CN116318941A - 检测注入TomcatUpgrade内存马的方法及装置 - Google Patents
检测注入TomcatUpgrade内存马的方法及装置 Download PDFInfo
- Publication number
- CN116318941A CN116318941A CN202310221715.9A CN202310221715A CN116318941A CN 116318941 A CN116318941 A CN 116318941A CN 202310221715 A CN202310221715 A CN 202310221715A CN 116318941 A CN116318941 A CN 116318941A
- Authority
- CN
- China
- Prior art keywords
- memory
- protocol
- upgrade
- horse
- variable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000001514 detection method Methods 0.000 claims description 8
- 241000283086 Equidae Species 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 238000002347 injection Methods 0.000 description 7
- 239000007924 injection Substances 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例涉及一种检测注入TomcatUpgrade内存马的方法及装置,所述方法包括:向Tomcat的Web应用加载软件包;采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩;根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。本发明实施例的技术方案,利用注入TomcatUpgrade内存马特点,对Tomcat中Engine容器类的调用方法的入口和出口进行挂钩,能够快速查找到注入TomcatUpgrade的内存马,准确性较高。
Description
技术领域
本发明实施例涉及互联网计算机技术领域,尤其涉及一种检测注入TomcatUpgrade内存马的方法及装置。
背景技术
Java内存马是无文件攻击的一种常用手段,是在内存中写入恶意后门并执行,达到远程控制Web服务器的目的。随着攻防对抗越来越激烈,攻防双方的博弈,流量的分析、端点检测与响应(Endpoint Detection and Response,“EDR”)等专业安全产品被广泛使用,传统的文件上传的Webshell或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多。
现有的大部分安全主机产品,更多是检测落地的Webshell文件,无法检测注入Java内存马。少部分安全主机产品基于监控Java加载内存类进行特征扫描,需要Upgrade特征库,存在一定的滞后性和应对新变种能力不足。目前还没有专门针对Tomcat的Upgrade内存马进行注入检测的方法。
发明内容
基于现有技术的上述情况,本发明实施例的目的在于提供一种检测注入TomcatUpgrade内存马的方法及装置,能够有效检测到通过利用Tomcat的Upgrade机制注入的Java内存马。
为达到上述目的,根据本发明的第一个方面,提供了一种检测注入TomcatUpgrade内存马的方法,包括:
向Tomcat的Web应用加载软件包;
采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩;
根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。
进一步的,所述对Tomcat的容器类的调用方法的入口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象,并保存至线程本地存储变量中。
进一步的,所述对Tomcat的容器类的调用方法的出口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象。
进一步的,根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,包括:
将对所述出口挂钩得到的Upgrade协议对象与线程本地存储变量中的Upgrade协议对象进行比较;
若比较结果有新增的Upgrade协议对象,则判断有恶意注入的内存马。
进一步的,所述方法还包括:
如果存在恶意注入的内存马,则取出Upgrade协议中的内存马对象的类信息和参数请求,并进行信息上报。
本发明的另一个方面,提供了一种检测注入TomcatUpgrade内存马的装置,包括:
加载模块,用于向Tomcat的Web应用加载软件包;
挂钩模块,用于采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩;
内存马检测模块,用于根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。
进一步的,所述挂钩模块,对Tomcat的容器类的调用方法的入口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象,并保存至线程本地存储变量中。
进一步的,所述挂钩模块,对Tomcat的容器类的调用方法的出口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象。
进一步的,所述内存马检测模块,根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,包括:
将对所述出口挂钩得到的Upgrade协议对象与线程本地存储变量中的Upgrade协议对象进行比较;
若比较结果有新增的Upgrade协议对象,则判断有恶意注入的内存马。
进一步的,还包括:
信息上报模块,用于如果存在恶意注入的内存马,则取出Upgrade协议中的内存马对象的类信息和参数请求,并进行信息上报。
综上所述,本发明实施例提供了一种检测注入TomcatUpgrade内存马的方法及装置,所述方法包括:向Tomcat的Web应用加载软件包;采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩;根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。本发明实施例的技术方案,利用注入TomcatUpgrade内存马特点,对Tomcat中Engine容器类的调用方法的入口和出口进行挂钩,能够快速并准确检测出利用TomcatUpgrade机制注入内存马的威胁攻击行为。
