一個Linux病毒的原型分析(轉)
一個Linux病毒的原型分析(轉)[@more@] 本文僅做參考學習
技術天地: 這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結, 同時向對這方面有興趣的朋友做一個簡單的介紹。 閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
作者既不是一個virus coder,也不是anti-viruscoder,這篇文章旨透過對一個Linux的病毒原型的工作原理和關鍵環節的分析和介紹來讓揭開病毒的神秘面紗,使您瞭解病毒的工作機理,也同時對理解Linux的系統程式設計有所幫助。
一、 介紹
寫這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結,同時向對這方面有興趣的朋友做一個簡單的介紹。閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
二、 ELF Infector (ELF檔案感染器)
為了製作病毒檔案,我們需要一個ELF檔案感染器,用於製造第一個帶毒檔案。對於ELF檔案感染技術,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述,在這方面我還沒有發現可以對其進行補充的地方,因此在這裡我把Silvio Cesare對ELF Infection過程的總結貼出來,以供參考:
技術天地: 這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結, 同時向對這方面有興趣的朋友做一個簡單的介紹。 閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
作者既不是一個virus coder,也不是anti-viruscoder,這篇文章旨透過對一個Linux的病毒原型的工作原理和關鍵環節的分析和介紹來讓揭開病毒的神秘面紗,使您瞭解病毒的工作機理,也同時對理解Linux的系統程式設計有所幫助。
一、 介紹
寫這篇文章的目的主要是對最近寫的一個Linux病毒原型程式碼做一個總結,同時向對這方面有興趣的朋友做一個簡單的介紹。閱讀這篇文章你需要一些知識,要對ELF有所瞭解、能夠閱讀一些嵌入了彙編的C程式碼、瞭解病毒的基本工作原理。
二、 ELF Infector (ELF檔案感染器)
為了製作病毒檔案,我們需要一個ELF檔案感染器,用於製造第一個帶毒檔案。對於ELF檔案感染技術,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述,在這方面我還沒有發現可以對其進行補充的地方,因此在這裡我把Silvio Cesare對ELF Infection過程的總結貼出來,以供參考:
|
CODE:
The final algorithm is using this information is.
* Increase p_shoff by PAGE_SIZE in the ELF header * Patch the insertion code (parasite) to jump to the entry point (original) * Locate the text segment program header * Modify the entry point of the ELF header to point to the new code (p_vaddr + p_filesz) * Increase p_filesz by account for the new code (parasite) * Increase p_memsz to account for the new code (parasite) * For each phdr who's segment is after the insertion (text segment) * increase p_offset by PAGE_SIZE * For the last shdr in the text segment * increase sh_len by the parasite length * For each shdr who's section resides after the insertion * Increase sh_offset by PAGE_SIZE * Physically insert the new code (parasite) and pad to PAGE_SIZE, into the file - text segment p_offset + p_filesz (original) 來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-959652/,如需轉載,請註明出處,否則將追究法律責任。 
請登入後發表評論
登入
全部評論
北京盛拓優訊資訊科技有限公司. 版權所有 京ICP備16024965號-8 北京市公安局海淀分局網監中心備案編號:11010802021510 niuxiaotong@pcpop.com 17352615567 未成年人舉報專區 廣播電視節目製作經營許可證(京) 字第1234號 中國網際網路協會會員 |
相關文章
- es6 class進階【一個將class轉原型物件的例子】原型物件
- 簡單的實現一個原型鏈原型
- 病毒逆向分析
- 原型設計工具的分析原型
- 理性分析 JavaScript 中的原型JavaScript原型
- 在 Linux 上如何得到一個段錯誤的核心轉儲Linux
- JavaScript 原型的實際應用之實現一個 jQueryJavaScript原型jQuery
- Synaptics 蠕蟲病毒分析APT
- 一個糟糕的訊息,Paradise勒索病毒又上新了
- 一個讓你用微信支付的勒索病毒 一場黑吃黑的表演
- 關於linux病毒`kinsing` `kdevtmpfsi`的處理Linuxdev
- 主流原型設計工具分析原型
- RainbowMiner,一個求生欲極強的挖礦病毒家族AI
- Qealler - 一個用Java編寫的惡意病毒軟體Java
- 玩轉Linux的97個常用命令Linux
- 在 Linux 中把一個網頁轉換成 PDF的技巧介紹Linux網頁
- 骷髏病毒簡單分析
- [JS系列一]原型的理解JS原型
- 玩轉 JavaScript 之不得不懂的原型JavaScript原型
- 重新認識原型和原型鏈一原型
- 使用ABAP實現一個最簡單的區塊鏈原型區塊鏈原型
- 記一次linux主機中病毒處理過程Linux
- 關於javascript的原型和原型鏈,看我就夠了(一)JavaScript原型
- 一次性搞懂js中的原型與原型鏈JS原型
- 由一張圖來理解javascript中的原型和原型鏈JavaScript原型
- 【web安全】Nodejs原型鏈汙染分析WebNodeJS原型
- vue的第一個commit分析VueMIT
- [轉帖]Linux核心原始碼分析分享專題Linux原始碼
- 一個section加密的apk的分析加密APK
- linux繫結多個ip(轉載)Linux
- 挖礦病毒分析(centos7)CentOS
- 一天一個設計模式(四) - 原型模式(Prototype)設計模式原型
- 一天一個設計模式(四) – 原型模式(Prototype)設計模式原型
- 理解js中的原型,原型物件,原型鏈JS原型物件
- JavaScript中的原型、原型鏈、原型模式JavaScript原型模式
- SAP SRM ABAP Webdynpro和CFCA usb key整合的一個原型開發Web原型
- 深度解析原型中的各個難點原型
- 建立一個自己的 Linux系統Linux
- linux最常用的20個命令(一)Linux