专栏名称: 希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,代码审计,内网渗透。
今天看啥  ›  专栏  ›  希潭实验室

第107篇:国*攻防比赛中一个多层嵌套的java内存马的反混淆解密分析过程

希潭实验室  · 公众号  ·  · 2024-11-07 23:38
    

主要观点总结

本文详细介绍了ABC_123对多层加密的内存马进行分析解密的过程。文章包括前言、技术研究过程和总结三部分。在技术研究过程中,作者详细描述了内存马的三层加密解密过程,包括JSP的Webshell内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。文章的主要目的是找到内存马的流量特征,以便在安全设备中监控和溯源分析攻击行为。

关键观点总结

关键观点1: 内存马多层加密解密的过程介绍

作者详细描述了内存马的三层加密解密过程,包括Webshell的内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。

关键观点2: 内存马流量特征的找到

通过分析解密混淆的java代码,作者找到了内存马的流量特征,即当header请求头“User-Agent”包含“.1.2.2”时,会走内存马webshell流程。

关键观点3: 内存马反编译的目的

内存马反编译的主要目的是为了找到内存马通信的流量特征,以便在流量监控设备中找到相应攻击者的流量,进行溯源分析。


文章预览

 Part1 前言  大家好,我是ABC_123 。一年一度的“大型攻防比赛”已经过去2、3个月了,在此期间陆续收到了多名网友发来的内存马样本,ABC_123一直在抽时间进行分析解密工作。现在很多的内存马都进行了加密混淆,而且一个比一个复杂;不禁感叹攻防都是相对的,道高一尺魔高一丈。 对于内存马的解密分析,主要目的除了证明其是内存马代码之外,还要找到其流量特征,以备在安全设备中找到含有相应特征的流量,然后进行溯源分析 ,也可能发现完整的0day攻击链条。本篇文章中的内存马套了多层加密,ABC_123将完整解密过程分享给大家。  Part2 技术研究过程  第一层:JSP的Webshell内容分析 样本首先是一个jsp的webshell,初始内容如下:大体看了一下,发现是通过java反射编写的,将三段字符串合并然后base64解密,然后再进行加载,这样做会有一个很 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览