Tomcat内存马有：Filter型，Servlet型，Listener型

Spring内存马有：Controller型，Interceptor型

Java Agent内存马：这种方式不仅限于Tomcat或Spring

直接能想到的办法是利用Java Agent遍历所有JVM中的class，判断是否是内存马

例如使用阿里的arthas分析，根据继承实现类黑名单，注解包名类名等黑名单来做

例如LandGrey师傅的copagent项目，根据黑名单和风险注解作为依据，

或者使用c0ny1师傅的java-memshell-scanner项目，从Tomcat API角度删除

首先是类名可能是恶意的，或者包名和项目名不符，可以一眼看出

其次优先级肯定是第一位的，这由内存马的特性决定，所以应该重点关注第一个Filter

观察ClassLoader是否是不正常的，以及是否存在对应的Class文件

有一种思路是在destroy方法中加入再注册内存马的代码，但并不是所有删除方式都会触发destroy方法

所以另外的思路是跑一个不死线程，循环检测该内存马是否存在，以及注册的功能

内存马持久化这个问题必须要往本地写文件，可以利用addShutDownHook方法在JVM退出时写文件

一般来说思路是写入依赖Jar中，例如catalina.jar中

4ra1n师傅提到的修改Tomcat的Lib也是一种手段，在默认开启的WsFilter中的doFilter方法中修改代码

使用ServletContainerInitializer用于在容器启动阶段注册三大组件，取代web.xml配置。其中onStartup方法会在Tomcat中间件重启加载当前webapp会优先执行这个方法。通过改方法，我们可以注册一个webshell的filter

网上师傅提到用sa-jdi.jar工具来做，这是一个JVM性能检测工具，可以dump出JVM中可能有问题的Class文件，尤其重点关注HttpServletr.service方法，这是Agent内存马常用的手段

一般Agent内存马会调用Java Agent提供的redefineClass方法加入内存马

如果想检测，拿到的字节码并不是修改过的字节码，而是原始字节码，因此无法判断某个类是否合法

准确描述：无法获取到被redefineClass修改后的字节码，只能获取到被retransformClass修改后的字节码

根据JavaEE规范，最先想到的点应该是javax/servlet/http/HttpServlet#service

其次是位于Filter链头部的org/apache/catalina/core/ApplicationFilterChain#doFilter

针对特殊框架可以做特殊处理，例如针对Spring的org/springframework/web/servlet/DispatcherServlet#doService

还有4ra1n师傅提出关于Tomcat自带Filter的修改：org/apache/tomcat/websocket/server/WsFilter#doFilter

这个比较简单，用Agent把查到的类对应的方法改成原始的字节码即可

获取原始字节码也不难，从本地或标准库中查找，然后利用Javassist修改

核心是找到类似Tomcat和Spring中的Context对象，然后尝试从其中获取request和response对象以实现内存马的功能。

可以从常见的类名入手：Requst、ServletRequest、RequstGroup、RequestInfo、RequestGroupInfo等等

可以参考c0ny1师傅的java-object-searcher项目，半自动搜索request对象

参考c0ny1师傅的文章，由于Spring Cloud Gateway并不基于Tomcat而是基于Netty框架，需要构造一个handler用作内存马。另外的思路是构造上层的内存马，也就是基于Spring的内存马，向RequestMappingHandlerMapping中注入新的映射。具体代码使用到了Sping的一些工具类，在SPEL中反射调用了defineClass以达到执行代码的效果