内存马查杀工具

最新推荐文章于 2025-09-03 20:33:19 发布
原创 最新推荐文章于 2025-09-03 20:33:19 发布 · 831 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pycharm #ide #python

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全设为星标”,否则可能就看不到了啦!

01

工具介绍

查杀内存马

java -jar aLIEz.jar JVMID aLIEz-agent-1.0-SNAPSHOT.jar

使用方法

➜ java -jar aLIEz.jar``usage: java -jar clearMemShell.jar <JVMID> "AgentLocate"``32866: org.jetbrains.idea.maven.server.RemoteMavenServer36``43237: org.jetbrains.jps.cmdline.Launcher /Applications/IntelliJ IDEA.app/Contents/lib/netty-common-4.1.52.Final.jar:/Applications/IntelliJ IDEA.app/Contents/lib/netty-resolver-4.1.52.Final.jar:/Applications/IntelliJ IDEA.app/Contents/plugins/java/lib/javac2.jar:/Applications/IntelliJ IDEA.app/Contents/lib/httpclient-4.5.12.jar:/Applications/IntelliJ IDEA.app/Contents/lib/plexus-component-annotations-1.7.1.jar:/Applications/IntelliJ IDEA.app/Contents/lib/maven-resolver-spi-1.3.3.jar:/Applications/IntelliJ IDEA.app/Contents/lib/util.jar:/Applications/IntelliJ IDEA.app/Contents/lib/platform-api.jar:/Applications/IntelliJ IDEA.app/Contents/lib/qdox-2.0-M10.jar:/Applications/IntelliJ IDEA.app/Contents/lib/asm-all-9.0.jar:/Applications/IntelliJ IDEA.app/Contents/lib/commons-lang3-3.10.jar:/Applications/IntelliJ IDEA.app/Contents/lib/jna.jar:/Applications/IntelliJ IDEA.app/Contents/lib/trove4j.jar:/Applications/IntelliJ IDEA.app/Contents/lib/nanoxml-2.2.3.jar:/Applications/IntelliJ IDEA.app/Contents/lib/maven-resolver-api``45253: org.jetbrains.idea.maven.server.RemoteMavenServer36``69401: org.jetbrains.idea.maven.server.RemoteMavenServer36``51529: Behinder_v3.0_Beta6_mac.jar``56185: org.apache.catalina.startup.Bootstrap start``57449: aLIEz.jar``37197:``64783: org.jetbrains.idea.maven.server.RemoteMavenServer36``56879: Godzilla-V2.96.jar``   ``15:18:23 in out/artifacts/aLIEz_jar``➜ java -jar aLIEz.jar 56185 "/Users/r00t4dm/Downloads/JavaAgent_CleanMemShell/target/aLIEz-agent-1.0-SNAPSHOT.jar"``[+]OK.i find a jvm.org.apache.catalina.startup.Bootstrap start``[+]agent is injected.

02

工具下载

03

往期精彩

[

一个基于 Spring Boot 的在线免杀生成平台

](http://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247489769&idx=1&sn=ff7251df31875cb0d5dd3bc160f6e6e6&chksm=c3685c11f41fd507da916fd9bfb1be84447819a546bc1ba6744214833532cdcc154e12c6a17b&scene=21#wechat_redirect)

[

Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描

](http://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247489767&idx=1&sn=6cc9e8a818ac1e5e50883d653f165c66&chksm=c3685c1ff41fd50955722dd2abd4f21fea8b62fbd18a0ee03b7f53d532585d35786c98ccf43c&scene=21#wechat_redirect)

