内存马查杀工具FindShell试用
首先使用冰蝎创建一个内存马
成功进入内存马界面
接下来尝试使用findshell查杀,项目主页为
https://github.com/4ra1n/FindShell
服务器上首先部署代码,执行
git clone https://github.com/4ra1n/FindShell.git
然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装)
mvn package
打包后在target目录下生成FindShell-1.0.jar文件
通过官方文档得知检测命令为
java -jar FindShell.jar --pid [目标JVM的PID]
我们首先通过jps命令获取jvm的pid
再执行
java -jar FindShell-1.0.jar --pid 2230
发现内存马
如果需要自行分析内容,可以增加--debug参数,执行
java -jar FindShell-1.0.jar --pid 2230 --debug
这样dump出来的class文件会放到out目录下,我们也可以自行反编译class文件分析,下图为反编译看到的内存马内容
发现内存马就需要清理,鉴于内存马可能有多个,且程序也有可能无法全部查出来,有条件的情况下,最好还是可以重启tomcat
----------------20220317补充--------------
参考文章https://xz.aliyun.com/t/10910
程序为了减少dump过多导致性能等问题,做了黑名单,满足黑名单名称的类才会进行dump分析,默认dump的文件比较少,因此我做了下简单修改,让程序不过分影响性能的情况下尽量多dump一些文件分析
1.修改src/main/java/org/sec/util/NameFilter.java 33行if (klassName.contains(k)) {为if (klassName.toLowerCase().contains(k)) { 使其匹配class名称时忽略大小写
2.修改src/main/java/org/sec/Constant.java 增加keyword,框起来的是我自己增加的
增加了cmd,filter,servlet三个
3.修改后重新执行mvn package打包即可
内存马查杀工具FindShell试用相关推荐
- java内存马查杀工具
java-memshell-scanner:扫描java内存马 <%@ page import="java.net.URL" %> <%@ page import ...
- Java内存马查杀GUI工具
注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习 功能: 关于Java Web内存马查杀的文章和工具已经有不少,不过大都不够完善,各有缺点:于是我做了一款GUI版本的实时内 ...
- 【应急响应】网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析
网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析 章节内容点: IIS&.NET-注入-基于时间配合日志分析 Apache&PHP-漏洞-基于漏 ...
- 内存马查杀copagent研究
项目简介 copagent主要用于内存马查杀. 项目编译 1.生成agent.jar 2.将其拷贝进入cop的resources文件夹中 3.生成cop.jar 将刚才的agent.jar,拷贝到re ...
- 应急响应 -162天:webshell和内存马查杀
首要任务: 获取当前WEB环境的组成架构(语言,数据库,中间件,系统等) #IIS&.NET-注入-基于时间配合日志分析 背景交代:某公司在某个时间发现网站出现篡改或异常 应急人员:通过时间节 ...
- 网站后门查杀工具推荐
作为一个小站长,对于网站的后门代码肯定是深恶痛绝的,尤其是在建站初期,因为一些原因而使用非正版主题,很容易出现这个问题,而往往一些不良的代码贩子,总喜欢给自己贩卖的主题等源代码贴上完美破解.无后门等标 ...
- 恶意软件查杀工具分享
此分享为恶意软件查杀工具,百度云盘下载云盘下载链接 提取码:py07 此链接永久有效
- 1.41亿部手机装有间谍软件! 360推国内首个CIQ查杀工具
近日,一款名为Carrier IQ(简称CIQ)的内核级间谍软件被曝光.该软件会暗中收集用户隐私信息,甚至每按下一个键盘都会被秘密地记录在案.中国不少智能手机用户,尤其是水货手机用户人心惶惶.对此,3 ...
- [应急响应]7款WebShell扫描检测查杀工具
1.D盾 防火墙 阿D出品,免费,GUI,WebShell扫描检测查杀 功能特性简介 支持系统:win2003/win2008/win2012/win2016 PHP支持:FastCGI/ISAPI ...
最新文章
- r 保留之前曲线_R简单数据处理和分析
- Ganglia集群监控系统搭建
- GDCM:gdcm::FileMetaInformation的测试程序
- 姚期智:算法将推动下一波AI浪潮,现有革新将达极限
- 堆栈的缓冲区溢出进不了系统_一文理解缓冲区溢出
- jenkins+docker 持续构建非docker in docker
- 横向移动-WINRM
- Python刷脸签到系统(附源码)
- moments音标_moment的意思在线翻译,解释moment中文英文含义,短语词组,音标读音,例句,词源,同义词【澳典网ODict.Net】...
- 3DMark2001 SE + 汉化包 下载
- 什么是Kodu---Kodu少儿编程第一天
- matplotlib.pyplot.colormaps色彩图cmap
- 全球主要高光谱遥感卫星介绍
- matlab中im2bw
- 设计一个程序,程序中有三个类,Triangle,Lader,Circle。
- GIF一下你也可以拍大片 微影戏程序
- 嵌入式设备的知识产权保护
- 跟我学AngularJs:AngulaJs开发技巧汇总(持续更新)
- matlabR2016a版本下载容易走进的错误(软件管家下的
- 怎么处理ERP体系软件数据的安全问题