Linux病毒原型工作過(guò)程和環(huán)節(jié)
瀏覽次數(shù):|更新日期:2015年04月17日
一���、 介紹 寫(xiě)這篇文章的目的主要是對(duì)最近寫(xiě)的一個(gè)Linux病毒原型代碼做一個(gè)總結(jié)(計(jì)算機(jī)愛(ài)好者��,學(xué)習(xí)計(jì)算機(jī)基礎(chǔ),電腦入門(mén),請(qǐng)到本站,我站同時(shí)提供計(jì)算機(jī)基礎(chǔ)知識(shí)教程�����,計(jì)算機(jī)基礎(chǔ)知識(shí)試題供大家學(xué)習(xí)和使用)��,�����,同時(shí)向?qū)@方面有興趣的朋友做一個(gè)簡(jiǎn)單的介紹。閱讀這篇文章你需要一些知識(shí),要對(duì)ELF有所了解、能夠閱讀一些嵌入了匯編的C代碼、了解病毒的基本工作原理����。
二�����、 ELF Infector (ELF文件感染器)
為了制作病毒文件,我們需要一個(gè)ELF文件感染器���,用于制造第一個(gè)帶毒文件。對(duì)于ELF文件感染技術(shù),在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經(jīng)有了一個(gè)非常好的分析�、描述����,在這方面我還沒(méi)有發(fā)現(xiàn)可以對(duì)其進(jìn)行補(bǔ)充的地方����,因此在這里我把Silvio Cesare對(duì)ELF Infection過(guò)程的總結(jié)貼出來(lái)�,以供參考:
The final algorithm is using this information is.
* Increase p_shoff by PAGE_SIZE in the ELF header
* Patch the insertion code (parasite) to jump to the entry point
(original)
* Locate the text segment program header
* Modify the entry point of the ELF header to point to the new
code (p_vaddr + p_filesz)
* Increase p_filesz by account for the new code (parasite)
* Increase p_memsz to account for the new code (parasite)
* For each phdr whos segment is after the insertion (text segment)
* increase p_offset by PAGE_SIZE
* For the last shdr in the text segment
* increase sh_len by the parasite length
* For each shdr whos section resides after the insertion
* Increase sh_offset by PAGE_SIZE
* Physically insert the new code (parasite) and pad to PAGE_SIZE, into
the file – text segment p_offset + p_filesz (original)
在Linux病毒原型中所使用的gei – ELF Infector即是根據(jù)這個(gè)原理寫(xiě)的。在
附錄中你可以看到這個(gè)感染工具的源代碼: g-elf-infector.c
g-elf-infector與病毒是獨(dú)立開(kāi)的��,其只在制作第一個(gè)病毒文件時(shí)被使用��。我簡(jiǎn)單介
紹一下它的使用方法����,g-elf-infector.c可以被用于任何希望–將二進(jìn)制代碼插入到指定文件的文本段����,并在目標(biāo)文件執(zhí)行時(shí)首先被執(zhí)行–的用途上。G-elf-infector.c的接口很簡(jiǎn)單��,你只需要提供以下三個(gè)定義:
* 存放你的二進(jìn)制代碼返回地址的地址����,這里需要的是這個(gè)地址與代碼起始
地址的偏移,用于返回到目標(biāo)程序的正常入口
#define PARACODE_RETADDR_ADDR_OFFSET 1232
* 要插入的二進(jìn)制代碼(由于用C編寫(xiě)��,所以這里需要以一個(gè)函數(shù)的方式提供)
void parasite_code(void);
* 二進(jìn)制代碼的結(jié)束(為了易用����,這里用一個(gè)結(jié)尾函數(shù)來(lái)進(jìn)行代碼長(zhǎng)度計(jì)算)
void parasite_code_end(void);
parasite_code_end應(yīng)該是parasite_code函數(shù)后的第一個(gè)函數(shù)定義�,通常應(yīng)該如下表示
