第220-221天：应急响应篇&Web内存马查杀&JVM分析&Class提取&诊断反编译&日志定性

内存马

内存马访问触发特征：
1.URL地址路径 在源码中没有的，不存在的

查杀脚本-java-memshell-scanner
项目地址：https://github.com/c0ny1/java-memshell-scanner
通过jsp脚本扫描并查杀各类中间件内存马，比Java agent要温和一些。

查杀项目
项目地址：https://github.com/alibaba/arthas
arthas为一款监控诊断产品，通过全局视角实时查看应用load、内存、gc、线程的状态信息。可使用该工具对内存马排查和分析，如攻击者隐藏的深可将所有的类都反编译导出来然后逐一排查。
可以解决大部分的java内存马

使用这款工具进行执行命令

mbean | grep "name=/" 查看路由，假如路由当中存在，但是实际当中不存在，那么就有可能是内存马

sc *.Filter  sc查看JVM 已加载的过滤器信息

可以把查出来的所有类到百度当中进行搜索
可以把比较可疑的类的源码拿出来进行分析，放入到微步在线当中进行分析

jad反编译指定已加载类的源码(在线看)

jad --source-only org.apache.coyote.type.PlaceholderForType

dump已加载类的bytecode到特定目录(下载)

dump org.apache.coyote.type.PlaceholderForType

GUI项目
项目地址：https://github.com/4ra1n/shell-analyzer
实时监控目标JVM，一键反编译分析代码，一键查杀内存马

日志排查：
排查访问页面不存在但是日志里的返回200的状态码

学习项目
https://github.com/Getshell/Mshell