Java内存马攻防全解析：原理、利用与高级查杀技术

Java内存马攻防原理与技术解析

最新推荐文章于 2025-10-28 10:20:37 发布

原创

最新推荐文章于 2025-10-28 10:20:37 发布 · 1.3k 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#java #开发语言 #网络安全 #笔记

0x00 内存马概述

内存马（Memory Shell） 是一种无文件驻留的恶意代码技术，通过直接修改Java容器的运行时内存（如Servlet容器、Spring上下文）实现持久化控制。与传统WebShell相比具有无文件落地、无日志特征、重启失效的特点。

攻击场景

反序列化漏洞：通过Fastjson/WebLogic等漏洞注入
JSP后门植入：利用上传漏洞写入内存马加载器
中间件漏洞：Tomcat Filter/Servlet动态注册

主流类型

类型	驻留机制	检测难度
Servlet型	动态注册恶意Servlet	★★☆☆☆
Filter型	插入恶意过滤器链	★★★☆☆
Listener型	注册生命周期监听器	★★★★☆
Controller型	植入Spring MVC控制器	★★★★★

0x01 内存马原理

技术架构

以Tomcat Filter型内存马为例，攻击流程如下：

漏洞触发 → 获取StandardContext → 创建恶意Filter → 
插入Filter链首 → 持久化到内存Context

核心代码分析

获取当前Context（通过ThreadLocal）：

WebappClassLoaderBase classLoader = (WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
StandardContext context = (StandardContext) classLoader.getResources().getContext();

动态注册Filter：

FilterDef filterDef = new FilterDef();
filterDef.setFilterNam

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

豪门土狗

关注关注

24
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

Web应用防火墙（WAF）核心基础技术解析：核心基础原理以及攻防绕过基础(3.23更新)

盾悟

01-27

1万+

攻击打点的时候都会出现waf网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体:服务器工具功能:涵盖了网马/木马扫描防SQL注入防盗链防CC攻击网站流量实时监控网站CPU监控下载线程保护IP黑白名单管理网页防篡改功能等模块能够为用户提供实时的网站安全防护，避免各类针对网站的攻击所带来的危害网站WAF是一款服务器安全防护软件是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。

技战法-内存马的Webshell联合对抗

2301_77391997的博客

07-18

1199

技术趋势：文件型Webshell从“明文→编码→加密”演进，对抗重心转向动态行为检测与加密流量分析。防御建议：多层检测融合：静态扫描（高危函数）→ 动态沙箱（行为监控）→ RASP（运行时阻断）；持续更新规则：提取冰蝎/哥斯拉新版本流量特征，更新WAF规则库（如哥斯拉响应头特征）；强化数据治理：清洗训练数据，加入GAN生成的对抗样本提升AI模型鲁棒性。

参与评论您还未登录，请先登录后发表或查看评论

java内存马查杀工具

qq_44749590的博客

08-18

1209

java内存马查杀工具。

JAVA内存马查杀

Liyu_6618的博客

05-20

1302

JAVA内存马查杀

Java内存马实战指南：从原理剖析到Web容器持久化控制

热门推荐

SimoSimoSimo的博客

11-05

2万+

内存马是无文件落地webshell中最常见的攻击手段，随着攻防演练对抗强度越来越高，流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshll以及文件形式的后门容易被检测到，文件shell明显气数已尽，而内存马因其隐蔽性等优点从而越来越盛行。

浅析JavaWeb内存马基础原理与查杀思路

道阻且长，行则将至

04-04

7664

传统的 Webshell 后门很容易被当前 WAF、HIDS、EDR 等安全设备检测出来，于是无文件落地的内存马技术得以诞生并快速发展。本文简要分析了Java内存马的原理、分类，并实践了主流Webshell客户端管理工具内存马的使用与当前应对内存马的一些查杀思路、手段。

【Java内存马原理、实战与查杀】

weixin_46318447的博客

06-11

3557

内存马原理、实战与查杀

Filter/Servlet型内存马的扫描抓捕与查杀

Websec

05-30

812

1、GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet型内存马 0x01 简介通过jsp脚本扫描并查杀各类中间件内存马，比Java agent要温和一些。 0x02 截图增加Listener型内存马检测，如果不存在Listener则不显示该项 0x03 更多 Filter/Servlet型内存马的扫描抓捕与查杀 | 回忆飘如雪 ...

