Linux病毒原型代碼

　　寫這篇文章的目的主要是對(duì)最近寫的一個(gè)Linux病毒原型代碼做一個(gè)總結(jié)，同時(shí)向?qū)@方面有興趣的朋友做一個(gè)簡(jiǎn)單的介紹。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的Linux病毒原型代碼介紹!希望對(duì)你有幫助!

　　Linux病毒原型代碼介紹：

　　一、 ELF Infector (ELF文件感染器)

　　為了制作病毒文件，我們需要一個(gè)ELF文件感染器，用于制造第一個(gè)帶毒文件。對(duì)于ELF文件感染技術(shù)，在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經(jīng)有了一個(gè)非常好的分析、描述，在這方面我還沒有發(fā)現(xiàn)可以對(duì)其進(jìn)行補(bǔ)充的地方，因此在這里我把Silvio Cesare對(duì)ELF Infection過程的總結(jié)貼出來，以供參考：

　　The final algorithm is using this information is.

　　* Increase p_shoff by PAGE_SIZE in the ELF header

　　* Patch the insertion code (parasite) to jump to the entry point

　　(original)

　　* Locate the text segment program header

　　* Modify the entry point of the ELF header to point to the new

　　code (p_vaddr + p_filesz)

　　* Increase p_filesz by account for the new code (parasite)

　　* Increase p_memsz to account for the new code (parasite)

　　* For each phdr who's segment is after the insertion (text segment)

　　* increase p_offset by PAGE_SIZE

　　* For the last shdr in the text segment

　　* increase sh_len by the parasite length

　　* For each shdr who's section resides after the insertion

　　* Increase sh_offset by PAGE_SIZE

　　* Physically insert the new code (parasite) and pad to PAGE_SIZE, into

　　the file - text segment p_offset + p_filesz (original)

　　在Linux病毒原型中所使用的gei - ELF Infector即是根據(jù)這個(gè)原理寫的。在

　　附錄中你可以看到這個(gè)感染工具的源代碼: g-elf-infector.c

　　g-elf-infector與病毒是獨(dú)立開的，其只在制作第一個(gè)病毒文件時(shí)被使用。我簡(jiǎn)單介

　　紹一下它的使用方法，g-elf-infector.c可以被用于任何希望--將二進(jìn)制代碼插入到指定文件的文本段，并在目標(biāo)文件執(zhí)行時(shí)首先被執(zhí)行--的用途上。G-elf-infector.c的接口很簡(jiǎn)單，你只需要提供以下三個(gè)定義：

　　* 存放你的二進(jìn)制代碼返回地址的地址，這里需要的是這個(gè)地址與代碼起始

　　地址的偏移，用于返回到目標(biāo)程序的正常入口

　　#define PARACODE_RETADDR_ADDR_OFFSET 1232

　　* 要插入的二進(jìn)制代碼(由于用C編寫，所以這里需要以一個(gè)函數(shù)的方式提供)

　　void parasite_code(void);

　　* 二進(jìn)制代碼的結(jié)束(為了易用，這里用一個(gè)結(jié)尾函數(shù)來進(jìn)行代碼長(zhǎng)度計(jì)算)

　　void parasite_code_end(void);

　　parasite_code_end應(yīng)該是parasite_code函數(shù)后的第一個(gè)函數(shù)定義，通常應(yīng)該如下表示

　　void parasite_code(void)

　　{

　　…

　　…

　　…

　　}

　　void parasite_code_end(void) {}

　　在這里存在一個(gè)問題，就是編譯有可能在編譯時(shí)將parasite_code_end放在parasite_code

　　地址的前面，這樣會(huì)導(dǎo)致計(jì)算代碼長(zhǎng)度時(shí)失敗，為了避免這個(gè)問題，你可以這樣做

　　void parasite_code(void)

