内存马作为一种隐蔽性极高的攻击方式,已经成为黑客攻击的重要手段。内存马不驻留在硬盘上,而是直接运行于服务器内存之中,能够在系统重启后消失无踪,给传统的基于文件系统的安全防护措施带来了前所未有的挑战。为了应对这一威胁,市面上涌现出了多款优秀的内存马查杀工具。本文将介绍十款专业的内存马查杀工具,并对其特性和使用方法进行详细解析。
1. FindShell
工具特性:FindShell是一款专为检测和清除包括Java Agent类型在内的内存马而设计的自动化工具。它能够自动扫描服务器内存空间,识别出所有已知及未知形式的内存马,包括Java Agent类型。FindShell内置先进的算法模型,能够智能分析内存中的数据流,快速定位可疑模块,并对其进行详细审查。此外,FindShell特别加强了对加密流量的解密能力,确保即使是最狡猾的攻击手法也无法逃脱检测。
使用方法:FindShell的使用主要分为四步:利用JDK提供的sa-jdi的API基于黑名单dump存在于JVM中真正的字节码;修改ASM源码以分析非法字节码;基于ASM做普通的分析和模拟栈帧做深入的分析;如果发现内存马,将会尝试自动修复目标(利用Java Agent动态恢复原始字节码)。
GitHub:https://gitee.com/mirrors/findshell。
2. Malwarebytes
工具特性:Malwarebytes是一款全面的恶意软件检测和清除工具,它可以通过内存扫描检测内存马。Malwarebytes具备实时防护、恶意网站拦截、勒索软件防护和应用程序防护等多重功能,能够为用户提供全面的安全防护。
使用方法:用户可以下载并安装Malwarebytes软件,然后运行软件进行全面扫描,Malwarebytes将会自动检测并清除内存中的恶意软件。Malwarebytes的官方网站提供了详细的下载和使用指南。
3. VirusTotal
工具特性:VirusTotal是一个在线的恶意软件扫描服务,它可以检测上传文件的恶意行为,并提供详细的报告。虽然VirusTotal主要是一个文件扫描服务,但它也支持内存转储文件的上传和分析,有助于检测内存中的恶意软件。
使用方法:用户可以将内存转储文件上传到VirusTotal,然后等待扫描结果。VirusTotal会提供多个安全厂商的检测结果和详细报告,帮助用户了解内存中的潜在威胁。
VirusTotal:https://www.virustotal.com/。
4. Rekono
工具特性:Rekono是一款开源的渗透测试工具,它可以自动扫描应用程序中的漏洞,并检测内存马的存在。Rekono支持多种操作系统和应用程序类型,能够为用户提供全面的漏洞扫描和内存马检测服务。
使用方法:用户可以下载并安装Rekono工具,然后运行工具进行扫描。Rekono会自动分析目标应用程序的内存空间,检测并报告任何可疑的内存活动。
GitHub:https://github.com/salesforce/rekono。
5. aLIEz
工具特性:aLIEz是一款专门用于查杀内存马的Java工具。它可以通过JVMID定位目标JVM,并扫描内存中的恶意代码。aLIEz支持多种JVM类型和操作系统,能够为用户提供高效的内存马查杀服务。
使用方法:用户需要下载aLIEz工具及其依赖的jar包,然后使用命令行工具运行aLIEz。用户需要提供目标JVM的ID和aLIEz-agent的jar包路径。aLIEz将会扫描目标JVM的内存空间,并报告任何可疑的内存活动。
GitHub:https://github.com/r00t4dm/aLIEz。
6. java-memshell-scanner
工具特性:java-memshell-scanner是一款用于扫描Java内存马的工具。它可以通过jsp脚本扫描并查杀各类中间件内存马,比Java Agent要温和一些。java-memshell-scanner支持多种中间件类型和操作系统,能够为用户提供全面的Java内存马检测服务。
使用方法:用户需要下载java-memshell-scanner工具,并将其部署到目标服务器上。然后,用户可以通过访问jsp脚本来触发扫描操作。java-memshell-scanner将会扫描目标服务器的内存空间,并报告任何可疑的Java内存马。
GitHub:https://github.com/c0ny1/java-memshell-scanner。
7. releaseBehinderShell
工具特性:releaseBehinderShell是一款专门用于卸载冰蝎内存马的工具。它支持Tomcat和WebLogic等中间件类型,能够为用户提供高效的冰蝎内存马卸载服务。
使用方法:用户需要下载releaseBehinderShell工具,并编译成可执行文件。然后,用户需要找到目标Tomcat或WebLogic进程的ID,并使用命令行工具运行releaseBehinderShell。用户需要提供目标进程的ID和releaseBehinderShell工具的路径。releaseBehinderShell将会卸载目标进程中的冰蝎内存马。
GitHub:https://github.com/wuppp/releaseBehinderShell。
8. Process Hacker
工具特性:Process Hacker是一个开源的进程管理工具,它可以显示进程的内存信息,并检测可疑的内存活动。Process Hacker支持多种操作系统和硬件平台,能够为用户提供全面的进程管理和内存检测服务。
使用方法:用户可以下载并安装Process Hacker工具,然后运行工具查看当前运行的进程列表。Process Hacker会显示每个进程的内存使用情况,用户可以根据内存使用情况判断是否存在可疑的进程。Process Hacker的官方网站提供了详细的下载和使用指南。
9. DuckMemoryScan
工具特性:DuckMemoryScan是一个简单寻找包括IIS劫持、无文件木马、shellcode免杀后门等的工具。它通过线程堆栈回溯方法遍历线程,寻找系统中在VirtualAlloc区域执行代码的区域,从而揪出“免杀木马”。DuckMemoryScan支持64位操作系统和多种中间件类型,能够为用户提供全面的内存威胁检测服务。
使用方法:用户需要下载DuckMemoryScan工具,并将其编译成64位可执行文件。然后,用户可以运行工具进行扫描。DuckMemoryScan会自动分析目标系统的内存空间,并报告任何可疑的内存活动。
GitHub:https://github.com/huoji120/DuckMemoryScan。
10. Kaspersky
工具特性:Kaspersky是一款全面的安全软件,它可以检测和清除内存马,并提供全面的安全防护。Kaspersky具备实时防护、恶意软件检测、网络攻击防护和隐私保护等多重功能,能够为用户提供全方位的安全保障。
使用方法:用户可以下载并安装Kaspersky安全软件,然后运行软件进行全面扫描。Kaspersky会自动检测并清除内存中的恶意软件,同时提供实时的安全防护。Kaspersky的官方网站提供了详细的下载和使用指南。
原文始发于微信公众号(菜鸟学信安):10款非常不错的内存马查杀工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论