Arthas在内存马查杀中的应用<\/h1>

引言<\/h2>
内存马（Memory Shell）是一种驻留在内存中的恶意后门程序，由于其不落地磁盘的特性，传统安全防护手段难以检测。本文详细介绍如何使用Arthas工具来检测和清除各种类型的内存马。<\/p>

Arthas简介<\/h2>

Arthas是阿里巴巴开源的一款Java诊断工具，具有以下特点：<\/p>

实时诊断运行中的Java应用<\/li>
无需修改代码或重启服务<\/li>
支持查看和操作JVM内部状态<\/li>

提供丰富的命令集进行问题诊断<\/li> <\/ul>

基础使用<\/h2>

注意事项<\/h3>

避免在命令中使用中文字符，可能导致输入框污染<\/li>

确保命令格式正确，避免隐藏字符<\/li> <\/ul>

常用命令<\/h3>

查找类<\/strong>：<\/p>

sc *Filter*
<\/span><\/span><\/code><\/pre>查找所有名称包含"Filter"的类<\/p>
<\/li>

查看类详细信息<\/strong>：<\/p>
sm org.apache.catalina.core.StandardContext
<\/span><\/span><\/code><\/pre><\/li>

查找继承某接口的类<\/strong>：<\/p>
sc -d javax.servlet.Filter
<\/span><\/span><\/code><\/pre><\/li>

反编译类<\/strong>：<\/p>
jad org.apache.catalina.core.StandardContext
<\/span><\/span><\/code><\/pre><\/li>

查看内存中的类<\/strong>：<\/p>
vmtool --action getInstances --className org.apache.catalina.core.StandardContext --express 'instances[0]'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
内存马查杀实战<\/h2>
1. Servlet内存马<\/h3>
注入方式<\/strong>：<\/p>

新建Wrapper包装恶意Servlet<\/li>
写入StandardContext<\/li>
<\/ul>
查杀步骤<\/strong>：<\/p>


获取StandardContext实例：<\/p>
vmtool --action getInstances --className org.apache.catalina.core.StandardContext --express 'instances[0]'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

查看servletMappings：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].servletMappings'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

移除恶意路由：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].removeServletMapping("\/exec")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

彻底移除Servlet：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].removeChild(@org.apache.catalina.core.StandardContext@instances[0].findChild("evilServlet"))'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2. Listener内存马<\/h3>
注入方式<\/strong>：<\/p>

继承ServletRequestListener的恶意Listener<\/li>
添加到StandardContext的applicationEventListenersList<\/li>
<\/ul>
查杀步骤<\/strong>：<\/p>


查看applicationEventListenersList：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].applicationEventListenersList'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

移除恶意Listener：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].applicationEventListenersList.remove(0)'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3. Filter内存马<\/h3>
注入方式<\/strong>：<\/p>

写入FilterMap和FilterDef<\/li>
绑定恶意路由<\/li>
<\/ul>
查杀步骤<\/strong>：<\/p>


查看filterMaps：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].filterMaps'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

获取恶意FilterMap：<\/p>
ognl '#fm=@org.apache.catalina.core.StandardContext@instances[0].findFilterMap("\/exec")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

移除恶意FilterMap：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].removeFilterMap(#fm)'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

移除FilterDef：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].filterDefs.remove("evilFilter")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4. Valve内存马<\/h3>
注入方式<\/strong>：<\/p>

恶意Valve对象添加到StandardPipeline<\/li>
<\/ul>
查杀步骤<\/strong>：<\/p>


查看Valves：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].pipeline.getValves()'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

移除恶意Valve：<\/p>
ognl '@org.apache.catalina.core.StandardContext@instances[0].pipeline.removeValve(@org.apache.catalina.core.StandardContext@instances[0].pipeline.getValves()[0])'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
5. Upgrade内存马<\/h3>
注入方式<\/strong>：<\/p>

恶意Upgrade对象添加到httpUpgradeProtocols<\/li>
<\/ul>
查杀步骤<\/strong>：<\/p>


查看httpUpgradeProtocols：<\/p>
ognl '@org.apache.coyote.http11.AbstractHttp11Protocol@instances[0].httpUpgradeProtocols'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

移除恶意协议：<\/p>
ognl '@org.apache.coyote.http11.AbstractHttp11Protocol@instances[0].httpUpgradeProtocols.remove("http")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
注意：需同时处理触发点（如恶意Servlet、JSP或Filter）<\/p>
6. Executor内存马<\/h3>
注入方式<\/strong>：<\/p>

替换原生executor为恶意executor<\/li>
<\/ul>
查杀步骤<\/strong>：<\/p>


获取executor对象：<\/p>
ognl '@org.apache.catalina.core.StandardThreadExecutor@instances'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

创建新executor并替换：<\/p>
ognl '#ct=@java.lang.Thread@currentThread().getContextClassLoader().loadClass("org.apache.catalina.core.StandardThreadExecutor").getConstructor(), #newExecutor=#ct.newInstance(), @org.apache.catalina.core.StandardThreadExecutor@instances[0].getService().addExecutor(#newExecutor), @org.apache.catalina.core.StandardThreadExecutor@instances[0].getService().removeExecutor(@org.apache.catalina.core.StandardThreadExecutor@instances[0])'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
常见问题<\/h2>


能否直接删除恶意class？<\/strong><\/p>

由于class与其他类的关联性，直接删除通常不成功<\/li>
尝试清空class并重新编译也容易失败<\/li>
<\/ul>
<\/li>

为什么移除servletMapping后内存马仍能运行？<\/strong><\/p>

需要同时移除Wrapper和ServletMapping<\/li>
<\/ul>
<\/li>

如何避免服务崩溃？<\/strong><\/p>

使用封装好的remove方法而非直接操作内部数据结构<\/li>
对于Executor内存马，必须先创建替代品再移除<\/li>
<\/ul>
<\/li>
<\/ol>
结语<\/h2>
Arthas提供了强大的Java运行时诊断能力，是内存马查杀的有效工具。本文介绍了六种常见内存马的查杀方法，实际应用中需根据具体情况调整命令。建议结合多种检测手段，确保彻底清除内存马。<\/p>
最佳实践建议<\/strong>：<\/p>

定期检查关键组件（Servlet、Filter、Listener等）<\/li>
建立基线配置，对比异常变更<\/li>
结合日志分析和行为监控<\/li>
重要系统考虑使用RASP防护<\/li>
<\/ol>

Arthas在内存马查杀中的应用<\/h1>

引言<\/h2> 内存马（Memory Shell）是一种驻留在内存中的恶意后门程序，由于其不落地磁盘的特性，传统安全防护手段难以检测。本文详细介绍如何使用Arthas工具来检测和清除各种类型的内存马。<\/p>

基础使用<\/h2>

内存马查杀实战<\/h2>

引言<\/h2>
内存马（Memory Shell）是一种驻留在内存中的恶意后门程序，由于其不落地磁盘的特性，传统安全防护手段难以检测。本文详细介绍如何使用Arthas工具来检测和清除各种类型的内存马。<\/p>