本文深入剖析了一种Linux后门程序的工作原理,包括其通过fork创建子进程、检查和维护后门文件httpdz的运行状态,以及如何根据不同用户权限下载并启动后门程序。
首先看main函数
进入background()函数
相当于fork了新的进程,然后父进程退出,由子进程来执行
进入checkmsgger()函数
先检查是否存在/etc/httpdz文件,这是个后门文件,下一篇会分析,如果没有,他会在initfiles()函数里下载到机器上执行
进入initfiles()函数
它先检查是不是root用户,是的话就下载到/etc/initdz,不是就下载到/tmp/initdz,最后用spawn启动程序
继续看checkmsger()函数
检查httpdz是否在运行,运行就返回,不在运行就把httpdz程序启动
进入最后一个interval()函数
就是个无限循环检查httpdz是否在运行,不在就启动httpz,每1秒检查一次
相关文件都在我上一篇linux initdz分析里面了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
