亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>
    • <div id="hdphd"><small id="hdphd"></small></div>
  • 

    1. 

      
	
      
		
      
				
			
		
      
	
      
	
      
		
      			
			
			學習啦 > 學習電腦 > 電腦安全 > 病毒知識 >  Linux病毒原型代碼
		
      
		
      
			
      
				
      
					
      
						
      Linux病毒原型代碼
      
						
      
							
      
								時間:
								林輝766 分享
								
							
      						
						
      
					
      
					
      

					
      
					
      Linux病毒原型代碼
         寫這篇文章的目的主要是對最近寫的一個Linux病毒原型代碼做一個總結,同時向對這方面有興趣的朋友做一個簡單的介紹。下面由學習啦小編給你做出詳細的Linux病毒原型代碼介紹!希望對你有幫助!
        Linux病毒原型代碼介紹:
        一、 ELF Infector (ELF文件感染器)
         為了制作病毒文件,我們需要一個ELF文件感染器,用于制造第一個帶毒文件。對于ELF文件感染技術,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述,在這方面我還沒有發(fā)現(xiàn)可以對其進行補充的地方,因此在這里我把Silvio Cesare對ELF Infection過程的總結貼出來,以供參考:
         The final algorithm is using this information is.
         * Increase p_shoff by PAGE_SIZE in the ELF header
         * Patch the insertion code (parasite) to jump to the entry point
         (original)
         * Locate the text segment program header
         * Modify the entry point of the ELF header to point to the new
         code (p_vaddr + p_filesz)
         * Increase p_filesz by account for the new code (parasite)
         * Increase p_memsz to account for the new code (parasite)
         * For each phdr who's segment is after the insertion (text segment)
         * increase p_offset by PAGE_SIZE
         * For the last shdr in the text segment
         * increase sh_len by the parasite length
         * For each shdr who's section resides after the insertion
         * Increase sh_offset by PAGE_SIZE
         * Physically insert the new code (parasite) and pad to PAGE_SIZE, into
         the file - text segment p_offset + p_filesz (original)
         在Linux病毒原型中所使用的gei - ELF Infector即是根據這個原理寫的。在
         附錄中你可以看到這個感染工具的源代碼: g-elf-infector.c
         g-elf-infector與病毒是獨立開的,其只在制作第一個病毒文件時被使用。我簡單介
         紹一下它的使用方法,g-elf-infector.c可以被用于任何希望--將二進制代碼插入到指定文件的文本段,并在目標文件執(zhí)行時首先被執(zhí)行--的用途上。G-elf-infector.c的接口很簡單,你只需要提供以下三個定義:
         * 存放你的二進制代碼返回地址的地址,這里需要的是這個地址與代碼起始
         地址的偏移,用于返回到目標程序的正常入口
         #define PARACODE_RETADDR_ADDR_OFFSET 1232
         * 要插入的二進制代碼(由于用C編寫,所以這里需要以一個函數的方式提供)
         void parasite_code(void);
         * 二進制代碼的結束(為了易用,這里用一個結尾函數來進行代碼長度計算)
         void parasite_code_end(void);
         parasite_code_end應該是parasite_code函數后的第一個函數定義,通常應該如下表示
         void parasite_code(void)
         {
         …
         …
         …
         }
         void parasite_code_end(void) {}
         在這里存在一個問題,就是編譯有可能在編譯時將parasite_code_end放在parasite_code
         地址的前面,這樣會導致計算代碼長度時失敗,為了避免這個問題,你可以這樣做
         void parasite_code(void)
         {
         …
         …
         …
         }
         void parasite_code_end(void) {parasite_code();}
         有了這三個定義,g-elf-infector就能正確編譯,編譯后即可用來ELF文件感染
         face=Verdana>
        二、病毒原型的工作過程
         1 首先通過ELF Infector將病毒代碼感染到一個ELF文件,這樣就創(chuàng)造了第一
         個帶毒文件,后續(xù)的傳播就由它來完成。
         2 當帶毒文件被執(zhí)行時,會首先跳到病毒代碼開始執(zhí)行。
         3 病毒代碼開始發(fā)作,在這個原型里,病毒會直接開始傳播。
         4 病毒遍歷當前目錄下的每一個文件,如果是符合條件的ELF文件就開始感染。
         5 病毒的感染過程和ELF Infector的過程類似,但由于工作環(huán)境的不同,代碼的實現(xiàn)也是有較大區(qū)別的。
         6 目前傳染對ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼,如果無法滿足,病毒會忽略此ELF。對于被感染過一次的ELF文件,文本段將不會有剩余的空間,因此二次感染是不會發(fā)生的。
         7 病毒代碼執(zhí)行過后,會恢復堆棧和所有寄存器(這很重要),然后跳回到真正的可執(zhí)行文件入口,開始正常的運行過程。
         上面對病毒原型的工作過程的介紹也許顯得千篇一律了,和我們早就熟知的關于病毒的一些介紹沒有什么區(qū)別?是的,的確是這樣,原理都是類似的,關鍵是要看實現(xiàn)。下面我們就將通過對一些技術問題的分析來了解具體的實現(xiàn)思路。
        三、關鍵技術問題及處理
         1 ELF文件執(zhí)行流程重定向和代碼插入
         在ELF文件感染的問題上,ELF Infector與病毒傳播時調用的infect_virus思路是一樣的:
         * 定位到文本段,將病毒的代碼接到文本段的尾部。這個過程的關鍵是要熟悉ELF文件的格式,將病毒代碼復制到文本段尾部后,能夠根據需要調整文本段長度改變所影響到的后續(xù)段(segment)或節(jié)(section)的虛擬地址。同時注意把新引入的文本段部分與一個.setion建立關聯(lián),防止strip這樣的工具將插入的代碼去除。還有一點就是要注意文本段增加長度的對齊問題,見ELF文檔中的描述:
         p_align
         As ``Program Loading'' later in this part describes, loadable
         process segments must have congruent values for p_vaddr and
         p_offset, modulo the page size.
         * 通過過將ELF文件頭中的入口地址修改為病毒代碼地址來完成代碼重定向:
         /* Modify the entry point of the ELF */
         org_entry = ehdr->e_entry;
         ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;
         2 病毒代碼如何返回到真正的ELF文件入口
         方法技巧應該很多,這里采用的方法是PUSH+RET組合:
         __asm__ volatile (
         …
         "return:\n\t"
         "push 
      