　　{

　　…

　　…

　　…

　　}

　　void parasite_code_end(void) {parasite_code();}

　　有了這三個(gè)定義，g-elf-infector就能正確編譯，編譯后即可用來ELF文件感染

　　face=Verdana>

　　二、病毒原型的工作過程

　　1 首先通過ELF Infector將病毒代碼感染到一個(gè)ELF文件，這樣就創(chuàng)造了第一

　　個(gè)帶毒文件，后續(xù)的傳播就由它來完成。

　　2 當(dāng)帶毒文件被執(zhí)行時(shí)，會(huì)首先跳到病毒代碼開始執(zhí)行。

　　3 病毒代碼開始發(fā)作，在這個(gè)原型里，病毒會(huì)直接開始傳播。

　　4 病毒遍歷當(dāng)前目錄下的每一個(gè)文件，如果是符合條件的ELF文件就開始感染。

　　5 病毒的感染過程和ELF Infector的過程類似，但由于工作環(huán)境的不同，代碼的實(shí)現(xiàn)也是有較大區(qū)別的。

　　6 目前傳染對(duì)ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼，如果無法滿足，病毒會(huì)忽略此ELF。對(duì)于被感染過一次的ELF文件，文本段將不會(huì)有剩余的空間，因此二次感染是不會(huì)發(fā)生的。

　　7 病毒代碼執(zhí)行過后，會(huì)恢復(fù)堆棧和所有寄存器(這很重要)，然后跳回到真正的可執(zhí)行文件入口，開始正常的運(yùn)行過程。

　　上面對(duì)病毒原型的工作過程的介紹也許顯得千篇一律了，和我們?cè)缇褪熘年P(guān)于病毒的一些介紹沒有什么區(qū)別?是的，的確是這樣，原理都是類似的，關(guān)鍵是要看實(shí)現(xiàn)。下面我們就將通過對(duì)一些技術(shù)問題的分析來了解具體的實(shí)現(xiàn)思路。

　　三、關(guān)鍵技術(shù)問題及處理

　　1 ELF文件執(zhí)行流程重定向和代碼插入

　　在ELF文件感染的問題上，ELF Infector與病毒傳播時(shí)調(diào)用的infect_virus思路是一樣的：

　　* 定位到文本段，將病毒的代碼接到文本段的尾部。這個(gè)過程的關(guān)鍵是要熟悉ELF文件的格式，將病毒代碼復(fù)制到文本段尾部后，能夠根據(jù)需要調(diào)整文本段長(zhǎng)度改變所影響到的后續(xù)段(segment)或節(jié)(section)的虛擬地址。同時(shí)注意把新引入的文本段部分與一個(gè).setion建立關(guān)聯(lián)，防止strip這樣的工具將插入的代碼去除。還有一點(diǎn)就是要注意文本段增加長(zhǎng)度的對(duì)齊問題，見ELF文檔中的描述：

　　p_align

　　As ``Program Loading'' later in this part describes, loadable

　　process segments must have congruent values for p_vaddr and

　　p_offset, modulo the page size.

　　* 通過過將ELF文件頭中的入口地址修改為病毒代碼地址來完成代碼重定向：

　　/* Modify the entry point of the ELF */

　　org_entry = ehdr->e_entry;

　　ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;

　　2 病毒代碼如何返回到真正的ELF文件入口

　　方法技巧應(yīng)該很多，這里采用的方法是PUSH+RET組合：

　　__asm__ volatile (

　　…

　　"return:\n\t"

　　"push

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識(shí) > Linux病毒原型代碼

Linux病毒原型代碼

時(shí)間：2016-04-08 15:28:16 林輝766由 分享

Linux病毒原型代碼

　　寫這篇文章的目的主要是對(duì)最近寫的一個(gè)Linux病毒原型代碼做一個(gè)總結(jié)，同時(shí)向?qū)@方面有興趣的朋友做一個(gè)簡(jiǎn)單的介紹。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的Linux病毒原型代碼介紹!希望對(duì)你有幫助!

　　Linux病毒原型代碼介紹：

　　一、 ELF Infector (ELF文件感染器)

　　為了制作病毒文件，我們需要一個(gè)ELF文件感染器，用于制造第一個(gè)帶毒文件。對(duì)于ELF文件感染技術(shù)，在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經(jīng)有了一個(gè)非常好的分析、描述，在這方面我還沒有發(fā)現(xiàn)可以對(duì)其進(jìn)行補(bǔ)充的地方，因此在這里我把Silvio Cesare對(duì)ELF Infection過程的總結(jié)貼出來，以供參考：

　　The final algorithm is using this information is.

