Java Agent 内存马攻防

最新推荐文章于 2024-06-11 16:38:56 发布
最新推荐文章于 2024-06-11 16:38:56 发布
阅读量1.1k 收藏 5
点赞数 1
文章标签: java jvm 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2204/article/details/128870613
版权
本文详细介绍了Java Agent的使用,包括premain和agentmain两种方式,以及如何通过VirtualMachine、Instrumentation和Transform API来实现字节码修改。还探讨了如何利用Java Agent注入和检测内存马,以及内存马的免杀策略,如破坏检测Agent的加载和阻止Agent的加载。最后,文章提到了网络安全学习路线和相关资源。
摘要由CSDN通过智能技术生成

前言

在 jdk 1.5 之后引入了 java.lang.instrument 包,该包提供了检测 java 程序的
Api,用于监控、收集性能信息、诊断问题等。通过 java.lang.instrument 实现的工具我们称之为 Java Agent ,Java
Agent 能够在不影响正常编译的情况下来修改字节码,即动态修改已加载或者未加载的类,包括类的属性、方法等。

Java Agent的使用方式有两种(图源先知社区):

  • premain方法,在JVM启动前加载。

image-20220107135410448.png

  • agentmain方法,在JVM启动后加载。

image-20220107135443296.png

在实际环境中,目标的JVM通常都是已经启动的状态,无法预先加载premain。相比之下,孰轻孰重已不言而喻。

premain和agentmain函数声明如下,方法名相同情况下,拥有Instrumentation inst参数的方法优先级更高:

public static void agentmain(String agentArgs, Instrumentation inst) {
    ...
}

public static void agentmain(String agentArgs) {
    ...
}

public static void premain(String agentArgs, Instrumentation inst) {
    ...
}

public static void premain(String agentArgs) {
    ...
}

JVM 会优先加载带Instrumentation签名的方法,加载成功则忽略第二种。如果第一种没有,则加载第二种方法。

  • 第一个参数String agentArgs就是Java agent的参数。

  • Inst是一个java.lang.instrument.Instrumentation的实例,可以用来类定义的转换和操作等等。

premain 方式

JVM启动时 会先执行premain方法,大部分类加载都会通过该方法,注意: 是大部分,不是所有 。遗漏的主要是系统类,因为很多系统类先于
agent 执行,而用户类的加载肯定是会被拦截的。也就是说, 这个方法是在 main 方法启动前拦截大部分类的加载活动
,既然可以拦截类的加载,就可以结合第三方的字节码编译工具,比如ASM,javassist,cglib等来改写实现类。

1)创建应用程序hello.jar

package com.nsfocus.test

public class hello {
    public static void main (String[] args) {
        System.out.println("hello world");
    }
}

将com.nsfocus.test.hello打包成hello.jar后单独执行java -jar hello.jar

image-20220120155044236.png

2)创建premain方式的Agent

package com.nsfocus.test

import java.lang.instrument.Instrumentation;

public class PreDemo {
    public static void premain(String args, Instrumentation inst) throws Exception{
        for (int i = 0; i < 10; i++) {
            System.out.println("I'm premain agent");
        }
    }
}

此时项目如果打包成jar包执行,则会因绝少入口main而报错(Java默认main为入口)。故需自定义一个MANIFEST.MF文件,用于指明premain的入口:

Manifest-Version: 1.0
Premain-Class: com.nsfocus.test.PreDemo

注:最后一行是 空行,不能省略 。以下是MANIFEST.MF的其他选项:

Premain-Class: 包含 premain 方法的类(类的全路径名)
Agent-Class: 包含 agentmain 方法的类(类的全路径名)
Boot-Class-Path: 设置引导类加载器搜索的路径列表。查找类的特定于平台的机制失败后,引导类加载器会搜索这些路径。按列出的顺序搜索路径。列表中的路径由一个或多个空格分开。路径使用分层 URI 的路径组件语法。如果该路径以斜杠字符(“/”)开头,则为绝对路径,否则为相对路径。相对路径根据代理 JAR 文件的绝对路径解析。忽略格式不正确的路径和不存在的路径。如果代理是在 VM 启动之后某一时刻启动的,则忽略不表示 JAR 文件的路径。(可选)
Can-Redefine-Classes: true表示能重定义此代理所需的类,默认值为 false(可选)
Can-Retransform-Classes: true 表示能重转换此代理所需的类,默认值为 false (可选)
Can-Set-Native-Method-Prefix: true表示能设置此代理所需的本机方法前缀,默认值为 false(可选)