附图说明
图1是本发明一个实施例提供的检测注入TomcatUpgrade内存马的方法的流程图;
图2是本发明一个实施例提供的检测注入TomcatUpgrade内存马的装置的构成框图;
图3是本发明一个实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
需要说明的是,除非另外定义,本发明一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本发明一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
利用Tomcat的Upgrade机制,通过向httpUpgradeProtocols的Map结构中插入恶意构造的内存马,通过触发恶意构造的accept方法,达到控制Tomcat服务器,是一种新型的注入内存马利用技术。利用Java Tomcat的Upgrade机制注入内存马,往往需要构造恶意的UpgradeProtocol内存马对象。然后在网络请求上下文,通过一系列反射机制把恶意构造的UpgradeProtocol内存马对象插入到AbstractHttp11Protocol类的httpUpgradeProtocols变量的Map结构中。而正常的httpUpgradeProtocols变量是在Tomcat启动的时候进行初始化的,针对以上分析,本发明的实施例,提供了一种检测注入TomcatUpgrade内存马的方法及装置,能够有效检测到通过利用Tomcat的Upgrade机制注入的Java内存马。
下面结合附图对本发明的技术方案进行详细说明。本发明的实施例,提供了一种检测注入TomcatUpgrade内存马的方法,图1中示出了该方法的流程图,包括如下步骤:
S202、向Tomcat的Web应用加载软件包。该步骤中,利用Java agent机制向TomcatWeb应用注入Jar包,Jar包是一种软件包文件格式,通常用于聚合大量的Java类文件、相关的元数据和资源(文本、图片等)文件到一个文件。
S204、采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩。在加载的Jar包内通过Transformer机制对Tomcat的org.apache.catalina.core.StandardEngineValve类(即容器类)的调用(invoke)方法的入口和出口进行挂钩(hook)。
S206、根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。该步骤中,对Tomcat的容器类的调用方法的入口进行挂钩,包括:通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象,并保存至线程本地存储变量中。对Tomcat的容器类的调用方法的出口进行挂钩,包括:通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象。将对所述出口挂钩得到的Upgrade协议对象与线程本地存储变量中的Upgrade协议对象进行比较;若比较结果有新增的Upgrade协议对象,则判断有恶意注入的内存马。具体来说,在invoke方法的入口hook中,通过参数HttpServletRequest请求,反射找到AbstractHttp11Protocol类的变量httpUpgradeProtocols。httpUpgradeProtocols是一种保存有UpgradeProtocol对象的Map结构。遍历httpUpgradeProtocols的Map结构,把httpUpgradeProtocols里的UpgradeProtocol对象保存到一个线程本地存储变量中。在invoke方法的出口hook中,通过参数HttpServletRequest请求,反射找到AbstractHttp11Protocol类的变量httpUpgradeProtocols。从线程本地存储变量中取出在入口函数hook里保存的UpgradeProtocol对象们。遍历httpUpgradeProtocols的Map结构,把httpUpgradeProtocols里的UpgradeProtocol对象和线程本地存储变量中取出的UpgradeProtocol对象进行比较,如果有新增的UpgradeProtocol对象,那此对象就是恶意构造的内存马对象。
根据某些可选的实施例,所述方法还包括:如果存在恶意注入的内存马,则取出Upgrade协议中的内存马对象的类信息和参数请求,并进行信息上报。
本发明的实施例,还提供了一种检测注入TomcatUpgrade内存马的装置,图2中示出了该装置的构成框图,如图2所示,该装置包括:
加载模块201,用于向Tomcat的Web应用加载软件包。
挂钩模块202,用于采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩。
内存马检测模块203,用于根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。
本发明上述实施例提供的检测注入TomcatUpgrade内存马的装置中各个模块实现其功能的具体过程与本发明上述实施例提供的检测注入TomcatUpgrade内存马的方法的各步骤相同,因此,此处将省略其重复描述。
本发明的实施例,还提供了一种电子设备,图3所示为本发明一实施例提供的电子设备的结构示意图。如图3所示,该电子设备包括:一个或多个处理器301和存储器302;以及存储在存储器302中的计算机程序指令,计算机程序指令在被处理器301运行时使得处理器301执行如上述任一实施例的检测注入TomcatUpgrade内存马的方法。处理器301可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备中的其他组件以执行期望的功能。
存储器302可以包括一个或多个计算机程序产品,计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器301可以运行程序指令,以实现上文的本发明的各个实施例的检测注入TomcatUpgrade内存马的方法中的步骤以及/或者其他期望的功能。
在一些实施例中,电子设备还可以包括:输入装置303和输出装置304,这些组件通过总线系统和/或其他形式的连接机构(图3中未示出)互连。例如,在该电子设备是单机设备时,该输入装置303可以是通信网络连接器,用于从外部的可移动设备接收所采集的输入信号。此外,该输入设备303还可以包括例如键盘、鼠标、麦克风等。该输出装置304可以向外部输出各种信息,例如可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等。
