RASP技术实战：代码实现篇教学文档

1. RASP技术概述

RASP（Runtime Application Self-Protection）是一种运行时应用自我保护技术，通过在应用程序运行时注入安全检测代码来防护应用。本教程将详细介绍如何实现一个简易版的Java RASP系统。

2. 环境准备

2.1 基础环境

• Java环境（JDK 1.7+）
• Apache Tomcat服务器
• IntelliJ IDEA开发环境
• ASM库（用于字节码操作）

2.2 项目结构

java_rasp_example/
├── agent/
│   ├── src/main/java/cn/org/javaweb/agent/
│   │   ├── Agent.java
│   │   ├── AgentTransform.java
│   │   ├── TestClassVisitor.java
│   │   └── ProcessBuilderHook.java
│   └── pom.xml
└── webapp/
    └── cmd.jsp

3. 核心实现步骤

3.1 Agent入口类实现

package cn.org.javaweb.agent;

import java.lang.instrument.Instrumentation;

public class Agent {
    public static void premain(String agentArgs, Instrumentation inst) {
        inst.addTransformer(new AgentTransform());
    }
}

关键点：

• premain方法是Java Agent的标准入口
• 通过Instrumentation接口注册类转换器

3.2 类转换器实现

package cn.org.javaweb.agent;

import java.lang.instrument.ClassFileTransformer;
import java.lang.instrument.IllegalClassFormatException;
import java.security.ProtectionDomain;
import org.objectweb.asm.ClassReader;
import org.objectweb.asm.ClassWriter;

public class AgentTransform implements ClassFileTransformer {
    @Override
    public byte[] transform(ClassLoader loader, String className, 
                          Class<?> classBeingRedefined,
                          ProtectionDomain protectionDomain, 
                          byte[] classfileBuffer) {
        className = className.replace("/", ".");
        try {
            if (className.contains("ProcessBuilder")) {
                ClassReader classReader = new ClassReader(classfileBuffer);
                ClassWriter classWriter = new ClassWriter(classReader, ClassWriter.COMPUTE_MAXS);
                ClassVisitor classVisitor = new TestClassVisitor(classWriter);
                classReader.accept(classVisitor, ClassReader.EXPAND_FRAMES);
                return classWriter.toByteArray();
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return classfileBuffer;
    }
}

关键点：

• 实现ClassFileTransformer接口的transform方法
• 使用ASM进行字节码操作流程：
  1. ClassReader读取原始字节码
  2. ClassWriter生成新字节码
  3. ClassVisitor修改字节码
• 只对ProcessBuilder类进行转换

3.3 类访问器实现

package cn.org.javaweb.agent;

import org.objectweb.asm.ClassVisitor;
import org.objectweb.asm.MethodVisitor;
import org.objectweb.asm.Opcodes;
import org.objectweb.asm.commons.AdviceAdapter;

public class TestClassVisitor extends ClassVisitor implements Opcodes {
    public TestClassVisitor(ClassVisitor cv) {
        super(Opcodes.ASM5, cv);
    }

    @Override
    public MethodVisitor visitMethod(int access, String name, String desc, 
                                   String signature, String[] exceptions) {
        MethodVisitor mv = super.visitMethod(access, name, desc, signature, exceptions);
        
        if ("start".equals(name) && "()Ljava/lang/Process;".equals(desc)) {
            return new AdviceAdapter(Opcodes.ASM5, mv, access, name, desc) {
                @Override
                public void visitCode() {
                    mv.visitVarInsn(ALOAD, 0);
                    mv.visitFieldInsn(GETFIELD, "java/lang/ProcessBuilder", "command", "Ljava/util/List;");
                    mv.visitMethodInsn(INVOKESTATIC, "cn/org/javaweb/agent/ProcessBuilderHook", 
                                      "start", "(Ljava/util/List;)V", false);
                    super.visitCode();
                }
            };
        }
        return mv;
    }
}

关键点：

• 继承ClassVisitor并实现Opcodes
• 重点hookProcessBuilder.start()方法
• 使用AdviceAdapter在方法开始时插入检测代码
• 字节码操作指令：
  • ALOAD 0：加载this引用
  • GETFIELD：获取command字段
  • INVOKESTATIC：调用静态方法

3.4 安全检测逻辑实现

package cn.org.javaweb.agent;

import java.util.Arrays;
import java.util.List;

public class ProcessBuilderHook {
    public static void start(List<String> commands) {
        String[] commandArr = commands.toArray(new String[commands.size()]);
        System.out.println("检测到命令执行: " + Arrays.toString(commandArr));
        // 这里可以添加安全检测和拦截逻辑
    }
}

关键点：

• 接收命令参数并打印
• 实际应用中可在此处实现：
  • 命令黑白名单检测
  • 危险命令拦截
  • 安全告警

4. 测试环境搭建

4.1 测试JSP页面

<%@ page import="java.io.InputStream" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<pre>
<%
    Process process = Runtime.getRuntime().exec(request.getParameter("cmd"));
    InputStream in = process.getInputStream();
    int a = 0;
    byte[] b = new byte[1024];
    while ((a = in.read(b)) != -1) {
        out.println(new String(b, 0, a));
    }
    in.close();
%>
</pre>

4.2 Tomcat配置

VM options配置示例：

-Dfile.encoding=UTF-8
-noverify
-Xbootclasspath/p:/path/to/agent.jar
-javaagent:/path/to/agent.jar

5. 进阶扩展

5.1 增强安全检测

可在ProcessBuilderHook.start()方法中实现：

public static void start(List<String> commands) {
    String[] commandArr = commands.toArray(new String[0]);
    System.out.println("检测到命令执行: " + Arrays.toString(commandArr));
    
    // 危险命令检测
    if (isDangerousCommand(commandArr[0])) {
        throw new SecurityException("禁止执行危险命令: " + commandArr[0]);
    }
}

private static boolean isDangerousCommand(String cmd) {
    String[] dangerous = {"rm", "shutdown", "reboot", "wget", "curl"};
    return Arrays.asList(dangerous).contains(cmd.toLowerCase());
}

5.2 其他Hook点示例

1. 文件操作Hook：

if (className.contains("FileInputStream")) {
    // Hook文件读取操作
}

2. SQL注入检测：

if (className.contains("Statement") && "execute".equals(methodName)) {
    // 检测SQL语句
}

3. 反序列化防护：

if (className.contains("ObjectInputStream")) {
    // 检测反序列化操作
}

6. 关键知识点总结

1. Java Agent机制：

   • 通过premain方法加载
   • 使用InstrumentationAPI进行类转换

2. ASM字节码操作：

   • ClassReader：读取类字节码
   • ClassWriter：生成新字节码
   • ClassVisitor：访问和修改类结构
   • AdviceAdapter：简化方法代码插入

3. RASP核心原理：

   • 在关键API调用处插入检测代码
   • 结合运行时上下文进行安全决策
   • 可拦截、修改或记录敏感操作

4. 性能考虑：

   • 只hook必要的类和方法
   • 检测逻辑应高效
   • 避免影响正常业务

7. 参考资料

1. ASM官方文档
2. Java Instrumentation API文档
3. 百度OpenRASP文档

通过本教程，您已经掌握了RASP技术的基本实现原理和方法。实际应用中还需要考虑更多细节，如线程安全、性能优化、多环境适配等问题。建议进一步研究成熟的RASP实现如OpenRASP等开源项目。