内存马检测工具 mem-shell-detector

===================================

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

0x01 工具介绍

一款内存马检测工具，基于Java Agent实现。实现原理如下：程序运行后，attach到目标进程进行一次性检测，检测完成后再detach退出。

0x02 安装与使用

1、使用方法

下载detector-select.jar，直接跳过步骤2-4，进行步骤5或者步骤6即可。下载当前源代码。在maven的根目录，clean install。在detector-select的target目录下找到detector-select.jarjava -jar detector-select.jar 运行后输入 目标java进程的序号，对目标进行检测。或者 java -jar detector-select.jar -p

2、检测示例

在web-test工程下，通过SpringMVC暴露SimpleController的方法对外提供服务调用。假定SimpleController是被内存马恶意注册的组件，检测工具通过对SimpleController的helloWorld方法进行分析，进而对其调用的getMethod和invoke进行结合分析，进而检测到多个方法的逻辑组合进行反射调用ClassLoader.defineClass。从而判定SimpleController可能是一个内存马污染的类。