除了上述方法和设备以外,本发明的实施例还可以是计算机程序产品,包括计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行如上述任一实施例的检测注入TomcatUpgrade内存马的方法中的步骤。
计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例操作的程序代码,程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本发明的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行本发明的各个实施例的检测注入TomcatUpgrade内存马的方法中的步骤。
计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
应当理解的是,本发明实施例中的处理器可以为中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
综上所述,本发明实施例涉及一种检测注入TomcatUpgrade内存马的方法及装置,所述方法包括:向Tomcat的Web应用加载软件包;采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩;根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。本发明实施例的技术方案,利用注入TomcatUpgrade内存马特点,对Tomcat中Engine容器类的调用方法的入口和出口进行挂钩,能够快速查找到注入TomcatUpgrade的内存马,准确性较高。
应当理解的是,以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种检测注入TomcatUpgrade内存马的方法,其特征在于,包括:
向Tomcat的Web应用加载软件包;
采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩;
根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。
2.根据权利要求1所述的方法,其特征在于,所述对Tomcat的容器类的调用方法的入口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Map结构中的Upgrade协议对象,并保存至线程本地存储变量中。
3.根据权利要求2所述的方法,其特征在于,所述对Tomcat的容器类的调用方法的出口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象。
4.根据权利要求3所述的方法,其特征在于,根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,包括:
将对所述出口挂钩得到的Upgrade协议对象与线程本地存储变量中的Upgrade协议对象进行比较;
若比较结果有新增的Upgrade协议对象,则判断有恶意注入的内存马。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
如果存在恶意注入的内存马,则取出Upgrade协议中的内存马对象的类信息和参数请求,并进行信息上报。
6.一种检测注入TomcatUpgrade内存马的装置,其特征在于,包括:
加载模块,用于向Tomcat的Web应用加载软件包;
挂钩模块,用于采用软件包对Tomcat的容器类的调用方法的入口和出口进行挂钩;
内存马检测模块,用于根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,并根据判断结果检测是否有恶意注入的内存马。
7.根据权利要求6所述的装置,其特征在于,所述挂钩模块,对Tomcat的容器类的调用方法的入口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象,并保存至线程本地存储变量中。
8.根据权利要求7所述的装置,其特征在于,所述挂钩模块,对Tomcat的容器类的调用方法的出口进行挂钩,包括通过参数请求,反射找到协议类的Upgrade协议变量,遍历Upgrade协议变量的Map结构,寻找Upgrade协议变量中的Upgrade协议对象。
9.根据权利要求8所述的装置,其特征在于,所述内存马检测模块,根据所述入口和出口的挂钩,判断是否有新增的Upgrade协议对象,包括:
将对所述出口挂钩得到的Upgrade协议对象与线程本地存储变量中的Upgrade协议对象进行比较;
若比较结果有新增的Upgrade协议对象,则判断有恶意注入的内存马。
10.根据权利要求9所述的装置,其特征在于,还包括:
信息上报模块,用于如果存在恶意注入的内存马,则取出Upgrade协议中的内存马对象的类信息和参数请求,并进行信息上报。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310221715.9A CN116318941B (zh) | 2023-03-09 | 2023-03-09 | 检测注入TomcatUpgrade内存马的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310221715.9A CN116318941B (zh) | 2023-03-09 | 2023-03-09 | 检测注入TomcatUpgrade内存马的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116318941A true CN116318941A (zh) | 2023-06-23 |
| CN116318941B CN116318941B (zh) | 2023-10-10 |
Family
ID=86825239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310221715.9A Active CN116318941B (zh) | 2023-03-09 | 2023-03-09 | 检测注入TomcatUpgrade内存马的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116318941B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
