网安面试必看:内存马的排查思路

于 2025-07-16 09:24:05 发布
阅读量534 收藏 7
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 面试 职场和发展 服务器 网络安全 java-ee java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Andytoe/article/details/149386906

什么是内存马

内存马(Memory Malware)是一种恶意软件,它的原理是将恶意代码加载到系统内存中并在内存中运行,从而实现对系统的控制和攻击。其主要工作过程可以分为以下几步:

  • 注入恶意代码:内存马通过漏洞或者其他方式,将自身的恶意代码注入到进程的内存空间中。
  • 替换执行流程:内存马修改进程的执行流程使得程序执行到恶意代码的入口点,从而启动恶意代码的运行。
  • 隐藏进程/文件:内存马会隐藏自己的进程和相关的恶意文件,以免被用户察觉。
  • 接收命令控制:内存马向指定的控制服务器发送心跳包,等待控制命令的下发,并执行相应的指令。

内存马的优点是具有隐蔽性,因为其不需要写入磁盘等外部存储介质,能够绕过传统的杀毒软件的检测,增加攻击者的成功率。同时内存马也很难被检测出来,因为其在内存中运行,没有留下任何痕迹。因此,内存马已成为当今网络攻击的主要手段之一

如何查杀内存马

查杀内存马相对于其他恶意软件更加困难,因为其在系统中并没有留下痕迹,常规的杀毒软件也很难检测它们的存在。但是我们仍然可以采取以下措施来查杀内存马:

  • 使用进程管理工具:通过查看系统进程列表,找到异常进程,看它是否是系统本身启动的进程。如果不是,则有可能是内存马程序在运行,此时需要立刻结束该进程。
  • 分析网络流量:内存马通常会向远程控制服务器发送数据,如果发现大量的网络流量从一些奇怪的端口或者IP地址发出,就可能遭受内存马攻击。此时应立即断开网络连接,并且寻找可疑的进程和文件进行查杀。
  • 使用安全检测工具:一些专业的安全检测工具(如Rootkit Hunter、chkrootkit等)可以检测系统中是否存在内存马程序,以及是否被篡改了关键组件,从而发现隐藏的内存马程序。
  • 升级安全补丁:内存马往往利用系统漏洞进行入侵,升级最新的安全补丁可以修复这些漏洞,从而有效预防内存马的入侵。

内存马的分类

根据内存马注入的方式,大致可以分为两类:

  1. servlet-api型
    通过命令执行等方式动态注册一个新的listener、filter或者servlet,从而实现命令执行等功能。特定框架、容器的内存马原理与此类似,如spring的controller内存马,tomcat的valve内存马
  2. 字节码增强型
    通过java的instrumentation动态修改已有代码,进而实现命令执行等功能。

内存马的排查思路

一旦发现并且确认了内存马应该怎么排查?

