首頁(yè)
社區(qū)
課程
招聘
冰蝎防檢測(cè)內(nèi)存馬如何查殺?

問(wèn)題描述

課程中只查殺了普通的冰蝎內(nèi)存馬,使用的attach方式為
VirtualMachine.attach(),冰蝎防檢測(cè)內(nèi)存馬刪除了pid對(duì)應(yīng)的socket文件導(dǎo)致不能attach,應(yīng)該如何實(shí)現(xiàn)?

問(wèn)題出現(xiàn)的環(huán)境背景及自己嘗試過(guò)哪些方法

使用HSDB對(duì)應(yīng)的sa-jdi.jar雖然可以attach成功,但是這種方法會(huì)導(dǎo)致JVM直接掛起,在實(shí)際業(yè)務(wù)中無(wú)法使用,所以如果被注入冰蝎防檢測(cè)內(nèi)存馬,還有沒(méi)有其他的辦法能夠
attach進(jìn)程進(jìn)行檢測(cè)

收藏
2條回答
RJ45實(shí)驗(yàn)室 2023-6-6

1.對(duì)抗都是成本對(duì)抗,魔改一尺道高一丈,它增加了對(duì)抗難度,那么我們則提高檢測(cè)方案
2.可以在注入時(shí)候,通過(guò)是否注入成功來(lái)判斷是否我們的注入情況,如果注入失敗,說(shuō)明可能存在你說(shuō)的,反注入的情況,通過(guò)這樣低成本方式來(lái)檢測(cè)潛在注入

回復(fù) 已采納
RJ45實(shí)驗(yàn)室 2023-6-6

或者通過(guò)下列方法進(jìn)行查殺

 

回復(fù)
《冰蝎、蟻劍Java內(nèi)存馬查殺防御技術(shù)》
  參與學(xué)習(xí)     22 人
  提問(wèn)次數(shù)     1 個(gè)
《冰蝎,蟻劍Java內(nèi)存馬查殺防御技術(shù)》紅藍(lán)對(duì)抗、內(nèi)存馬查殺原理及專殺制作、溯源取證
學(xué)習(xí)課程
我的問(wèn)答 領(lǐng)取收益
0
我的提問(wèn)
0
我的回答
0
學(xué)習(xí)收益
?2000 - 2024 看雪 / 滬ICP備2022023406號(hào) / 滬公網(wǎng)安備 31011502006611號(hào)

郵件