| US20210097186A1 (en) * | 2019-09-30 | 2021-04-01 | Mcafee, Llc | Detection of Malicious Scripted Activity in Fileless Attacks |
| CN114707150A (zh) * | 2022-03-21 | 2022-07-05 | 安芯网盾(北京)科技有限公司 | 一种恶意代码检测方法、装置、电子设备和存储介质 |
| CN115688106A (zh) * | 2022-11-16 | 2023-02-03 | 安芯网盾(北京)科技有限公司 | 一种Java agent无文件注入内存马的检测方法及装置 |
| CN115758351A (zh) * | 2022-11-14 | 2023-03-07 | 安芯网盾(北京)科技有限公司 | 一种php内存马的检测方法及装置 |
-
2023
- 2023-03-09 CN CN202310221715.9A patent/CN116318941B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
| US20210097186A1 (en) * | 2019-09-30 | 2021-04-01 | Mcafee, Llc | Detection of Malicious Scripted Activity in Fileless Attacks |
| CN114707150A (zh) * | 2022-03-21 | 2022-07-05 | 安芯网盾(北京)科技有限公司 | 一种恶意代码检测方法、装置、电子设备和存储介质 |
| CN115758351A (zh) * | 2022-11-14 | 2023-03-07 | 安芯网盾(北京)科技有限公司 | 一种php内存马的检测方法及装置 |
| CN115688106A (zh) * | 2022-11-16 | 2023-02-03 | 安芯网盾(北京)科技有限公司 | 一种Java agent无文件注入内存马的检测方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| SNDAV: "一种新的Tomcat内存马 - Upgrade内存马.", 《HTTPS://TTTANG.COM/ARCHIVE/1709/》 * |
| 赵宇博 等.: "基于内存保护技术的内存马检测方法研究..", 《信息网络安全》, no. 1 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116318941B (zh) | 2023-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8281393B2 (en) | Method and system for detecting windows rootkit that modifies the kernel mode system service dispatch table | |
| US8528095B2 (en) | Injection context based static analysis of computer software applications | |
| KR101724307B1 (ko) | 악성코드를 검출하는 방법 및 시스템 | |
| CN110059477B (zh) | 一种攻击检测方法及装置 | |
| CN111782416B (zh) | 数据上报方法、装置、系统、终端及计算机可读存储介质 | |
| US8763128B2 (en) | Apparatus and method for detecting malicious files | |
| US8474040B2 (en) | Environmental imaging | |
| US20190147163A1 (en) | Inferential exploit attempt detection | |
| US10395033B2 (en) | System, apparatus and method for performing on-demand binary analysis for detecting code reuse attacks | |
| US11636197B2 (en) | Selective import/export address table filtering | |
| US10162963B2 (en) | Malware detection and identification using deviations in one or more operating parameters | |
| US10275596B1 (en) | Activating malicious actions within electronic documents | |
| CN115758351B (zh) | 一种php内存马的检测方法及装置 | |
| CN116318941B (zh) | 检测注入TomcatUpgrade内存马的方法及装置 | |
| US20160239364A1 (en) | Method of verifying integrity of program using hash | |
| CN115828256A (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
| CN117675242A (zh) | 业务请求处理方法、装置、电子设备及存储介质 | |
| CN116028929B (zh) | 基于Linux内核的无文件攻击的检测方法及装置 | |
| CN116049817B (zh) | 基于Linux内核的实时检测与阻断进程提权方法及装置 | |
| CN116186699B (zh) | Php文件访问检测方法及装置 | |
| US7730533B1 (en) | Cache hint correction for security scanning | |
| JP2006106939A (ja) | 侵入検知方法及び侵入検知装置並びにプログラム | |
| CN115617496B (zh) | 用户模式与内核模式通信的方法、装置、电子设备和介质 | |
| CN114707149B (zh) | 一种傀儡进程检测方法、装置、电子设备和存储介质 | |
| KR20210117682A (ko) | 메모리 맵을 활용한 멀웨어 탐지 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |