scan_process
Scans Java processes for memory shell malware by injecting a Java Agent to detect suspicious Servlet, Spring, and Agent-based components, providing class names for analysis.
Instructions
执行 memory-shell-detector-cli.jar 对指定 Java 进程进行内存马扫描检测
底层命令: java -jar memory-shell-detector-cli.jar -s
此工具通过 Java Agent 技术注入目标 JVM 进程,扫描以下可疑组件:
Servlet/Filter/Listener 类型内存马
Spring Controller/Interceptor 内存马
Agent 类型内存马
其他动态注册的恶意类
扫描结果会列出所有可疑类的完整类名,供后续反编译分析。
Args: pid: 目标 Java 进程的 PID tools_dir: 检测工具 jar 包所在目录 use_ssh: 是否通过 SSH 在远程服务器执行 ssh_host/ssh_username/ssh_password/ssh_key_path/ssh_port: SSH 连接参数
Returns: scan_result: 扫描结果,包含可疑类列表
Input Schema
TableJSON Schema
| Name | Required | Description | Default |
|---|---|---|---|
| pid | Yes | ||
| tools_dir | No | ||
| use_ssh | No | ||
| ssh_host | No | ||
| ssh_username | No | ||
| ssh_password | No | ||
| ssh_key_path | No | ||
| ssh_port | No |