shù)保留從JVMdump出的字節(jié)碼供自行分析
  • 并不是所有類的字節(jié)碼都可以dump成功,但常見的這些類測試中沒問題

修復

目前僅做了Java Agent內(nèi)存馬的自動修復,支持最常見的HttpServletApplicationFilterChain

檢測和修復:java -jar FindShell.jar --pid [PID] --repair

根目錄存在一個RepairAgent.jar文件,這不屬于該項目,但我將代碼放在org.sec.repair包中供參考

注意:修復手段僅靶機測試成功,在真實環(huán)境中使用請慎重

原理

  • 為什么不直接用Java AgentAlibaba Arthas工具對JVM當前字節(jié)碼進行dump

Java Agent內(nèi)存馬是調(diào)用redefineClass方法對字節(jié)碼進行修改的。而調(diào)用retransformClass方法的時候參數(shù)中的字節(jié)碼并不是調(diào)用redefineClass后被修改的類的字節(jié)碼。對于冰蝎來講,根本無法獲取被冰蝎修改后類的字節(jié)碼。我們自己寫Java Agent清除內(nèi)存馬的時候,同樣也是無法獲取到被redefineClass修改后的字節(jié)碼,只能獲取到被retransformClass修改后的字節(jié)碼。通過JavaassistASM工具獲取到類的字節(jié)碼,也只是讀取磁盤上響應類的字節(jié)碼,而不是JVM中的字節(jié)碼

  • 那么怎樣獲得存在于JVM真正的字節(jié)碼

之前有寬字節(jié)安全的師傅提到利用sa-jdi工具對真正的當前字節(jié)碼進行dump后反編譯結(jié)合人工分析,該工具也是基于JDK自帶的sa-jdi庫實現(xiàn)的,不過加入了一些過濾的選項

  • 什么情況下這樣的字節(jié)碼為什么是非法的

當目標類存在lambda表達式的時候會導致非法字節(jié)碼,具體可以參考我的文章

  • 修改了哪些源碼以解析非法字節(jié)碼

參考連接:修改源碼說明

  • 為什么要結(jié)合普通字節(jié)碼分析和模擬棧幀分析兩種呢

因為Runtime.exec這種調(diào)用很不常見且過程簡單,用普通的字節(jié)碼分析即可解決。但是冰蝎的反射調(diào)用defineClass并反射invoke以實現(xiàn)代碼執(zhí)行效果的方式,過程比較復雜,且反射調(diào)用是程序中的常見功能,簡單的分析會導致誤報

  • 什么是模擬棧幀分析

參考文章:詳解Java自動代碼審計工具實現(xiàn)??基于污點分析的JSP Webshell檢測

免責聲明

工具僅用于安全研究以,由于使用該工具造成的任何后果使用者負責

?

下載該資料的人也在下載 下載該資料的人還在閱讀
更多 >

評論

查看更多

下載排行

本周

  1. 1山景DSP芯片AP8248A2數(shù)據(jù)手冊
  2. 1.06 MB  |  532次下載  |  免費
  3. 2RK3399完整板原理圖(支持平板,盒子VR)
  4. 3.28 MB  |  339次下載  |  免費
  5. 3TC358743XBG評估板參考手冊
  6. 1.36 MB  |  330次下載  |  免費
  7. 4DFM軟件使用教程
  8. 0.84 MB  |  295次下載  |  免費
  9. 5元宇宙深度解析—未來的未來-風口還是泡沫
  10. 6.40 MB  |  227次下載  |  免費
  11. 6迪文DGUS開發(fā)指南
  12. 31.67 MB  |  194次下載  |  免費
  13. 7元宇宙底層硬件系列報告
  14. 13.42 MB  |  182次下載  |  免費
  15. 8FP5207XR-G1中文應用手冊
  16. 1.09 MB  |  178次下載  |  免費

本月

  1. 1OrCAD10.5下載OrCAD10.5中文版軟件
  2. 0.00 MB  |  234315次下載  |  免費
  3. 2555集成電路應用800例(新編版)
  4. 0.00 MB  |  33566次下載  |  免費
  5. 3接口電路圖大全
  6. 未知  |  30323次下載  |  免費
  7. 4開關(guān)電源設(shè)計實例指南
  8. 未知  |  21549次下載  |  免費
  9. 5電氣工程師手冊免費下載(新編第二版pdf電子書)
  10. 0.00 MB  |  15349次下載  |  免費
  11. 6數(shù)字電路基礎(chǔ)pdf(下載)
  12. 未知  |  13750次下載  |  免費
  13. 7電子制作實例集錦 下載
  14. 未知  |  8113次下載  |  免費
  15. 8《LED驅(qū)動電路設(shè)計》 溫德爾著
  16. 0.00 MB  |  6656次下載  |  免費

總榜

  1. 1matlab軟件下載入口
  2. 未知  |  935054次下載  |  免費
  3. 2protel99se軟件下載(可英文版轉(zhuǎn)中文版)
  4. 78.1 MB  |  537798次下載  |  免費
  5. 3MATLAB 7.1 下載 (含軟件介紹)
  6. 未知  |  420027次下載  |  免費
  7. 4OrCAD10.5下載OrCAD10.5中文版軟件
  8. 0.00 MB  |  234315次下載  |  免費
  9. 5Altium DXP2002下載入口
  10. 未知  |  233046次下載  |  免費
  11. 6電路仿真軟件multisim 10.0免費下載
  12. 340992  |  191187次下載  |  免費
  13. 7十天學會AVR單片機與C語言視頻教程 下載
  14. 158M  |  183279次下載  |  免費
  15. 8proe5.0野火版下載(中文版免費下載)
  16. 未知  |  138040次下載  |  免費
主站蜘蛛池模板: 久久88综合| 亚洲黄色官网| 牛牛超碰 国产| 久久久久久久久免费视频| 国精产品999一区二区三区有限| 久久中文字幕综合不卡一二区 | 肉动漫无修在线播放| 美女胸网站| 美女张开让男生桶| 美女pk精子2小游戏| 老师在讲桌下边h边讲课| 久久综合视频网站| 久久综合久久伊人| 看全色黄大色大片免费久黄久| 久久精品123| 理论片87福利理论电影| 毛片手机在线观看| 欧美 亚洲 日韩 在线综合| 免费一级特黄欧美大片久久网| 免费国产足恋网站| 欧美人成在线观看ccc36| 欧美日韩高清一区| 三级网站视频在线观看| 骚浪插深些好烫喷了| 我的年轻漂亮继坶三级| 亚洲国产五月综合网| 一个人在线观看视频| 中国女人内谢69xxxxxx直播 | 日本学生VIDEOVIDEOS更新| 日产久久视频| 无人区尖叫之夜美女姐姐视频| 亚洲成在人线视频| 伊人久久综合| 99久久精品国产一区二区三区| 苍井空a 集在线观看网站| 国产成人免费a在线资源| 果冻传媒在线观看资源七夕| 久久久无码精品亚洲欧美| 欧美一区二区激情视频| 舔1V1高H糙汉| 樱花草在线影视WWW日本动漫|