[

Google hacking语法大全

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

内存查杀工具使用
m0_64777251的博客
06-24 1240
jadheapdump干货|冰蝎、哥斯拉 内存应急排查_冰蝎内存-优快云博客。
在校自研内存查杀工具,非常实用
stopys6的博客
09-07 762
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
内存检测排查手段
最新发布
lza20001103的博客
09-03 913
内存检测排查手段
java内存原理和检测方法
m0_67170526的博客
04-02 1766
内存为现在的主流webshell技术之一, 一般存在于JAVA环境, ASPX环境也有内存,但是PHP没有(有不死,类似条件竞争)内存主要用途是做权限维持,特点是无文件,代码保存在内存中,导致值守人员不太好进行排查。
查杀内存工具
weixin_46211944的博客
09-23 680
查杀内存工具
内存查杀工具分享!!!
logic1001的博客
02-23 1314
查杀内存
Java 内存查杀工具
LiBai'S BLOG
08-13 700
Java 内存查杀工具,基于 Agent + Instrumentation + ASM 的 Java 进程内存检测与清除工具(含 GUI)本项目是一款用于检测与清除 Java 进程中内存工具。GUI 管理端(JFormDesigner):提供可视化操作界面,用于目标进程选择、会话管理、实时日志查看与分发、审计与导出。Agent(注入模块)
java内存查杀工具
qq_44749590的博客
08-18 1204
java内存查杀工具
在校自研内存查杀工具,非常好用
S18374的博客
10-25 199
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
SRC实战 | 信息泄露挖掘
logic1001的博客
03-13 847
1. 信息搜集首先老语法先搜集一波,毕竟没有钓鱼和sg的能力,只能找注册站去挖挖了。web.title=”XX大学”&&web.body=”忘记密码”&&web.body=”注册”
内存查杀工具FindShell试用
HRay's blog
03-17 7400
首先使用冰蝎创建一个内存 成功进入内存界面 接下来尝试使用findshell查杀,项目主页为 https://github.com/4ra1n/FindShell 服务器上首先部署代码,执行 git clone https://github.com/4ra1n/FindShell.git 然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装) mvn package 打包后在targe..
HVV之内存检测工具
公众号:乌云安全
09-23 883
一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木检测(检测所有已知内存加载木)
抓 Windows 密码,这 7 种技术够不够用!
bigbangbangbang1的博客
12-09 1452
内网渗透中,获取到 Windows 系统权限之后,抓取本地哈希是必不可少的操作,今天分享一款工具,集成了 7 种转储 LSASS 内存的方法,工具地址:运行如图:未提供任何参数运行程序,会要求你输入所要指定的方法,参数为 1-7,功能分别对应:使用解除挂钩技术转储 lsass 内存以注入修改后的 mimikatz 二进制文件。使用解除挂钩技术转储 lsass 内存以使用 MDWD 的直接系统调用注入二进制文件。使用简单的 MiniDumpWriteDump API 转储 lsass 内存
在校自研内存查杀工具
y473158Yansu的博客
10-19 187
工具总体解决了tomcat和spring内存查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
Java内存检测工具推荐
2301_81907423的博客
01-02 1146
java-memshell-scanner (GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet型内存)shell-analyzer(https://github.com/4ra1n/shell-analyzer)GitHub - r00t4dm/aLIEz: 杀内存工具,欢迎code review,提出更好的意见 GitHub - LandGrey/copagent: java memory web she
内存查杀
08-07
内存是一种无文件攻击技术,攻击者通过在内存中注入恶意代码来实现持久化控制,避免了将恶意代码写入磁盘文件,从而绕过传统的基于文件的检测机制。针对内存查杀,通常依赖于内存分析、行为检测以及特定工具的使用。 ### 内存查杀方法 1. **Java Agent 技术** Java Agent 是一种可以在 JVM 启动时或运行时动态修改类字节码的技术。通过编写自定义的 Java Agent,可以实现对内存中加载的类进行监控和分析,检测是否存在异常的类加载行为,从而发现内存的存在。例如,`copagent` 是一个基于 Java Agent 的内存检测与清除工具,能够对运行中的 Java 应用进行实时监控[^1]。 2. **Arthas 分析与排查** Arthas 是阿里巴巴开源的 Java 诊断工具,支持对运行中的 Java 应用进行线程、类加载、JVM 状态等多维度的分析。通过 Arthas 可以查看当前加载的类信息,识别出未在磁盘上存在的类,从而判断是否为内存。例如,使用 `sc` 命令查看所有已加载的类,若发现某个类在磁盘上不存在,则可能是内存。此外,还可以使用 `thread` 命令查看线程信息,识别异常线程[^4]。 3. **内存快照分析** 对运行中的进程进行内存快照(heap dump)分析,可以识别出异常的类或对象。通过 `jmap` 工具生成堆转储文件后,使用 `MAT`(Memory Analyzer Tool)等工具进行分析,查找可疑的类或对象。例如,某些内存会通过 `ClassLoader` 动态加载恶意类,这些类通常不会出现在正常的类路径中[^1]。 4. **行为监控与流量分析** 内存虽然不依赖磁盘文件,但仍会通过网络进行通信。通过流量监控工具(如 Wireshark、Suricata 等)可以检测异常的网络连接和通信模式。例如,某些内存可能会定期与 C2 服务器通信,发送心跳包或接收命令。结合 IDS/IPS 规则,可以识别这类行为[^2]。 5. **Web 容器日志与线程分析** 在 Tomcat 等 Web 容器中,可以通过日志分析和线程状态监控来识别内存。例如,某些内存会通过 Filter 或 Servlet 实现持久化,导致 Web 容器中出现异常的 Filter 或 Servlet 配置。通过检查 `web.xml` 配置文件或运行时加载的 Filter 信息,可以发现异常配置[^1]。 ### 内存查杀工具 1. **Tomcat Memshell Scanner** 该工具专为检测 Tomcat 中的内存而设计,支持对运行中的 Tomcat 实例进行扫描,识别异常的类加载行为和 Filter/Servelt 配置。该工具可以通过命令行运行,并输出详细的扫描结果,便于进一步分析[^1]。 2. **copagent** 这是一个基于 Java Agent 的内存检测与清除工具,支持对运行中的 Java 应用进行实时监控。通过加载自定义的 Agent,可以拦截类加载事件,识别异常类并进行清除操作。该工具开源且易于集成到现有系统中[^1]。 3. **Java-Memshell-Scanner** 由 c0ny1 开发的内存扫描工具,支持对 Java Web 应用中的 Filter、Servlet 等组件进行扫描,识别潜在的内存攻击。该工具可以通过命令行调用,并提供详细的扫描报告,便于安全人员进行后续分析。 4. **Arthas** 作为一款强大的 Java 诊断工具,Arthas 提供了多种命令用于分析运行中的 Java 应用。通过 `sc` 命令可以查看所有已加载的类,通过 `thread` 命令可以查看线程状态,识别异常线程。此外,Arthas 还支持动态修改类字节码,可用于清除内存。 5. **Sysdig Falco** 虽然不是专为内存设计,但 Falco 是一个强大的行为监控工具,支持对系统调用、网络连接、文件访问等行为进行实时监控。通过定义自定义规则,可以检测到内存相关的异常行为,如异常的网络连接、线程创建等[^2]。 ### 示例:使用 Arthas 查看已加载类 ```bash # 查看所有已加载的类 sc -d *.* ``` 该命令将列出所有已加载的类及其类加载器信息,便于识别异常类。 ### 示例:使用 jmap 生成堆转储文件 ```bash # 生成堆转储文件 jmap -dump:format=b,file=heap.bin <pid> ``` 生成的 `heap.bin` 文件可以使用 MAT 工具进行分析,查找可疑对象。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值