 by e4gle from www.whitecell.org ELK CLONER: 第一个电脑病毒 他将会得到您磁盘上任何的东东他甚至将渗透到芯片内部这就是 Cloner! 他会象胶水相同粘住您他还会修改内存! 电脑病毒是一种在大量的电子破坏技术手段中最著名的成员.他们实际上就是一些很危险的恶意程式,他们是丑陋的,但是在我看来他们很可爱,原于我对internet的驾驭和对电脑程式的探索.他们会复制自己并且能够传染其他文档,直至现在,这些被传染的文档甚至包括了那些很清白的文档文档.而且他们很容易获得.他们能够随处传播,任何时间,任何地点.实际上,没有一个OS能够完全抵御病毒的.一个病毒能够完全依靠系统本身进行复制,比如利用windows系列操作系统的pe格式的可执行文档和利用类unix操作系统的elf格式.所以,任何电脑病毒都依附于OS的体系结构,各种OS的病毒的写法都不相同,但任何OS也逃避不了病毒,包括linux. 正如以上所说,linux也能够被感染.就象windows nt或macOS这样的操作系统.不论是PC机上的DOS或Windows,或是Amiga,都能够创造出病毒代码.那么,我们为什么不来看看在Windos NT或Linux系统上的一些病毒呢? 您也许会奇怪,事实上第一个电脑病毒是unix病毒(有可能第一个就是Elk Cloner,好象是编写于1980到1982年之间).Fred Cohen在4BSD的VAX系统上编写了一些很早的unix病毒,一年以后Elk Cloner就诞生了.由于unix系统具备内存保护机制,所以人们不太相信unix系统上的病毒的危害性会超过windows和dos系统,但他们错了. 一些公共的误区 一个最大的误区就是很多高性能的安全系统对病毒蔓延的预防.因为我们是利用DOS系统和他本身并不存在任何内存保护机制和数据保护机制,我们认为病毒能够完全控制电脑的任何资源.是的,他们会很轻易的称为DOS和简单的Windows操作系统的完全控制用户.没有内存保护机制和数据保护机制,电脑病毒能够夺取任何的电脑控制权.相对来说,windows NT和unix系统是很高级的保护机制的系统.这能够预防大多数的病毒的传染,但不是任何的.当一个用户以root或administrator的身份来操作的时候,这些系统的保护机制实际上是停止了的.一个设计的很巧妙的病毒能够利用自己的方法来找到文档系统上的每个文档;NT ownership或ACL机制都没有很好的重视这个问题. 另一个误区就是认为linux系统尤其能够防止病毒的感染,因为linux的程式都来自于源代码,不是 二进制格式.这才应该值得重视,因为毕竟只有极少数的人(甚至管理员)才有足够的能力来从源代码 中发现病毒代码,而且这是个相当耗费时间和精力的工作.一般的用户习惯于用二进制格式的文档 来交流,因为他们不想在使用这些程式的时候还要很繁琐的执行诸如make config;make之类的命 令,他们喜欢很简单的运行程式.任何的这些原因就给了unix系统上的病毒有足够的空间来访问和 操控系统. 第三个误区就是认为unix系统是绝对安全的,因为他具备很多不同的平台,而且每个版本的unix系统有很大的不相同.但是现在不能这样看了.现在的病毒都用标准C来编写以适应任何类unix操作系统,并且他们能够用make程式来跨平台编译.想想那个Morris写的internet的蠕虫病毒利用的就是这项技术.并且拥有标准的ELF二进制格式和库文档. Shell脚本 我们面临的第一个问题就是怎样传播的问题,这是天生具备的问题,至少在unix系统上是如此,我们需要想办法使各个平台兼容.所以我们首先想到的是:shell脚本语言.shell在不同的unix系统上面的差别很小.所以Fred Cohen在他的书:入侵者,蠕虫和病毒(发表于1990年)写到: "在unix的命令解释语言中,病毒代码能够被写到200个字节之内".也许我们能够根据他的话来写 一个man page的病毒脚本,能够用来操作文档和可执行程式.这和宏病毒很相像.man page的病毒不会蔓延到别的系统上,除非您有为别的用户改变man page的格式的习惯.无论怎样,这种病毒都是个公共的跨系统的病毒.同样,也能够写另个一个脚本病毒来控制mail的阅读者. 书写shell脚本病毒是个很简单的制造unix病毒的方法.我知道肯定会有很多同行会说,脚本病毒怎么会是真正的病毒呢?他只是用脚本语言来书写的而不是用汇编.但是实际上,我们评定一个病毒是病毒本身能够在系统上任意感染传播,而不是这个病毒的大小或用什么语言来写的.在USENIX 1989 卷2上您能够看到Tom Duff和M. Douglas McIlroy的脚本病毒代码.shell脚本病毒的危害性不会很大并且他本身极易被破坏,因为他是以明文方式编写并执行的,任何用户和管理员都能够发觉他的代码.但是,我想大多数的用户都不会理解一下代码的吧: for %%f in (*.bat) do copy %%f + bfv.bat 通常一个用户会深信不疑的去执行任何脚本,而且不会过问该脚本的由来.这样,这些用户都成为病毒的目标了;这些都是用户的意识问题,这样是没办法避免病毒的入侵的,所以我们的用户需要大大加强对这些病毒的防范意识. 蠕虫 另外的一个影响广泛的技术就是蠕虫,想象一下Morris蠕虫:利用攻击程式--一般这些攻击程式都是已存在的技术.这个蠕虫利用一个sendmail程式已存在的一个漏洞来获取其他机器的控制 权.