第107篇：国*攻防比赛中一个多层嵌套的java内存马的反混淆解密分析过程

主要观点总结

本文详细介绍了ABC_123对多层加密的内存马进行分析解密的过程。文章包括前言、技术研究过程和总结三部分。在技术研究过程中，作者详细描述了内存马的三层加密解密过程，包括JSP的Webshell内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。文章的主要目的是找到内存马的流量特征，以便在安全设备中监控和溯源分析攻击行为。

关键观点总结

关键观点1: 内存马多层加密解密的过程介绍

作者详细描述了内存马的三层加密解密过程，包括Webshell的内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。

关键观点2: 内存马流量特征的找到

通过分析解密混淆的java代码，作者找到了内存马的流量特征，即当header请求头“User-Agent”包含“.1.2.2”时，会走内存马webshell流程。

关键观点3: 内存马反编译的目的

内存马反编译的主要目的是为了找到内存马通信的流量特征，以便在流量监控设备中找到相应攻击者的流量，进行溯源分析。

免责声明