# Java内存马检测工具 (Memory Shell Detector)
项目地址：https://github.com/private-xss/memory-shell-detector
[](https://github.com/private-xss/memory-shell-detector#java%E5%86%85%E5%AD%98%E9%A9%AC%E6%A3%80%E6%B5%8B%E5%B7%A5%E5%85%B7-memory-shell-detector)

一款用于检测、查看和移除Java应用中内存马（Memory Shell）的安全工具。

## 功能特性

[](https://github.com/private-xss/memory-shell-detector#%E5%8A%9F%E8%83%BD%E7%89%B9%E6%80%A7)

### 检测能力

[](https://github.com/private-xss/memory-shell-detector#%E6%A3%80%E6%B5%8B%E8%83%BD%E5%8A%9B)

#### 容器型内存马

[](https://github.com/private-xss/memory-shell-detector#%E5%AE%B9%E5%99%A8%E5%9E%8B%E5%86%85%E5%AD%98%E9%A9%AC)

*   **Tomcat**: Filter、Servlet、Listener、Valve
*   **Jetty**: Filter、Servlet、Handler
*   **WebLogic**: Filter、Servlet
*   **JBoss/WildFly (Undertow)**: Filter、Servlet
*   **Resin**: Filter、Servlet

#### 框架型内存马

[](https://github.com/private-xss/memory-shell-detector#%E6%A1%86%E6%9E%B6%E5%9E%8B%E5%86%85%E5%AD%98%E9%A9%AC)

*   **Spring MVC/Spring Boot**: Controller、Interceptor
*   **Shiro**: Filter

#### Agent型内存马

[](https://github.com/private-xss/memory-shell-detector#agent%E5%9E%8B%E5%86%85%E5%AD%98%E9%A9%AC)

*   冰蝎 (Behinder)
*   哥斯拉 (Godzilla)
*   蚁剑 (AntSword)
*   天蝎 (Suo5)
*   通过 Instrumentation/ClassFileTransformer 修改的类

### 检测原理

[](https://github.com/private-xss/memory-shell-detector#%E6%A3%80%E6%B5%8B%E5%8E%9F%E7%90%86)

1.  **无class文件检测**: 动态注入的内存马在磁盘上没有对应的.class文件
2.  **类名关键字检测**: evil、shell、cmd、backdoor、hack、exploit、payload、behinder、godzilla、antsword、memshell、webshell、inject、malicious、trojan、reverse
3.  **字节码特征检测**: Runtime.exec、ProcessBuilder、ScriptEngine、ClassLoader.defineClass、JNDI lookup、反序列化等危险调用
4.  **类路径检测**: 不在标准jar/war/classes目录中的类

### 操作功能

[](https://github.com/private-xss/memory-shell-detector#%E6%93%8D%E4%BD%9C%E5%8A%9F%E8%83%BD)

*   **进程扫描**: 自动发现系统中运行的Java进程
*   **代码反编译**: 查看可疑类的源代码，支持语法高亮
*   **内存马移除**: 支持移除 Filter、Servlet、Listener、Valve、Controller、Interceptor
*   **报告导出**: 支持JSON和文本格式的检测报告

## 环境要求

[](https://github.com/private-xss/memory-shell-detector#%E7%8E%AF%E5%A2%83%E8%A6%81%E6%B1%82)

*   JDK 1.8+

## 快速开始

[](https://github.com/private-xss/memory-shell-detector#%E5%BF%AB%E9%80%9F%E5%BC%80%E5%A7%8B)

编译完成后会生成以下JAR文件：

*   `detector-cli/target/memory-shell-detector-cli.jar` \- 命令行工具
*   `detector-gui/target/memory-shell-detector-gui.jar` \- 图形界面工具
*   `detector-agent/target/detector-agent-1.0.0-SNAPSHOT.jar` \- Java Agent

**注意**: Agent JAR 需要和 CLI/GUI JAR 放在同一目录下使用。

### 图形界面使用

[](https://github.com/private-xss/memory-shell-detector#%E5%9B%BE%E5%BD%A2%E7%95%8C%E9%9D%A2%E4%BD%BF%E7%94%A8)

java -jar memory-shell-detector-gui.jar

GUI界面功能：

1.  左侧面板显示Java进程列表，双击可扫描
2.  右上面板显示检测结果，按类型分组（Filter/Servlet/Listener/Valve/Controller/Interceptor/Agent等）
3.  可疑内存马以红色高亮显示
4.  右下面板显示反编译代码
5.  工具栏提供刷新、扫描、查看、移除、导出等操作