首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  2. 问答
  3. 冰蝎防检测内存马如何查杀?
冰蝎防检测内存马如何查杀?
mb_sapffwix 2023-6-5 1840
源自: 6.3 查杀冰蝎内存马

问题描述

课程中只查杀了普通的冰蝎内存马,使用的attach方式为
VirtualMachine.attach(),冰蝎防检测内存马删除了pid对应的socket文件导致不能attach,应该如何实现?

问题出现的环境背景及自己尝试过哪些方法

使用HSDB对应的sa-jdi.jar虽然可以attach成功,但是这种方法会导致JVM直接挂起,在实际业务中无法使用,所以如果被注入冰蝎防检测内存马,还有没有其他的办法能够
attach进程进行检测

收藏
2条回答
RJ45实验室 2023-6-6

1.对抗都是成本对抗,魔改一尺道高一丈,它增加了对抗难度,那么我们则提高检测方案
2.可以在注入时候,通过是否注入成功来判断是否我们的注入情况,如果注入失败,说明可能存在你说的,反注入的情况,通过这样低成本方式来检测潜在注入

回复 已采纳
RJ45实验室 2023-6-6

或者通过下列方法进行查杀

 

回复
回答
回答问题,请先登录
《冰蝎、蚁剑Java内存马查杀防御技术》
  参与学习     23 人
  提问次数     1 个
《冰蝎,蚁剑Java内存马查杀防御技术》红蓝对抗、内存马查杀原理及专杀制作、溯源取证
学习课程
我的问答 领取收益
0
我的提问
0
我的回答
0
学习收益
采纳榜
©2000 - 2024 看雪 / 沪ICP备2022023406号 / 沪公网安备 31011502006611号

邮件