蓝队技能-应急响应篇&Web内存马查杀&JVM分析&Class提取&诊断反编译&日志定 ...

知识点：
1、应急响应-Web内存马-定性&排查
2、应急响应-Web内存马-分析&日志
注：传统WEB类型的内存马只要网站重启后就清除了。

演示案例-蓝队技能-JAVA Web内存马-JVM分析&日志URL&内存查杀

0、环境搭建

参考地点：https://blog.csdn.net/weixin_45910254/article/details/129694499
安装tomcat

安装jdk

设置setclasspath.bat

启动startup.bat

1、查杀脚本-java-memshell-scanner

项目地点：https://github.com/c0ny1/java-memshell-scanner
通过jsp脚本扫描并查杀各类中心件内存马，比Java agent要温和一些。

要想删掉内存马直接点击kill即可

2、监控项目-arthas

项目地点：https://github.com/alibaba/arthas
arthas为一款监控诊断产物，通过全局视角实时查察应用load、内存、gc、线程的状态信息。可使用该工具对内存马排查和分析，如攻击者隐蔽的深可将所有的类都反编译导出来然后逐一排查。

查察URL路由（看Servlet内存马,Filter看不到）

1. mbean | grep "name=/"

复制代码

sc查察JVM 已加载的类信息

1. sc *.Filter

复制代码

1. sc *.Servlet

复制代码

有怀疑的就可以dump下来去分析源码
jad反编译指定已加载类的源码(在线看)

1. jad --source-only org.apache.coyote.type.PlaceholderForType

复制代码

dump已加载类的bytecode到特定目录(下载)

1. dump org.apache.coyote.type.PlaceholderForType

复制代码

能看到源码之后就分析源码中是否有跟webshell有关的代码，如果看不懂或者懒得看，可以把这个源码放到java文件里上传到微步在线分析

3、GUI项目

项目地点：https://github.com/4ra1n/shell-analyzer
实时监控目标JVM，一键反编译分析代码，一键查杀内存马

4、学习资料

https://github.com/Getshell/Mshell

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。