3)使用premain进行注入

java -javaagent:PreDemo.jar -jar hello.jar

image-20220120155425949.png

agentmain 方式

写一个agentmainpremain差不多,只需要在META-INF/MANIFEST.MF中加入Agent-Class:即可。

agent:

package com.nsfocus.test

import java.lang.instrument.Instrumentation;

public class AgentDemo {
    public static void agentmain(String agentArgs, Instrumentation inst) {
        for (int i = 0; i < 10; i++) {
            System.out.println("I'm agentmain agent");
        }
    }
}

META-INF/MANIFEST.MF:

Manifest-Version: 1.0
Agent-Class: com.nsfocus.agent.AgentDemo
Can-Retransform-Classes: true
Can-Redefine-Classes: true

不同之处在于,这种方法不是在JVM启动前使用参数来指定的。官方为了实现启动后的加载,提供了Attach API。Attach API 很简单,只有 2
个主要的类,都在com.sun.tools.attach包里面。需要着重关注的是VitualMachine这个类,它用来与目标JVM建立连接,从而在启动后加载我们的agentmain。

:Linux、Windows等不同下的Attach API不尽相同,详见下文。

:总的来说,agentmain的实现也并不是很难理解。笔者将其简要概括为三个阶段:

连接(VirtualMachine) => 加载(Instrumentation) => 修改(Javassist),详见下文。

VirtualMachine

字面意义表示虚拟机,也就是Agent程序需要监控的目标JVM。它提供了获取系统信息、loadAgentAttachDetach等方法,可以实现的功能非常强大
。该类允许我们给attach方法传入一个JVM的pid,远程连接到目标JVM上
。代理类注入操作只是它众多功能中的一个,我们可以通过loadAgent方法向JVM注册一个代理程序Agent,在该Agent代理程序中将会得到一个Instrumentation实例。

VirtualMachine的用法:

// com.sun.tools.attach.VirtualMachine

// 下面的示例演示如何使用VirtualMachine:

        // attach to target VM
        VirtualMachine vm = VirtualMachine.attach("2177");
        // start management agent
        Properties props = new Properties();
        props.put("com.sun.management.jmxremote.port", "5000");
        vm.startManagementAgent(props);
        // detach
        vm.detach();

// 在此示例中,我们附加到由进程标识符2177标识的Java虚拟机。然后,使用提供的参数在目标进程中启动JMX管理代理。最后,客户端从目标VM分离。

attacher:

package com.nsfocus.attacher;

import com.sun.tools.attach.AgentInitializationException;
import com.sun.tools.attach.AgentLoadException;
import com.sun.tools.attach.AttachNotSupportedException;
import com.sun.tools.attach.VirtualMachine;

import java.io.IOException;

public class AgentAttach {
    public static void main(String[] args) throws IOException, AttachNotSupportedException, AgentLoadException, AgentInitializationException {
        String id = args[0];
        String jarName = args[1];

        System.out.println("id ==> " + id);
        System.out.println("jarName ==> " + jarName);

        VirtualMachine virtualMachine = VirtualMachine.attach(id);
        virtualMachine.loadAgent(jarName);
        virtualMachine.detach();

        System.out.println("ends");
    }
}



Manifest-Version: 1.0
Main-Class: com.nsfocus.attacher.AgentAttach

过程非常简单:通过pid attach到目标JVM - > 加载agent -> 解除连接。

后话 :在windows下将该项目打包为attacher.jar后,复制到linux下执行报错:

Exception in thread "main" java.lang.UnsatisfiedLinkError: sun.tools.attach.WindowsAttachProvider.tempPath()Ljava/lang/String;
        at sun.tools.attach.WindowsAttachProvider.tempPath(Native Method)
        at sun.tools.attach.WindowsAttachProvider.isTempPathSecure(WindowsAttachProvider.java:74)
        at sun.tools.attach.WindowsAttachProvider.listVirtualMachines(WindowsAttachProvider.java:58)
        at com.sun.tools.attach.VirtualMachine.list(VirtualMachine.java:134)
        at sun.tools.jconsole.LocalVirtualMachine.getAttachableVMs(LocalVirtualMachine.java:151)
        at sun.tools.jconsole.LocalVirtualMachine.getAllVirtualMachines(LocalVirtualMachine.java:110)
        ...

