当前位置: 技术问答>linux和unix
Unix/ELF文件格式及病毒分析
来源: 互联网 发布时间:2014-11-24
本文导语: 我以前有一篇完整的介绍UNIX病毒的文章,下面这这是其中的一部分。但是由于机器崩溃丢失了。如果谁有的话请给我发一份。谢谢了。 Unix/ELF文件格式及病毒分析 [Silvio Cesare] 介绍 本文介绍了Unix病毒机制、...
我以前有一篇完整的介绍UNIX病毒的文章,下面这这是其中的一部分。但是由于机器崩溃丢失了。如果谁有的话请给我发一份。谢谢了。
Unix/ELF文件格式及病毒分析
[Silvio Cesare]
介绍
本文介绍了Unix病毒机制、具体实现以及ELF文件格式。简述了Unix病毒检测和反检
测技术,提供了Linux/i386架构下的一些例子。需要一些初步的Unix编程经验,能够
理解Linux/i386下汇编语言,如果理解ELF本身更好。
本文没有任何实际意义上的病毒编程技术,仅仅是把病毒原理应用到Unix环境下。这
里也不打算从头介绍ELF规范,感兴趣的读者请自行阅读ELF规范。
感染 ELF 格式文件
进程映象包含"文本段"和"数据段",文本段的内存保护属性是r-x,因此一般自修改
代码不能用于文本段。数据段的内存保护属性是rw-。
段并不要求是页尺寸的整数倍,这里用到了填充。
关键字:
[...] 一个完整的页
M 已经使用了的内存
P 填充
页号
#1 [PPPPMMMMMMMMMMMM]
#2 [MMMMMMMMMMMMMMMM] |-- 一个段
#3 [MMMMMMMMMMMMPPPP] /
段并没有限制一定使用多个页,因此单页的段是允许的。
页号
#1 [PPPPMMMMMMMMPPPP]
Unix/ELF文件格式及病毒分析
[Silvio Cesare]
介绍
本文介绍了Unix病毒机制、具体实现以及ELF文件格式。简述了Unix病毒检测和反检
测技术,提供了Linux/i386架构下的一些例子。需要一些初步的Unix编程经验,能够
理解Linux/i386下汇编语言,如果理解ELF本身更好。
本文没有任何实际意义上的病毒编程技术,仅仅是把病毒原理应用到Unix环境下。这
里也不打算从头介绍ELF规范,感兴趣的读者请自行阅读ELF规范。
感染 ELF 格式文件
进程映象包含"文本段"和"数据段",文本段的内存保护属性是r-x,因此一般自修改
代码不能用于文本段。数据段的内存保护属性是rw-。
段并不要求是页尺寸的整数倍,这里用到了填充。
关键字:
[...] 一个完整的页
M 已经使用了的内存
P 填充
页号
#1 [PPPPMMMMMMMMMMMM]
#2 [MMMMMMMMMMMMMMMM] |-- 一个段
#3 [MMMMMMMMMMMMPPPP] /
段并没有限制一定使用多个页,因此单页的段是允许的。
页号
#1 [PPPPMMMMMMMMPPPP]