  1. 先判断是通过什么方法注入的内存马
    可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的。
  2. 从流量特征进行抓包分析
    查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。通过查找返回200的url路径对比web目录下是否真实存在文件,如不存在大概率为内存马。
  3. 排查中间件漏洞和框架漏洞
    如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。
面试考题合集
悦分享
04-04 358
同源策略限制不同源对当前document的属性内容进行读取或设置。不同源的区分:协议、域名、子域名、IP、端口,以上有不同时即不同源。中间人攻击是一个(缺乏)相互认证的攻击;由于客户端与服务器之间在ss握手的过程中缺乏相互认证而造成的漏洞。恶意软件-Malicious Software,malware:把未经授权便干扰或破坏计算机系统/络功能的程序或代码(一组指令)称之为恶意程序。一组指令:可能是二进制文件,也可能是脚本语言/宏语言等。
HW面试初中高级题目整合(后续更新答案)
weixin_51339377的博客
06-14 1557
总的来说,的技术这么些年没什么大的进步,所以24年的hw题目和22年的hw题目几乎可以说没什么区别,问的也大差不差。--->一般判断“误报”指的是全设备的告警类型与实际payload能不能对的上,如果对不上就是误报,对的上就进一步根据特征,和代码逻辑进行判断是不是告警。2.参加的是哪个单位的,是公部的护么,是做为外包公司去的么,是以什么身份去的呢(这里我不清楚,回答:和这次一样)没发现攻击行为,但是有一个文件落地了,会怎么做,怎么对他这个文件进行分析 是恶意的还是免杀的。
新型 tomcat websocket 内存检测与防护思路探究
Jinmindong
03-08 582
本文通过分析该新型内存原理,提出了对应的检测思路,并实现了一个简陋的内存检测代码和内存删除代码,希望该方法能够帮助有此需求的同行全运维人员,也希望能够抛砖引玉,开展更为深入的讨论。
中了内存如何排查(不死
m0_62207482的博客
05-02 1176
如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求 不同url但带有相同的参数,或者页面并不存在但返回200。还有一些比较弱的特征可以用来辅助检测,比如类名称中包含shell或者为随机名,使用不常 见的classloader加载的类。如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志。如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方 法。③xml配置中没注册的。
Java Servlet内存原理和应急响应查杀
最新发布
yy1715713348的博客
06-18 819
大家应该或多或少听说过 “一句话木” 或者 webshell (小、大)吧?以前黑客搞攻击,就把恶意代码塞进服务器的文件里,远程操控服务器,就跟在自己电脑上操作似的。但全防护技术不断进步,传统那种基于文件的 WebShell,想躲过检测和清理越来越难。所以,攻击者搞出了内存(Memory Shell),这是种无文件落地的木内存说白了,就是把恶意代码直接注入应用程序运行时的内存里。和传统基于文件的 WebShell 不一样,它不依赖磁盘上任何持久化存储。
内存检测排查手段
A1_3_9_7的博客
03-30 3279
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
如何排查JAVA内存
MachineGunJoe666
08-13 594
1、先查看检查服务器web日志,查看是否有可疑的web访问日志,比如说filter或者listener类型的内存,会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的请求。2、如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。
面试百题斩(都是常问!!!)
zzf011900的博客
01-14 1213
原理:在数据交互中,前端的数据传入到后台处理时,由于后端没有做严格的判。微简单,如果源码会将输入的值进行反序列化,那我们就需要提前将数据序列化。拿支付漏洞来说,简单思路有价格修改,支付状态修改,数量最大值溢出,订单。没有回显的情况下,一般编写脚本,进行自动化注入。但与此同时,由于防火墙。运行时栈,从而改变程序正常流向,轻则导致程序崩溃,重则系统特权被窃取。检查系统日志,检查系统用户,查看是否有异常的系统用户,检查异常进程,检。查隐藏进程,检查异常系统文件,检查系统文件完整性,检查络,检查系统计。
Windows权限维持技术总结、复现_cs权限维持(1)
2401_84297035的博客
04-26 1093
利用 windows 开机启动项实现权限的维持,每次系统启动都可实现后门的执行,很不错的权限维持的方式影子账户,顾名思义就像影子一样,跟主体是一模一样的,通过建立影子账户,可以获得跟管理员一样的权限,它无法通过普通命令进行查询,只能在注册表中找到其详细信息。映像劫持,也叫重定向劫持。即想运行 A.exe,结果运行的是B.exe。在 Windows NT 架构的系统中,IFEO 的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。
浅析JavaWeb内存基础原理与查杀思路
道阻且长,行则将至
04-04 6639
传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等全设备检测出来,于是无文件落地的内存技术得以诞生并快速发展。本文简要分析了Java内存的原理、分类,并实践了主流Webshell客户端管理工具内存的使用与当前应对内存的一些查杀思路、手段。
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 3188
内存原理 、实战与查杀
Java内存的检测与发现
blackpeach的博客
05-14 1244
Java内存检测方法包括注入jar包、dump class字节码、反编译源码及webshell检测,常用工具有FindShell、sa-jdi等,需结合反编译工具分析确认并处理。
java内存分析-[Godzilla-FilterShell]
milu_Sec的博客
12-30 2495
希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以加本人微信(i_still_be_milu)与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。这个特征是一个特别可疑的点了。当然了,有的内存还是比较狡猾的,它会注入class到当前线程中,然后实例化注入内存内存的Filter是动态注册的,所以在web.xml中肯定没有配置,这也是个可以的特征。内存的Filter是动态注册的,所以在web.xml中肯定没有配置,这也是个可以的特征。
应急响应—内存排查与查杀
2301_76227305的博客
03-11 2161
目前常用的查杀工具就这四款,主要是配合我们的手工进行一个查杀,如果是遇上哥斯拉的内存第一个工具估计检测不出来,因为冰蝎的内存做了hook,更加隐蔽。本来是想顺便演示一下的,但是冰蝎生成的shell死活连不上,也就放弃了。
学习了解内存,看这篇就够了!(精华版)_什么是内存
yy1715713348的博客
03-23 2795
内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到了几百家参演单位,内存也越来越多的被提起,逐渐成为了攻击方的“备武器”,针对内存的防护也越来越被重视。内存是无文件攻击的一种技术手段,那我们不得不先简单介绍一下无文件攻击。
HW面试常问——webshell&内存流量特征以及查杀
dreamer292的博客
07-13 3391
先判断是通过什么方法注入的内存,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存注入流量特征与普通webshell的流量特征基本吻合。冰蝎与webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。可以对符合该范围内的端口告警。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值