void parasite_code(void)
{
…
…
…
}
void parasite_code_end(void) {}
在這里存在一個(gè)問(wèn)題��,就是編譯有可能在編譯時(shí)將parasite_code_end放在parasite_code
地址的前面����,這樣會(huì)導(dǎo)致計(jì)算代碼長(zhǎng)度時(shí)失敗�,為了避免這個(gè)問(wèn)題��,你可以這樣做
void parasite_code(void)
{
…
…
…
}
void parasite_code_end(void) {parasite_code();}
有了這三個(gè)定義�,g-elf-infector就能正確編譯�����,編譯后即可用來(lái)ELF文件感染
face=Verdana>
三��、病毒原型的工作過(guò)程
1 首先通過(guò)ELF Infector將病毒代碼感染到一個(gè)ELF文件,這樣就創(chuàng)造了第一
個(gè)帶毒文件����,后續(xù)的傳播就由它來(lái)完成��。
2 當(dāng)帶毒文件被執(zhí)行時(shí),會(huì)首先跳到病毒代碼開(kāi)始執(zhí)行��。
3 病毒代碼開(kāi)始發(fā)作�����,在這個(gè)原型里�����,病毒會(huì)直接開(kāi)始傳播。
4 病毒遍歷當(dāng)前目錄下的每一個(gè)文件��,如果是符合條件的ELF文件就開(kāi)始感染���。
5 病毒的感染過(guò)程和ELF Infector的過(guò)程類(lèi)似�����,但由于工作環(huán)境的不同����,代碼的實(shí)現(xiàn)也是有較大區(qū)別的��。
6 目前傳染對(duì)ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼,如果無(wú)法滿足,病毒會(huì)忽略此ELF�����。對(duì)于被感染過(guò)一次的ELF文件�����,文本段將不會(huì)有剩余的空間����,因此二次感染是不會(huì)發(fā)生的�。
7 病毒代碼執(zhí)行過(guò)后,會(huì)恢復(fù)堆棧和所有寄存器(這很重要),然后跳回到真正的可執(zhí)行文件入口�����,開(kāi)始正常的運(yùn)行過(guò)程��。
上面對(duì)病毒原型的工作過(guò)程的介紹也許顯得千篇一律了�����,和我們?cè)缇褪熘年P(guān)于病毒的一些介紹沒(méi)有什么區(qū)別?是的��,的確是這樣����,原理都是類(lèi)似的����,關(guān)鍵是要看實(shí)現(xiàn)���。下面我們就將通過(guò)對(duì)一些技術(shù)問(wèn)題的分析來(lái)了解具體的實(shí)現(xiàn)思路�����。
四、關(guān)鍵技術(shù)問(wèn)題及處理
1 ELF文件執(zhí)行流程重定向和代碼插入
在ELF文件感染的問(wèn)題上,ELF Infector與病毒傳播時(shí)調(diào)用的infect_virus思路是一樣的:
* 定位到文本段��,將病毒的代碼接到文本段的尾部��。這個(gè)過(guò)程的關(guān)鍵是要熟悉ELF文件的格式����,將病毒代碼復(fù)制到文本段尾部后�����,能夠根據(jù)需要調(diào)整文本段長(zhǎng)度改變所影響到的后續(xù)段(segment)或節(jié)(section)的虛擬地址���。同時(shí)注意把新引入的文本段部分與一個(gè).setion建立關(guān)聯(lián)����,防止strip這樣的工具將插入的代碼去除��。還有一點(diǎn)就是要注意文本段增加長(zhǎng)度的對(duì)齊問(wèn)題��,見(jiàn)ELF文檔中的描述:
p_align
As “Program Loading later in this part describes, loadable
process segments must have congruent values for p_vaddr and
p_offset, modulo the page size.
* 通過(guò)過(guò)將ELF文件頭中的入口地址修改為病毒代碼地址來(lái)完成代碼重定向:
/* Modify the entry point of the ELF */
org_entry = ehdr->e_entry;
ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;
2 病毒代碼如何返回到真正的ELF文件入口
方法技巧應(yīng)該很多,這里采用的方法是PUSH+RET組合:
__asm__ volatile (
…
”return:nt””
””push $0xAABBCCDDnt”” /* push ret_addr */
””retn””
:);
其中0xAABBCCDD處存放的是真正的程序入口地址,這個(gè)值在插入病毒代碼時(shí)由感染程序來(lái)填寫(xiě)。
”