	
	
      
		
      			
			
			學習啦 > 學習電腦 > 電腦安全 > 病毒知識 >  Linux病毒原型代碼
		
      
		
      
			
      
				
      
					
      
						
      Linux病毒原型代碼
      
						
      
							
      
								時間:
								林輝766 分享
								
							
      						
						
      
					
      
					
      

					
      
					
      Linux病毒原型代碼
         寫這篇文章的目的主要是對最近寫的一個Linux病毒原型代碼做一個總結,同時向對這方面有興趣的朋友做一個簡單的介紹。下面由學習啦小編給你做出詳細的Linux病毒原型代碼介紹!希望對你有幫助!
        Linux病毒原型代碼介紹:
        一、 ELF Infector (ELF文件感染器)
         為了制作病毒文件,我們需要一個ELF文件感染器,用于制造第一個帶毒文件。對于ELF文件感染技術,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述,在這方面我還沒有發(fā)現(xiàn)可以對其進行補充的地方,因此在這里我把Silvio Cesare對ELF Infection過程的總結貼出來,以供參考:
         The final algorithm is using this information is.
         * Increase p_shoff by PAGE_SIZE in the ELF header
         * Patch the insertion code (parasite) to jump to the entry point
         (original)
         * Locate the text segment program header
         * Modify the entry point of the ELF header to point to the new
         code (p_vaddr + p_filesz)
         * Increase p_filesz by account for the new code (parasite)
         * Increase p_memsz to account for the new code (parasite)
         * For each phdr who's segment is after the insertion (text segment)
         * increase p_offset by PAGE_SIZE
         * For the last shdr in the text segment
         * increase sh_len by the parasite length
         * For each shdr who's section resides after the insertion
         * Increase sh_offset by PAGE_SIZE
         * Physically insert the new code (parasite) and pad to PAGE_SIZE, into
         the file - text segment p_offset + p_filesz (original)
         在Linux病毒原型中所使用的gei - ELF Infector即是根據這個原理寫的。在
         附錄中你可以看到這個感染工具的源代碼: g-elf-infector.c
         g-elf-infector與病毒是獨立開的,其只在制作第一個病毒文件時被使用。我簡單介
         紹一下它的使用方法,g-elf-infector.c可以被用于任何希望--將二進制代碼插入到指定文件的文本段,并在目標文件執(zhí)行時首先被執(zhí)行--的用途上。G-elf-infector.c的接口很簡單,你只需要提供以下三個定義:
         * 存放你的二進制代碼返回地址的地址,這里需要的是這個地址與代碼起始
         地址的偏移,用于返回到目標程序的正常入口
         #define PARACODE_RETADDR_ADDR_OFFSET 1232
         * 要插入的二進制代碼(由于用C編寫,所以這里需要以一個函數的方式提供)
         void parasite_code(void);
         * 二進制代碼的結束(為了易用,這里用一個結尾函數來進行代碼長度計算)
         void parasite_code_end(void);
         parasite_code_end應該是parasite_code函數后的第一個函數定義,通常應該如下表示
         void parasite_code(void)
         {
         …
         …
         …
         }
