第107篇：国*攻防比赛中一个多层嵌套的java内存马的反混淆解密分析过程

主要观点总结

本文详细介绍了ABC_123对多层加密的内存马进行分析解密的过程。文章包括前言、技术研究过程和总结三部分。在技术研究过程中，作者详细描述了内存马的三层加密解密过程，包括JSP的Webshell内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。文章的主要目的是找到内存马的流量特征，以便在安全设备中监控和溯源分析攻击行为。

关键观点总结

关键观点1: 内存马多层加密解密的过程介绍

作者详细描述了内存马的三层加密解密过程，包括Webshell的内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。

关键观点2: 内存马流量特征的找到

通过分析解密混淆的java代码，作者找到了内存马的流量特征，即当header请求头“User-Agent”包含“.1.2.2”时，会走内存马webshell流程。

关键观点3: 内存马反编译的目的

内存马反编译的主要目的是为了找到内存马通信的流量特征，以便在流量监控设备中找到相应攻击者的流量，进行溯源分析。

文章预览

 Part1 前言  大家好，我是ABC_123 。一年一度的“大型攻防比赛”已经过去2、3个月了，在此期间陆续收到了多名网友发来的内存马样本，ABC_123一直在抽时间进行分析解密工作。现在很多的内存马都进行了加密混淆，而且一个比一个复杂；不禁感叹攻防都是相对的，道高一尺魔高一丈。 对于内存马的解密分析，主要目的除了证明其是内存马代码之外，还要找到其流量特征，以备在安全设备中找到含有相应特征的流量，然后进行溯源分析 ，也可能发现完整的0day攻击链条。本篇文章中的内存马套了多层加密，ABC_123将完整解密过程分享给大家。  Part2 技术研究过程  第一层：JSP的Webshell内容分析 样本首先是一个jsp的webshell，初始内容如下：大体看了一下，发现是通过java反射编写的，将三段字符串合并然后base64解密，然后再进行加载，这样做会有一个很 ………………………………