一、 介紹
寫這篇文章的目的主要是對最近寫的一個Linux病毒原型代碼做一個總結(jié)，同時向?qū)@方面有興趣的朋友做一個簡單的介紹 。閱讀這篇文章你需要一些知識，要對ELF有所了解、能夠閱讀一些嵌入了匯編的C代碼、了解病毒的基本工作原理 。
二、 ELF Infector (ELF文件感染器)
為了制作病毒文件，我們需要一個ELF文件感染器，用于制造第一個帶毒文件 。對于ELF文件感染技術(shù)，在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經(jīng)有了一個非常好的分析、描述，在這方面我還沒有發(fā)現(xiàn)可以對其進行補充的地方，因此在這里我把Silvio Cesare對ELF Infection過程的總結(jié)貼出來，以供參考：
The final algorithm is using this information is.
* Increase p_shoff by PAGE_SIZE in the ELF header
* Patch the insertion code (parasite) to jump to the entry point
(original)
* Locate the text segment program header
* Modify the entry point of the ELF header to point to the new
code (p_vaddrp_filesz)
* Increase p_filesz by account for the new code (parasite)
* Increase p_memsz to account for the new code (parasite)
* For each phdr who"s segment is after the insertion (text segment)
* increase p_offset by PAGE_SIZE
* For the last shdr in the text segment
* increase sh_len by the parasite length
* For each shdr who"s section resides after the insertion
* Increase sh_offset by PAGE_SIZE
* Physically insert the new code (parasite) and pad to PAGE_SIZE, into
the file - text segment p_offsetp_filesz (original)
在Linux病毒原型中所使用的gei - ELF Infector即是根據(jù)這個原理寫的 。在
附錄中你可以看到這個感染工具的源代碼: g-elf-infector.c
g-elf-infector與病毒是獨立開的，其只在制作第一個病毒文件時被使用 。我簡單介
紹一下它的使用方法，g-elf-infector.c可以被用于任何希望--將二進制代碼插入到指定文件的文本段，并在目標文件執(zhí)行時首先被執(zhí)行--的用途上 。g-elf-infector.c的接口很簡單，你只需要提供以下三個定義：
* 存放你的二進制代碼返回地址的地址，這里需要的是這個地址與代碼起始
地址的偏移，用于返回到目標程序的正常入口
#define PARACODE_RETADDR_ADDR_OFFSET 1232
* 要插入的二進制代碼（由于用C編寫，所以這里需要以一個函數(shù)的方式提供）
void parasite_code(void);
* 二進制代碼的結(jié)束（為了易用，這里用一個結(jié)尾函數(shù)來進行代碼長度計算）
void parasite_code_end(void);
parasite_code_end應該是parasite_code函數(shù)后的第一個函數(shù)定義，通常應該如下表示
void parasite_code(void)
{
...
...
...
}
void parasite_code_end(void) {}
在這里存在一個問題，就是編譯有可能在編譯時將parasite_code_end放在parasite_code
地址的前面，這樣會導致計算代碼長度時失敗，為了避免這個問題，你可以這樣做
void parasite_code(void)
{
...
...
...
}
void parasite_code_end(void) {parasite_code();}
有了這三個定義，g-elf-infector就能正確編譯，編譯后即可用來ELF文件感染
face=Verdana>
三、病毒原型的工作過程
1 首先通過ELF Infector將病毒代碼感染到一個ELF文件，這樣就創(chuàng)造了第一
個帶毒文件，后續(xù)的傳播就由它來完成 。
2 當帶毒文件被執(zhí)行時，會首先跳到病毒代碼開始執(zhí)行 。
3 病毒代碼開始發(fā)作，在這個原型里，病毒會直接開始傳播 。
4 病毒遍歷當前目錄下的每一個文件，如果是符合條件的ELF文件就開始感染 。
5 病毒的感染過程和ELF Infector的過程類似，但由于工作環(huán)境的不同，代碼的實現(xiàn)也是有較大區(qū)別的 。
6 目前傳染對ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼，如果無法滿足，病毒會忽略此ELF 。對于被感染過一次的ELF文件，文本段將不會有剩余的空間，因此二次感染是不會發(fā)生的 。

推薦閱讀

• 

  OPPO怎么保存聯(lián)系人
• 

  琉璃肉的做法琉璃肉怎么做
• 

  起點讀書app設(shè)置單手翻頁的方法
• 

  阿瑪尼藍標和紅標適合什么膚質(zhì)
• 

  索愛J230c 想愛你不容易
• 

  夢見有人入室 夢見有人入室搶劫我家
• 

  fresh黑茶面膜可以過夜嗎 fresh黑茶面膜怎么用
• 

  怎樣燉湯不會產(chǎn)生嘌呤,產(chǎn)生嘌呤的原因有哪些
• 

  worthy的用法及搭配
• 

  蠻莖是什么菜
• 

  雀巢醇品咖啡
• 

  裝修完怎樣除甲醛
• 

  手游英雄殺怎么升級快,新手平民如何玩好英雄殺
• 

  powerhub怎么改中文
• 

  為什么電腦重裝系統(tǒng)后網(wǎng)速好慢
• 

  隔夜的玉米能吃嗎

• 快樂耳朵——新釣魚病毒全程追擊始末
• 新人必備指南 電腦木馬病毒完全查殺
• 查殺耗盡CPU資源的Explored病毒
• 甘藍病毒病癥狀及防治
• 實例教學：一個木馬病毒的查殺過程
• 上網(wǎng)安全 謹防ActiveX插件成病毒幫兇
• 披著“羊皮”的狼 TXT下的病毒陰謀
• 抗擊病毒武漢加油手抄報 抗擊病毒武漢加油手抄畫報
• 新冠狀病毒的簡筆畫 新冠狀病毒的簡筆畫畫報
• 快速有效地封殺—巧利用Iris來查找蠕蟲病毒