【网络安全】Agent内存马的自动分析与查杀

HBohan的博客

02-25

1827

前言出发点是Java Agent内存马的自动分析与查杀，实际上其他内存马都可以通过这种方式查杀本文主要的难点主要是以下三个，我会在文中逐个解答如何dump出JVM中真正的当前的字节码如何解决由于LAMBDA表达式导致非法字节码无法分析的问题如何对字节码进行分析以确定某个类是内存马背景对于Java内存马的攻防一直没有停止，是Java安全领域的重点回顾Tomcat或Spring内存马：Filter和Controller等都需要注册新的组件针对于需要注册新组件的内存马查杀起来比较容易：

Java 内存马流量特征

05-02

嗯，用户现在想了解Java内存马的流量特征，用于检测和防御相关攻击。我得先回忆一下内存马的基本概念。内存马通常是无文件的，驻留在内存中，所以传统的文件查杀可能无效，这点引用[1]和[2]都有提到。用户之前可能...

memShell一个webshell驻留在javaweb服务器的内存中

08-07

memShell 一个webshell驻留在java web服务器的内存中

内存攻击

weixin_30249203的博客

03-18

232

内存攻击攻击在典型的缓存区溢出攻击中，攻击者会将一个精心设计的数据集植入线程的堆栈中，造成为其分配的缓存区溢出，并覆盖其他数据结构。攻击者尝试覆盖的结构包括异常处理程序记录或函数的返回地址，以便将代码流更改为他们在内存中选择的位置。保护内存保护技术为阻止攻击者实现其目标提供了第一道防线。这些技术旨在提高漏洞攻击的难度。该技术的...

应急--内存马查杀演示（极简）

m0_58355451的博客

08-30

4594

由客户端发起的Web请求后，中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作，内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件，插入恶意的shellcode，达到持久化控制服务器的目的。以java为例，客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件，我们只要在这个请求的过程中做手脚，在内存中修改已有的组件或者动态注册一个新的组件，插入恶意的shellcode，就可以达到我们的目的。

内存马攻击

Finlinlts的博客

08-30

1366

Webshell内存马，是在内存中写入恶意后门和木马并执行，达到远程控制Web服务器的一类内存马，其瞄准了企业的对外窗口：网站、应用。但传统的Webshell都是基于文件类型的，黑客可以利用上传工具或网站漏洞植入木马，区别在于Webshell内存马是无文件马，利用中间件的进程执行某些恶意代码，不会有文件落地，给检测带来巨大难度。以java为例，客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件，我们只要在这个请求的过程中做手脚，在内存中修改已有的组件或者动态注册一个新的

Java内存马攻防实战——攻击基础篇

JavaMonsterr的博客

05-23

3716

在红蓝对抗中，攻击方广泛应用webshell等技术在防守方提供的服务中植入后门，防守方也发展出各种技术来应对攻击，传统的落地型webshell很容易被攻击方检测和绞杀。而内存马技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑，利用中间件的进程执行某些恶意代码，而不依赖实体文件的存在实现的服务后门，因此具有更好的隐蔽性，也更容易躲避传统安全监测设备的检测。本文以Java语言为基础讨论内存马技术的攻防，分为两个篇章，分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet

在校自研内存马查杀工具，非常实用

stopys6的博客

09-07

767

该工具总体解决了tomcat和spring内存马的查杀问题，使蓝队师傅们在面对内存马时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便，对服务没有太多入侵，不会影响服务的正常运行（别删错人家正常功能就行）。再者，该代码尽可能兼容了多版本的环境，使用起来兼容性较高。目前代码已经满足基本功能，后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现，等调试好了就会放到github上。在我后续文章中会放出github链接。

【安全狗技术研究】JavaAgent技术在内存马中的应用

bocco的博客

03-03

843

JDK1.5开始引入了Agent机制(即启动java程序时添加“-javaagent”参数，Java Agent机制允许用户在JVM加载class文件的时候先加载自己编写的Agent文件，通过修改JVM传入的字节码来实现注入自定义的代码。采用这种方式时，必须在容器启动时添加jvm参数，所以需要重启Web容器。