一款Java内存马查杀防护工具

工具简介

本工具采用Java Agent技术实现内存马的查杀，目前支持Servlet/Filter/Listener/Agent内存马，以及实现了ClassFileTransformer接口的类transform查杀。当前仅实现了Tomcat中间件的Genie。

目录结构

org.xxxx|   Run.java  # agent.jar注入|+---agent # 核心模块的加载和卸载|       Agent.java| Config.java|       JarFileHelper.java| Module.java|       ModuleLoader.java|+---core|   | CoreBoot.java # 核心模块的启动器|   ||   +---genie # 注入小精灵| |   | GenieBase.java|   | || |   \---tomcat | |           ApplicationFilterChainGenie.java| || +---killer # 内存马删除模块|   | AgentKiller.java|   | KillerBase.java|   | NormalKiller.java|   | TransformKiller.java|   ||   \---trasnformer # 功能模块| ClassDumpTransformer.java|           GenieTransformer.java| KillerTransformer.java|           ProtectedTransformer.java| ScanTransformer.java|           TransformerBase.java|+---javassist # 打包自己的javassist，防止和应用产生依赖冲突|   |....|+---request # 反射获取httpservlet的request中的方法| AbstractRequest.java|       HttpServletRequest.java|+---response 反射获取httpservlet的response中的方法|       HttpServletResponse.java|\---utils # 工具模块 Cache.java CheckStruct.java JavassistUtil.java Reflections.java Utils.java

使用方法

安装

 java -Xbootclasspath/a:"C:\Program Files\Java\jdk1.8.0_251\tools.jar" -jar .\MemShellKiller.jar D:\工作\专项工具\MemShellKiller\out\artifacts\MemShellKiller_jar\MemShellKiller.jar install D:\\tomcat_server.properties

使用

访问：

http://localhost:8080/TomactMemshellTest_war_exploded/?action=scan

Dump MyFilter

Kill MyFilter 然后Dump，对比doFilter方法的内容

卸载

java -Xbootclasspath/a:"C:\Program Files\Java\jdk1.8.0_251\tools.jar" -jar .\MemShellKiller.jar D:\工作\专项工具\MemShellKiller\out\artifacts\MemShellKiller_jar\MemShellKiller.jar release D:\\tomcat_server.properties

下载地址

https://github.com/suizhibo/MemShellKiller

文章来源：Hack 分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END