一、 介紹
寫這篇文章的目的主要是對最近寫的一個Linux病毒原型代碼做一個總結，同時向對這方面有興趣的朋友做一個簡單的介紹。閱讀這篇文章你需要一些知識，要對ELF有所了解、能夠閱讀一些嵌入了匯編的C代碼、了解病毒的基本工作原理。
二、 ELF Infector (ELF文件感染器)
為了制作病毒文件，我們需要一個ELF文件感染器，用于制造第一個帶毒文件。對于ELF文件感染技術，在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述，在這方面我還沒有發現可以對其進行補充的地方，因此在這里我把Silvio Cesare對ELF Infection過程的總結貼出來，以供參考：

The final algorithm is using this information is. * Increase p_shoff by PAGE_SIZE in the ELF header * Patch the insertion code (parasite) to jump to the entry point (original) * Locate the text segment program header * Modify the entry point of the ELF header to point to the new code (p_vaddr + p_filesz) * Increase p_filesz by account for the new code (parasite) * Increase p_memsz to account for the new code (parasite) * For each phdr who's segment is after the insertion (text segment) * increase p_offset by PAGE_SIZE * For the last shdr in the text segment * increase sh_len by the parasite length * For each shdr who's section resides after the insertion * Increase sh_offset by PAGE_SIZE * Physically insert the new code (parasite) and pad to PAGE_SIZE, into the file - text segment p_offset + p_filesz (original)

在Linux病毒原型中所使用的gei - ELF Infector即是根據這個原理寫的。在附錄中你可以看到這個感染工具的源代碼: g-elf-infector.cg-elf-infector與病毒是獨立開的，其只在制作第一個病毒文件時被使用。我簡單介紹一下它的使用方法，g-elf-infector.c可以被用于任何希望--將二進制代碼插入到指定文件的文本段，并在目標文件執行時首先被執行--的用途上。g-elf-infector.c的接口很簡單，你只需要提供以下三個定義：
* 存放你的二進制代碼返回地址的地址，這里需要的是這個地址與代碼起始地址的偏移，用于返回到目標程序的正常入口

#define PARACODE_RETADDR_ADDR_OFFSET 1232

* 要插入的二進制代碼（由于用C編寫，所以這里需要以一個函數的方式提供）

void parasite_code(void);

* 二進制代碼的結束（為了易用，這里用一個結尾函數來進行代碼長度計算）

void parasite_code_end(void);

parasite_code_end應該是parasite_code函數后的第一個函數定義，通常應該如下表示

void parasite_code(void) { ... ... ... } void parasite_code_end(void) {}

在這里存在一個問題，就是編譯有可能在編譯時將parasite_code_end放在parasite_code地址的前面，這樣會導致計算代碼長度時失敗，為了避免這個問題，你可以這樣做

void parasite_code(void) { ... ... ... } void parasite_code_end(void) {parasite_code();}

有了這三個定義，g-elf-infector就能正確編譯，編譯后即可用來ELF文件感染

face=Verdana>

三、病毒原型的工作過程
1 首先通過ELF Infector將病毒代碼感染到一個ELF文件，這樣就創造了第一個帶毒文件，后續的傳播就由它來完成。
2 當帶毒文件被執行時，會首先跳到病毒代碼開始執行。
3 病毒代碼開始發作，在這個原型里，病毒會直接開始傳播。
4 病毒遍歷當前目錄下的每一個文件，如果是符合條件的ELF文件就開始感染。
5 病毒的感染過程和ELF Infector的過程類似，但由于工作環境的不同，代碼的實現也是有較大區別的。
6 目前傳染對ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼，如果無法滿足，病毒會忽略此ELF。對于被感染過一次的ELF文件，文本段將不會有剩余的空間，因此二次感染是不會發生的。
7 病毒代碼執行過后，會恢復堆棧和所有寄存器（這很重要），然后跳回到真正的可執行文件入口，開始正常的運行過程。
上面對病毒原型的工作過程的介紹也許顯得千篇一律了，和我們早就熟知的關于病毒的一些介紹沒有什么區別？是的，的確是這樣，原理都是類似的，關鍵是要看實現。下面我們就將通過對一些技術問題的分析來了解具體的實現思路。

共3頁: 1 [2] [3] 下一頁