CTOCIO IT专家网

天极传媒 比特网 | 天极网 | IT专家网 | IT商网 | 52PK游戏网 | 手机天极 | IT分众 |
IT专家网搜索

您现在的位置: IT专家网 > CIO子站 > Linux与开源

剖析Linux病毒原型工作过程和关键环节

作者: ,  出处:《首席信息官》, 责任编辑: 徐蕊, 
2007-09-04 11:47
  写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。

  一、 介绍

  写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识,要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。

  二、 ELF Infector (ELF文件感染器)

  为了制作病毒文件,我们需要一个ELF文件感染器,用于制造第一个带毒文件。对于ELF文件感染技术,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已经有了一个非常好的分析、描述,在这方面我还没有发现可以对其进行补充的地方,因此在这里我把Silvio Cesare对ELF Infection过程的总结贴出来,以供参考:   

以下是引用片段:
The final algorithm is using this information is.
  * Increase p_shoff by PAGE_SIZE in the ELF header
  * Patch the insertion code (parasite) to jump to the entry point(original)
  * Locate the text segment program header
  * Modify the entry point of the ELF header to point to the new
  code (p_vaddr + p_filesz)
  * Increase p_filesz by account for the new code (parasite)
  * Increase p_memsz to account for the new code (parasite)
  * For each phdr whos segment is after the insertion (text segment)
  * increase p_offset by PAGE_SIZE
  * For the last shdr in the text segment
  * increase sh_len by the parasite length
  * For each shdr whos section resides after the insertion
  * Increase sh_offset by PAGE_SIZE
  * Physically insert the new code (parasite) and pad to PAGE_SIZE, into
  the file - text segment p_offset + p_filesz (original)
  在Linux病毒原型中所使用的gei - ELF Infector即是根据这个原理写的。在附录中你可以看到这个感染工具的源代码: g-elf-infector.cg-elf-infector与病毒是独立开的,其只在制作第一个病毒文件时被使用。我简单介绍一下它的使用方法,g-elf-infector.c可以被用于任何希望--将二进制代码插入到指定文件的文本段,并在目标文件执行时首先被执行--的用途上。g-elf-infector.c的接口很简单,你只需要提供以下三个定义:
共8页。 1 2 3 4 5 6 :

网友评论

笔名 
请您注意:遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。    IT专家网友拥有管理笔名和留言的一切权利。

相关文章

最新文章

  • 周排行榜
  • 月排行榜

邮件订阅

专家答疑

白皮书

Webcast

BBS

该文章的读者还阅读了

Whatis

天极服务 | 关于我们 | 网站律师 | 加入我们 | 联系我们 | 广告业务 | 友情链接 | 我要挑错
All Rights Reserved, Copyright 2004-2007, ChinaByte
渝ICP证B2-20030003号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i