病毒一般会利用rexec,fingerd或口令猜解来尝试连接.在成功入侵之后,他会编译在目标机器上编译源代码并且执行他.而且会有一个程式来专门负责隐藏自己的脚印. internet的蠕虫病毒一般都是利用已知的攻击程式去获得目标机的管理员权限.但是蠕虫的生命也是很短暂的,当该病毒所利用的漏洞被修补的话,那么该蠕虫也就失去他的作用了,因为他们需要利用exploit这个媒介来进行自身的复制.而exploit又是只针对特定版本的特定程式才会有效的,所以蠕虫的跨平台能力很差,时效性也很弱. 欺骗库函数 我们能够愚弄那些比较傻的用户.假如您利用LD_PRELOAD环境变量来捉弄他,您能够让他执行您自己的代码,您已利用LD_PRELOAD环境变量把标准的库函数替换成了您自己的程式.挺有意思吧? LD_PRELOAD并不是linux系统特有的并且他一般用在一些应用程式(比如老版本的StarOffice 需要运行在较新版本的red hat系统上)必须用他们自己的(或比较老的版本,或修改过的) 库函数,因为在安装的时候没有满足他们的需求.Quantum (Staog病毒的作者)在unix病毒的邮件列表里面提供了这些代码,我做了修改,也是为了便于大家理解: tryld.c------------------------------------ extern int __open(char *, int, int); extern int execv(char *, char *[], char *envp[]); int open(char *path, int flags, int mode){ printf("open: %s\n", path); return __open(path, flags, mode); } /* 注意这里,原来他放弃了envp参数,这样会...:(?! 呵呵,所以我修改了一下,影响不大:)*/ int execve(char *path, char *args[], char *envp[]){ printf("execve: %s\n", path); return execv(path, args, envp); } main.c------------------------------------- /*test only,by e4gle*/ #include #include #include #include main() { int fd; execve("/bin/date","",NULL); if(fd=open("/etc/inittab",O_RDONLY)!=-1) { fprintf(stdout,"open file succeed!\n"); } else fprintf(stderr,"open error!\n"); close(fd); return 0; } 这段代码获取open和execv并且改变了他们的输出,好,我们测试一下: [e4gle@redhat62 elf]$ gcc -o main main.c [e4gle@redhat62 elf]$ ./main open file succeed! <--证实我们打开文档成功了,open调用正常工作 [e4gle@redhat62 elf]$ ldd -v -r ./main libc.so.6 => /lib/libc.so.6 (0x4001c000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) Version information: ./main: libc.so.6 (GLIBC_2.0) => /lib/libc.so.6 /lib/libc.so.6: ld-linux.so.2 (GLIBC_2.1.1) => /lib/ld-linux.so.2 ld-linux.so.2 (GLIBC_2.1) => /lib/ld-linux.so.2 ld-linux.so.2 (GLIBC_2.0) => /lib/ld-linux.so.2 /*跟踪一下库函数的利用,都是glibc的标准库函数,solaris里面是sotruss,我个人认为sotruss 比较好用:)*/ [e4gle@redhat62 elf]$ gcc -shared -o tryld tryld.c [e4gle@redhat62 elf]$ export LD_PRELOAD=./tryld <--用我们自己的lib [e4gle@redhat62 elf]$ ./main execve: /bin/date open: /etc/inittab open file succeed! /*注意!不相同了吧?已在用我们自己的open和execve了,呵呵:)*/ 以上仅仅是个测试代码并且没有任何危害性,但是他足以说明我们利用欺骗函数库来攻击程 序的原理. 内核级的传播 这里我们称作"内核级别的病毒",病毒能够传染内核映像,这样病毒能够控制系统的方方面面.但是这种病毒技术现在尚处于理论阶段,并没有真正实现,但并不代表以后都不会出现. 和平台兼容的病毒 假如我们用标准C来书写病毒代码的话,各种不同体系的unix系统 |
喜欢本文,那就收藏到: |
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus(); "添加到POCO网摘"){kind=logo}
Rss Feed