前面已经提到了,不同的AttachProvider适用于不同的平台,即不同平台下的${JAVA_HOME}/lib/tools.jar有略微的差别:

[solaris] sun.tools.attach.SolarisAttachProvider
[windows] sun.tools.attach.WindowsAttachProvider
[linux]   sun.tools.attach.LinuxAttachProvider

image-20220120162000974.png

将项目拷贝到linux下再打包,或者将windows下的tools.jar替换为linux下的tools.jar均能解决这个问题。

Instrumentation

通过attacher连接到目JVM后,可以通过instrumentation类和目标JVM上的类进行交互,为动态修改字节码奠定基础。

官方文档:[java.lang.instrument (Java SE 9 & JDK 9 )
(oracle.com)](https://docs.oracle.com/javase/9/docs/api/java/lang/instrument/package-
summary.html)

public interface Instrumentation {

    // 增加一个 Class 文件的转换器,转换器用于改变 Class 二进制流的数据,参数 canRetransform 设置是否允许重新转换。在类加载之前,重新定义 Class 文件,ClassDefinition 表示对一个类新的定义,如果在类加载之后,需要使用 retransformClasses 方法重新定义。addTransformer方法配置之后,后续的类加载都会被Transformer拦截。对于已经加载过的类,可以执行retransformClasses来重新触发这个Transformer的拦截。类加载的字节码被修改后,除非再次被retransform,否则不会恢复。
    void addTransformer(ClassFileTransformer transformer);

