Java内存马检测专题直播 Q&A

1月6日晚，我们在“微步安全学院”进行了Java内存马检测的专题直播，可以点击文末“阅读原文”回看直播、下载PPT。

以下是对于直播间内大家普遍关注的问题的解答。

目前主流修复方式都是升级，或者加参数、删class重启，是不是就没内存马问题了？除了关机，还有其他方式干掉内存马吗？

重启即可，一般来说内存马重启后就没有了。但是如果检测到了内存马则说明机器已经被攻陷，最好整个系统都要做一下安全检测，找到漏洞修复。另外，可以选择专业的网络安全服务商。比如，微步在线 OneEDR，可以提供专业的主机威胁检测与响应服务。

针对容器中的Java进程，在宿主机上可以检测吗？还有一点，attach到Java进程很可能会影响到业务，这里河马有什么避免吗？

我们在检测过程中做了一些优化，降低了 attach 后的开销，但是要说百分比不影响业务这个也不能保证，对于高并发生产环境中使用的时候慎重一些，一定要有人值守。

如何通过日志看加载过哪些恶意class？

无法通过分析 catalina.out 日志分析加载的 class。可能存在的痕迹在于 Web 的 access log 中排查类似反序列化/文件上传的请求包，以及类似连接 WebShell 的请求包。但是无论哪种日志，都无法排查加载了哪些恶意的 class。

请问可以检测哪些类型的内存马？

Java 内存马理论上支持主流的 Web 服务器，tomcat/jboss/weblogic 都支持自动检测，springboot 需要指定进程的方式检测。

河马检测能具体看到加载的恶意类信息吗？

检测结果中包含了加载的恶意类包名称。

内存马是不是只和Java开发的系统有关？

严格意义上来说，内存马的概念包括 Java 内存马和其他情况，Java 内存马属于内存马的一种，我们的内存马检测这里专指 Java 内存马。

会有绕过检测的情况吗？

暂未发现，我们收集到绕过的情况会第一时间修复，如果您怀疑中了内存马，可以将导出的文件发给我们，我们帮您分析并改进检测，感谢支持。

可扫码加入专属微信群，或者通过官方QQ群（971146821）随时与我们交流沟通。

（1月18日前有效）

河马内存马工具开源吗？

暂时无此计划，目前我们主要经历还是投入在提升检测能力和新版引擎开发。

杀毒软件能杀吗？

病毒和 WebShell 不是一回事，暂时没有听说哪家杀毒软件能够杀 Java 内存马。

这个工具可以脱网使用吗？

可以的，在本地环境运行即可，联网的话结果会加载河马的云查能力，能力更强。

河马有企业版么？

暂时没有，您有具体需求可以跟我们进一步沟通。

- END -

点击阅读原文，回看内存马检测专题直播

↙↙↙