如何检测Java代理、JVMTI等。

如果你无法控制环境，那么很抱歉 - 你真的陷入了困境。是的，你可以通过某种命令行嗅探来寻找琐碎的JVMTI代理，但这只是你的小问题。想想java/lang/Classloader.defineClass()被直接攻击的情况。如果你拥有这台机器，那就很容易做到 - 只需替换rt.jar中的.class文件即可。事实上，在JVMTI出现之前，这是分析器和监控工具对Java代码进行插桩的典型方式。
回到JVMTI - "Late attach"功能还允许在运行时加载JVMTI代理。第一次扫描时可能没有发生这种情况。
最重要的是 - 如果有人可以更改磁盘上JRE的字节，他们可以做任何他们想做的事情。这是否道德，不是。他们能被抓住吗？可能，但你永远赢不了这场战争。

看起来我可以使用一些自定义JNI本地代码的组合来进行检查。

1.) 命令行嗅探以搜索代理。 2.) 确保命令行参数-XX：+ DisableAttachMechanism存在。（这将防止人们附加到我的运行VM）

我记得我曾经制作过一个几乎无声的Java代理程序。我想你最好寻找端口扫描器或类似的东西。

Java 2安全性、jar文件签名等，可以在一定程度上控制应用程序中加载的内容。

然而，最终如果恶意人士能够访问机器并写入磁盘，那么很可能他们有足够的能力进行危害，而不需要使用巧妙的Java黑客技术。

换个角度思考，在任何语言中，你可以做些什么来检测木马？

对于你关心的机器进行谨慎的访问控制是非常重要的，但这并不容易。如果你认真对待这些问题，安全专家可能看起来有点过于多疑，但这通常意味着他们真正理解风险。

如果你无法控制平台，就无法控制其上的软件。

即使你可以关闭你列出的所有检查方法，Java 是开源的。他们可以拿走源代码并重新编译它以内置必要的更改。

此外，请记住，尽管这是您的代码，但这是他们的机器。他们有权检查您的代码，以验证在他们的机器上运行代码是否符合他们的期望，并且不执行可能会产生不良后果的“额外”操作。过去不太可信的公司曾经扫描非相关文件，将敏感信息复制回其主服务器等。

我会查看命令行，看看是否有任何“-agent”参数。所有分析器、调试器和其他代码修改器都使用这个参数进行内省。您还可以检查引导类路径上的不寻常的JAR文件，因为这些可能也会构成威胁（但请注意，您还必须提供自定义JVM，因为某些软件如Quicktime会将自己添加到运行的所有Java应用程序的引导类路径中...（当我看到这个时，我简直不敢相信我的眼睛...））。

基本上这是一场失败的战斗。
看看Sun JDK中的visualvm如何工作，以及它如何连接到正在运行的进程并重新定义它所想要的任何内容。以可移植的方式极其难以检测到它，除非你能够这样做，否则你最好放弃这种方法。
问题是，你想要避免什么？