【2021HW | 干货】冰蝎beta8内存马防查杀破解

u今早发现冰蝎webshell 更新至beta8，其中一点更新比较稳，如图其中新增了内存马防查杀机制，话不多说，盘它。对比新增的代码，有一点比较突出，如图个人猜想，作者可能是想通过关闭某些pipe，以防止应急响应加载javaagent。正好，我看到很多人都想禁止第三方加载javaagent以保证自己的内存马不被查杀。下面我们来分析一下sun.tools.attach都做了什么，为什么无法做到无法禁止javaagent的加载。要解决上面这个问题，我们需要思考，sun.tools.attach是如何于目标JVM通信的，是怎么于目标JMV传递数据的？只有搞清楚这两个问题，我们才能解决怎样禁止javaagent加载以下分析基于windows1. java层我们先从最基础的，向一个正在运行的JVM加载agent的操作开始分析。很多恶意javaagent，都在想 ………………………………