FindShell 是一個自動的內存馬查殺工具，可以用于普通內存馬和Java Agent內存馬。

尤其針對難以查殺的Java Agent型內存馬，例如冰蝎等主流工具的內存馬都是Java Agent

主要分為以下四步：

• 利用JDK提供的sa-jdi的API基于黑名單dump存在于JVM中真正的字節碼
• 這種字節碼在很多情況下是非法的，所以我修改了ASM源碼以分析非法字節碼
• 基于ASM做普通的分析和模擬棧幀做深入的分析
• 如果發現內存馬將會嘗試自動修復目標（利用Java Agent動態恢復原始字節碼）

檢測

基本檢測：java -jar FindShell.jar --pid [目標JVM的PID]

這個pid的獲取方式可以通過jps命令找到你需要的目標JVM的pid

這種情況下默認必檢測的類有以下四個（最常見的Java Agent內存馬出現的地方）

并對以下的黑名單類進行檢測（如果類名出現關鍵字則dump并分析該類字節碼）

keyword.add("shell");
keyword.add("memshell");
keyword.add("agentshell");
keyword.add("exploit");
keyword.add("payload");
keyword.add("rebeyond");
keyword.add("metasploit");

注意：

• 修改org.sec.Constant代碼可以自定義黑名單和關鍵字
• 加入--debug參數保留從JVM中dump出的字節碼供自行分析
• 并不是所有類的字節碼都可以dump成功，但常見的這些類測試中沒問題

修復

目前僅做了Java Agent內存馬的自動修復，支持最常見的HttpServlet和ApplicationFilterChain

檢測和修復：java -jar FindShell.jar --pid [PID] --repair

根目錄存在一個RepairAgent.jar文件，這不屬于該項目，但我將代碼放在org.sec.repair包中供參考

注意：修復手段僅靶機測試成功，在真實環境中使用請慎重

原理

• 為什么不直接用Java Agent或Alibaba Arthas工具對JVM當前字節碼進行dump

Java Agent內存馬是調用redefineClass方法對字節碼進行修改的。而調用retransformClass方法的時候參數中的字節碼并不是調用redefineClass后被修改的類的字節碼。對于冰蝎來講，根本無法獲取被冰蝎修改后類的字節碼。我們自己寫Java Agent清除內存馬的時候，同樣也是無法獲取到被redefineClass修改后的字節碼，只能獲取到被retransformClass修改后的字節碼。通過Javaassist等ASM工具獲取到類的字節碼，也只是讀取磁盤上響應類的字節碼，而不是JVM中的字節碼

• 那么怎樣獲得存在于JVM中真正的字節碼

之前有寬字節安全的師傅提到利用sa-jdi工具對真正的當前字節碼進行dump后反編譯結合人工分析，該工具也是基于JDK自帶的sa-jdi庫實現的，不過加入了一些過濾的選項

• 什么情況下這樣的字節碼為什么是非法的

當目標類存在lambda表達式的時候會導致非法字節碼，具體可以參考我的文章

• 修改了哪些源碼以解析非法字節碼

參考連接：修改源碼說明

• 為什么要結合普通字節碼分析和模擬棧幀分析兩種呢

因為Runtime.exec這種調用很不常見且過程簡單，用普通的字節碼分析即可解決。但是冰蝎的反射調用defineClass并反射invoke以實現代碼執行效果的方式，過程比較復雜，且反射調用是程序中的常見功能，簡單的分析會導致誤報

• 什么是模擬棧幀分析

參考文章：詳解Java自動代碼審計工具實現?和?基于污點分析的JSP Webshell檢測

免責聲明

工具僅用于安全研究以，由于使用該工具造成的任何后果使用者負責