　　* Increase p_shoff by PAGE_SIZE in the ELF header

　　* Patch the insertion code (parasite) to jump to the entry point

　　(original)

　　* Locate the text segment program header

　　* Modify the entry point of the ELF header to point to the new

　　code (p_vaddr + p_filesz)

　　* Increase p_filesz by account for the new code (parasite)

　　* Increase p_memsz to account for the new code (parasite)

　　* For each phdr who's segment is after the insertion (text segment)

　　* increase p_offset by PAGE_SIZE

　　* For the last shdr in the text segment

　　* increase sh_len by the parasite length

　　* For each shdr who's section resides after the insertion

　　* Increase sh_offset by PAGE_SIZE

　　* Physically insert the new code (parasite) and pad to PAGE_SIZE, into

　　the file - text segment p_offset + p_filesz (original)

　　在Linux病毒原型中所使用的gei - ELF Infector即是根據(jù)這個(gè)原理寫的。在

　　附錄中你可以看到這個(gè)感染工具的源代碼: g-elf-infector.c

　　g-elf-infector與病毒是獨(dú)立開的，其只在制作第一個(gè)病毒文件時(shí)被使用。我簡(jiǎn)單介

　　紹一下它的使用方法，g-elf-infector.c可以被用于任何希望--將二進(jìn)制代碼插入到指定文件的文本段，并在目標(biāo)文件執(zhí)行時(shí)首先被執(zhí)行--的用途上。G-elf-infector.c的接口很簡(jiǎn)單，你只需要提供以下三個(gè)定義：

　　* 存放你的二進(jìn)制代碼返回地址的地址，這里需要的是這個(gè)地址與代碼起始

　　地址的偏移，用于返回到目標(biāo)程序的正常入口

　　#define PARACODE_RETADDR_ADDR_OFFSET 1232

　　* 要插入的二進(jìn)制代碼(由于用C編寫，所以這里需要以一個(gè)函數(shù)的方式提供)

　　void parasite_code(void);

　　* 二進(jìn)制代碼的結(jié)束(為了易用，這里用一個(gè)結(jié)尾函數(shù)來進(jìn)行代碼長(zhǎng)度計(jì)算)

　　void parasite_code_end(void);

　　parasite_code_end應(yīng)該是parasite_code函數(shù)后的第一個(gè)函數(shù)定義，通常應(yīng)該如下表示

　　void parasite_code(void)

　　{

　　…

　　…

　　…

　　}

　　void parasite_code_end(void) {}

　　在這里存在一個(gè)問題，就是編譯有可能在編譯時(shí)將parasite_code_end放在parasite_code

　　地址的前面，這樣會(huì)導(dǎo)致計(jì)算代碼長(zhǎng)度時(shí)失敗，為了避免這個(gè)問題，你可以這樣做

　　void parasite_code(void)

　　{

　　…

　　…

　　…

　　}

　　void parasite_code_end(void) {parasite_code();}

　　有了這三個(gè)定義，g-elf-infector就能正確編譯，編譯后即可用來ELF文件感染

　　face=Verdana>

　　二、病毒原型的工作過程

　　1 首先通過ELF Infector將病毒代碼感染到一個(gè)ELF文件，這樣就創(chuàng)造了第一

　　個(gè)帶毒文件，后續(xù)的傳播就由它來完成。

　　2 當(dāng)帶毒文件被執(zhí)行時(shí)，會(huì)首先跳到病毒代碼開始執(zhí)行。

　　3 病毒代碼開始發(fā)作，在這個(gè)原型里，病毒會(huì)直接開始傳播。

　　4 病毒遍歷當(dāng)前目錄下的每一個(gè)文件，如果是符合條件的ELF文件就開始感染。

　　5 病毒的感染過程和ELF Infector的過程類似，但由于工作環(huán)境的不同，代碼的實(shí)現(xiàn)也是有較大區(qū)別的。

　　6 目前傳染對(duì)ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼，如果無法滿足，病毒會(huì)忽略此ELF。對(duì)于被感染過一次的ELF文件，文本段將不會(huì)有剩余的空間，因此二次感染是不會(huì)發(fā)生的。