         void parasite_code_end(void) {}
         在這里存在一個問題,就是編譯有可能在編譯時將parasite_code_end放在parasite_code
         地址的前面,這樣會導致計算代碼長度時失敗,為了避免這個問題,你可以這樣做
         void parasite_code(void)
         {
         …
         …
         …
         }
         void parasite_code_end(void) {parasite_code();}
         有了這三個定義,g-elf-infector就能正確編譯,編譯后即可用來ELF文件感染
         face=Verdana>
        二、病毒原型的工作過程
         1 首先通過ELF Infector將病毒代碼感染到一個ELF文件,這樣就創(chuàng)造了第一
         個帶毒文件,后續(xù)的傳播就由它來完成。
         2 當帶毒文件被執(zhí)行時,會首先跳到病毒代碼開始執(zhí)行。
         3 病毒代碼開始發(fā)作,在這個原型里,病毒會直接開始傳播。
         4 病毒遍歷當前目錄下的每一個文件,如果是符合條件的ELF文件就開始感染。
         5 病毒的感染過程和ELF Infector的過程類似,但由于工作環(huán)境的不同,代碼的實現(xiàn)也是有較大區(qū)別的。
         6 目前傳染對ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼,如果無法滿足,病毒會忽略此ELF。對于被感染過一次的ELF文件,文本段將不會有剩余的空間,因此二次感染是不會發(fā)生的。
         7 病毒代碼執(zhí)行過后,會恢復堆棧和所有寄存器(這很重要),然后跳回到真正的可執(zhí)行文件入口,開始正常的運行過程。
         上面對病毒原型的工作過程的介紹也許顯得千篇一律了,和我們早就熟知的關于病毒的一些介紹沒有什么區(qū)別?是的,的確是這樣,原理都是類似的,關鍵是要看實現(xiàn)。下面我們就將通過對一些技術問題的分析來了解具體的實現(xiàn)思路。
        三、關鍵技術問題及處理
         1 ELF文件執(zhí)行流程重定向和代碼插入
         在ELF文件感染的問題上,ELF Infector與病毒傳播時調用的infect_virus思路是一樣的:
         * 定位到文本段,將病毒的代碼接到文本段的尾部。這個過程的關鍵是要熟悉ELF文件的格式,將病毒代碼復制到文本段尾部后,能夠根據需要調整文本段長度改變所影響到的后續(xù)段(segment)或節(jié)(section)的虛擬地址。同時注意把新引入的文本段部分與一個.setion建立關聯(lián),防止strip這樣的工具將插入的代碼去除。還有一點就是要注意文本段增加長度的對齊問題,見ELF文檔中的描述:
         p_align
         As ``Program Loading'' later in this part describes, loadable
         process segments must have congruent values for p_vaddr and
         p_offset, modulo the page size.
         * 通過過將ELF文件頭中的入口地址修改為病毒代碼地址來完成代碼重定向:
         /* Modify the entry point of the ELF */
         org_entry = ehdr->e_entry;
         ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;
         2 病毒代碼如何返回到真正的ELF文件入口
         方法技巧應該很多,這里采用的方法是PUSH+RET組合:
         __asm__ volatile (
         …
         "return:\n\t"
         "push 
      xAABBCCDD\n\t" /* push ret_addr */
         "ret\n"
         ::);
         其中0xAABBCCDD處存放的是真正的程序入口地址,這個值在插入病毒代碼時由感染程序來填寫。
       看了“Linux病毒原型代碼”文章的還看了:
       1.電腦病毒源代碼介紹
       2.電腦病毒源代碼詳細介紹
       3.bat整人電腦病毒代碼是怎樣的
       4.編寫電腦病毒代碼
       5.vbs整人電腦病毒代碼是怎樣的
       
					
      
					
      
					
      
						
        
							
							
        
						
      
					
      		
				
      
				
				
      
			
      
			
			
      
		
      
	
      
	

      


	
      	
	621427