一個Linux病毒的原型分析(轉)
一個Linux病毒的原型分析(轉)[@more@] 本文僅做參考學習
技術天地: 這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結, 同時向對這方面有興趣的朋友做一個簡單的介紹。 閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
作者既不是一個virus coder,也不是anti-viruscoder,這篇文章旨透過對一個Linux的病毒原型的工作原理和關鍵環節的分析和介紹來讓揭開病毒的神秘面紗,使您瞭解病毒的工作機理,也同時對理解Linux的系統程式設計有所幫助。
一、 介紹
寫這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結,同時向對這方面有興趣的朋友做一個簡單的介紹。閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
二、 ELF Infector (ELF檔案感染器)
為了製作病毒檔案,我們需要一個ELF檔案感染器,用於製造第一個帶毒檔案。對於ELF檔案感染技術,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述,在這方面我還沒有發現可以對其進行補充的地方,因此在這裡我把Silvio Cesare對ELF Infection過程的總結貼出來,以供參考:
技術天地: 這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結, 同時向對這方面有興趣的朋友做一個簡單的介紹。 閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
作者既不是一個virus coder,也不是anti-viruscoder,這篇文章旨透過對一個Linux的病毒原型的工作原理和關鍵環節的分析和介紹來讓揭開病毒的神秘面紗,使您瞭解病毒的工作機理,也同時對理解Linux的系統程式設計有所幫助。
一、 介紹
寫這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結,同時向對這方面有興趣的朋友做一個簡單的介紹。閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
二、 ELF Infector (ELF檔案感染器)
為了製作病毒檔案,我們需要一個ELF檔案感染器,用於製造第一個帶毒檔案。對於ELF檔案感染技術,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述,在這方面我還沒有發現可以對其進行補充的地方,因此在這裡我把Silvio Cesare對ELF Infection過程的總結貼出來,以供參考:
|
CODE:
The final algorithm is using this information is.
* Increase p_shoff by PAGE_SIZE in the ELF header * Patch the insertion code (parasite) to jump to the entry point (original) * Locate the text segment program header * Modify the entry point of the ELF header to point to the new code (p_vaddr + p_filesz) * Increase p_filesz by account for the new code (parasite) * Increase p_memsz to account for the new code (parasite) * For each phdr who's segment is after the insertion (text segment) * increase p_offset by PAGE_SIZE * For the last shdr in the text segment * increase sh_len by the parasite length * For each shdr who's section resides after the insertion * Increase sh_offset by PAGE_SIZE * Physically insert the new code (parasite) and pad to PAGE_SIZE, into the file - text segment p_offset + p_filesz (original) 來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-959652/,如需轉載,請註明出處,否則將追究法律責任。 
請登入後發表評論
登入
全部評論
北京盛拓優訊資訊科技有限公司. 版權所有 京ICP備16024965號-8 北京市公安局海淀分局網監中心備案編號:11010802021510 niuxiaotong@pcpop.com 17352615567 未成年人舉報專區 廣播電視節目製作經營許可證(京) 字第1234號 中國網際網路協會會員 |
相關文章
- 分析一個linux下的蠕蟲 (轉)Linux
- 叛逃者病毒分析(轉)
- linux下的一個診斷分析工具lsof(轉)Linux
- Linux病毒和UNIX病毒需要特別重視(轉)Linux
- 一款勒索病毒的詳細分析
- 一個JDO的成功案例分析 (轉)
- Linux 為何對病毒免疫(轉)Linux
- 雅虎初具病毒特徵 真假百狗360一個不放(轉)特徵
- 一個oracle蠕蟲病毒Oracle
- Unix/ELF檔案格式及病毒分析(轉)
- Unix/ELF檔案格式及病毒分析 (轉)
- es6 class進階【一個將class轉原型物件的例子】原型物件
- JavaScript原型與原型鏈分析JavaScript原型
- Linux系統 反病毒技術(轉)Linux
- 病毒逆向分析
- MSN騙子病毒詳細技術分析(轉)
- 先進的反病毒引擎設計之概念分析篇(轉)
- 原型設計工具的分析原型
- Linux核心建立一個程式的過程分析Linux
- UcHelp 病毒分析 By Cater
- 實現一個requirejs原型demoUIJS原型
- 首個Linux與Win雙料病毒現身 原始碼網上公開(轉)Linux原始碼
- 理性分析 JavaScript 中的原型JavaScript原型
- 安全預警 幾個新的病毒與入侵軟體(轉)
- 一個用Perl分析Apache Log的簡單程式(轉)Apache
- Torvalds給Linux核心打補丁抵禦病毒(轉)Linux
- Mac和Linux很少遭到病毒攻擊為何故(轉)MacLinux
- JavaScript 原型的實際應用之實現一個 jQueryJavaScript原型jQuery
- 一個支付系統的四色原型,請指教原型
- Axure 原型圖 (轉)原型
- 計算機中病毒後的一些反應(轉)計算機
- ECMAScript5中的物件,原型,原型鏈,原型的幾種繼承模式【一】物件原型繼承模式
- Qealler - 一個用Java編寫的惡意病毒軟體Java
- 骷髏病毒簡單分析
- 經驗教訓 給你預防病毒的八個忠告(轉)
- Linux核心分析方法(轉)Linux
- [JS系列一]原型的理解JS原型
- 反病毒軟體的生死之路 (轉)