　　7 病毒代碼執(zhí)行過后，會(huì)恢復(fù)堆棧和所有寄存器(這很重要)，然后跳回到真正的可執(zhí)行文件入口，開始正常的運(yùn)行過程。

　　上面對(duì)病毒原型的工作過程的介紹也許顯得千篇一律了，和我們?cè)缇褪熘年P(guān)于病毒的一些介紹沒有什么區(qū)別?是的，的確是這樣，原理都是類似的，關(guān)鍵是要看實(shí)現(xiàn)。下面我們就將通過對(duì)一些技術(shù)問題的分析來了解具體的實(shí)現(xiàn)思路。

　　三、關(guān)鍵技術(shù)問題及處理

　　1 ELF文件執(zhí)行流程重定向和代碼插入

　　在ELF文件感染的問題上，ELF Infector與病毒傳播時(shí)調(diào)用的infect_virus思路是一樣的：

　　* 定位到文本段，將病毒的代碼接到文本段的尾部。這個(gè)過程的關(guān)鍵是要熟悉ELF文件的格式，將病毒代碼復(fù)制到文本段尾部后，能夠根據(jù)需要調(diào)整文本段長(zhǎng)度改變所影響到的后續(xù)段(segment)或節(jié)(section)的虛擬地址。同時(shí)注意把新引入的文本段部分與一個(gè).setion建立關(guān)聯(lián)，防止strip這樣的工具將插入的代碼去除。還有一點(diǎn)就是要注意文本段增加長(zhǎng)度的對(duì)齊問題，見ELF文檔中的描述：

　　p_align

　　As ``Program Loading'' later in this part describes, loadable

　　process segments must have congruent values for p_vaddr and

　　p_offset, modulo the page size.

　　* 通過過將ELF文件頭中的入口地址修改為病毒代碼地址來完成代碼重定向：

　　/* Modify the entry point of the ELF */

　　org_entry = ehdr->e_entry;

　　ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;

　　2 病毒代碼如何返回到真正的ELF文件入口

　　方法技巧應(yīng)該很多，這里采用的方法是PUSH+RET組合：

　　__asm__ volatile (

　　…

　　"return:\n\t"

　　"push

xAABBCCDD\n\t" /* push ret_addr */

　　"ret\n"

　　::);

　　其中0xAABBCCDD處存放的是真正的程序入口地址，這個(gè)值在插入病毒代碼時(shí)由感染程序來填寫。
看了“Linux病毒原型代碼”文章的還看了：

1.電腦病毒源代碼介紹

2.電腦病毒源代碼詳細(xì)介紹

3.bat整人電腦病毒代碼是怎樣的

4.編寫電腦病毒代碼

5.vbs整人電腦病毒代碼是怎樣的

相關(guān)文章

• 02-01 《百家講壇》 劉心武揭秘紅樓夢(mèng)（十三） 秦可卿原型大揭秘（下）
• 02-01 《百家講壇》 劉心武揭秘紅樓夢(mèng)（十六） 賈元春原型之謎
• 02-01 《百家講壇》 劉心武揭秘紅樓夢(mèng)（十二） 秦可卿原型大揭秘（上）
• 01-30 油菜病毒病的發(fā)生與防治
• 01-29 肺結(jié)核病人皰疹病毒感染的檢測(cè)和臨床意義
• 01-29 小兒急性病毒性心肌炎臨床治療體會(huì)
• 01-26 西方文學(xué)中海原型的精神內(nèi)涵
• 01-22 思科(Cisco)之阻斷局域網(wǎng)病毒傳播
• 01-21 局域網(wǎng)病毒入侵原理及防范方法
• 01-21 交換端口隔離拒絕病毒傳播

熱門文章

• 如何區(qū)分計(jì)算機(jī)病毒與計(jì)算機(jī)故障？
• 各種計(jì)算機(jī)病毒分類介紹
• 解析局域網(wǎng)病毒
• 電腦開機(jī)時(shí)出現(xiàn)lass.exe進(jìn)程是病毒嗎？
• 快速解決扇區(qū)病毒以及預(yù)防方法
• svchost.exe是什么進(jìn)程，是病毒嗎？
• 電腦中了病毒輸入法不能使用怎么辦
• 淺談?dòng)?jì)算機(jī)病毒的解析與防范
• 初探局域網(wǎng)的安全控制與病毒防治策略
• 試析傷感的成長(zhǎng)歷程一從原型批評(píng)的角度解讀《黑暗的中心》