    // 删除一个类转换器
    b
最低0.47元/天 解锁文章
万天峰
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
新型 tomcat websocket 内存检测与防护思路探究
Jinmindong
03-08 467
本文通过分析该新型内存原理,提出了对应的检测思路,并实现了一个简陋的内存检测代码和内存删除代码,希望该方法能够帮助有此需求的同行安全运维人员,也希望能够抛砖引玉,开展更为深入的讨论。
【网络安全】Agent内存的自动分析与查杀
qkh1234567的博客
05-20 749
以上是背景,接下来介绍我做了些什么,能够实现怎样的效果不难看出,以上内存查杀手段都是半自动结合人工审核的方式,当检测出内存后检测(同时支持普通内存Java Agent内存的检测)分析(如何确定该类是内存,仅根据恶意类名和注解等信息不完善)查杀(当确定内存存在,如何自动地删除内存并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
Java内存 原理、实战与查杀】
weixin_46318447的博客
06-11 1231
内存原理 、实战与查杀
学习Java agent 内存(看不懂别关闭,直接喷!!!)
一剑开天门!的博客
12-23 3091
java agentJava 程序,可以通过在 Java 虚拟机(JVM)启动时提供参数来加载和运行。它可以通过 java.lang.instrument 包提供的 Java 标准接口进行代码插桩,从而在 Java 应用程序的类加载和运行期间改变 Java 字节码。而java agent内存就是利用这个特性产生。
java agent内存学习
Shanfenglan's blog
11-12 1698
文章目录1. 什么是java agent补充:一些重要的类ClassFileTransformerVirtualMachineCtMethod2. 利用premain函数实现java agent2.1 执行逻辑2.2 利用javaagent修改加载到jvm前被拦截的类3. 利用agentmain实现javaagent3.1 执行逻辑3.2 参考代码1. 实现连接指定jvm进程的代码:2. 实现agentmain4. 利用agentmain实现内存4.1 修改spring boot中的Filter实现内存
Java Agent内存调试系列 (一)
热门推荐
leeezp的博客
10-17 27万+
在JDK1.5以后,引入了包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 java.lang.instrument。在 Instrumentation 中增加了名叫 transformer 的 Class 文件转换器,转换器可以改变二进制流的数据Transformer 可以对未加载的类进行拦截,同时可对已加载的类进行重新拦截,所以根据这个特性我们能够在不影响正常编译的情况实现动态修改字节码,已加载或者未加载的类,包括类的属性、方法。
基于Java Agent内存
遇事不决冲冲冲
06-06 2007
在 jdk 1.5 之后引入了 `java.lang.instrument` 包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 `java.lang.instrument` 实现的工具我们称之为 Java AgentJava Agent 支持两种方式进行加载: 实现 premain 方法,在启动时进行加载 (该特性在 jdk 1.5 之后才有) 实现 agentmain 方法,在启动后进行加载 (该特性在 jdk 1.6 之后才有) ...
不那么一样的 Java Agent 内存.zip
03-06
不那么一样的 Java Agent 内存.zip不那么一样的 Java Agent 内存.zip不那么一样的 Java Agent 内存.zip不那么一样的 Java Agent 内存.zip不那么一样的 Java Agent 内存.zip不那么一样的 Java Agent 内存...
java agent使用全解析
08-18
"java agent使用全解析" java agentjava命令的一个参数,可以用于指定一个jar包,并且对该java包有两个要求:1.这个jar包的MANIFEST.MF文件必须指定Premain-Class项;2. Premain-Class指定的那个类必须实现...
Java agent使用大全
07-15
Java agent使用大全-编辑再发
javaagent+javassist
12-25
通过指定`-javaagent`命令行选项,我们可以指定一个Java代理类,在JVM启动时被加载,从而可以在类加载到内存之前或者之后进行拦截和修改。这种技术常用于性能监控、代码覆盖率检测、事务管理等场景。Java 5引入的预...
JavaAgent例子-agentmain方式
12-02
JavaAgent技术的Demo,agentmain方式 采用Javaassist技术实现字节码修改,VirtualMachine技术实现运行时代码织入
JavaAgent例子-agentmain方式 demo
12-03
JavaAgent技术的Demo,agentmain方式 采用Javaassist技术实现字节码修改,VirtualMachine技术实现运行时代码织入
DuckMemoryScan:检测绝大部分所谓的内存免杀
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替杀毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木检测(检测所有已知内存加载木) 简易rootkit检测(检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 免杀木检测原理: 所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函
如何优雅的注入Java Agent内存
weixin_62421895的博客
08-19 550
我相信如果是熟悉Java Native开发的同学可能对此并不陌生,在jvm.dll中存在一个名为JNI_GetCreatedJavaVMs的函数,该函数是JVM提供给Java Native开发人员用来在Native层获取VM对象的,因为是开放给开发者使用的,所以该函数是导出的。我们可以直接调用这个函数来获取JavaVM对象。Windows平台和Linux平台下构造JPLISAgent对象的方法,有了JPLISAgent对象,就可以调用Java Agent的所有能力了,当然我们感兴趣的还是类的动态修改功能。.
Java Agent Premain & Agentmain
博客
02-01 598
这种方式会转换会有一些限制,比如不能增加或移除字段。
JAVA agentmain 热更新
spring的博客
03-13 533
java服务热更新服务器
JAVA AgentMain开发示例
Kuzury
04-11 6025
agentmain方式premain时Java SE5开始就提供的代理方式,给了开发者诸多惊喜,不过也有些须不便,由于其必须在命令行指定代理jar,并且代理类必须在main方法前启动。因此,要 求开发者在应用前就必须确认代理的处理逻辑和参数内容等等,在有些场合下,这是比较苦难的。比如正常的生产环境下,一般不会开启代理功能,但是在发生问题 时,我们不希望停止应用就能够动态的去修改一些类的行为,以帮助排
java -javaagent的作用
最新发布
06-24
Java中,`javaagent`是一个特殊类型的类,它的主要作用是在Java应用运行之前或之后执行一些自定义的代码。这种功能通常用于以下场景: 1. 性能分析和监控:`javaagent`可以在应用程序启动时插入一个代理,用于收集性能数据、内存使用情况等,并将其发送到日志或远程服务器。 2. 安全增强:例如,代理可以检查代码的执行,以防止潜在的安全威胁或执行策略检查。 3. 动态修改类加载:在程序运行时,`javaagent`可以动态地改变类的加载路径或替换已加载的类,这在一些测试工具或调试框架中很有用。 4. 字节码增强:`javaagent`可以通过修改字节码来增强应用程序的功能,比如AOP(面向切面编程)实现。 要使用`javaagent`,你需要在命令行启动Java应用程序时指定`-javaagent`选项,后面跟上`javaagent`类的全限定名和参数。例如: ```bash java -javaagent:/path/to/your-agent.jar=myarg some.JavaClass ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值