Вирусы в UNIX, или Гибель Титаника II

Металлические конструкции заказать ангар в Новосибирске и пригороде. Металлоконструкции на заказ.

Эльфы в заповедном лесу - часть 2


Не секрет, что у операционных систем Windows NT и UNIX много общего, и механизм заражения ELF/COFF/a.out файлов с высоты птичьего полета ничем не отличается от заражения форматов семейства NewExe. Тем не менее, при всем поверхностном сходстве между ними есть и различия.

Существует по меньшей мере три принципиально различных способа заражения файлов, распространяемых в формате a.out:

 

q       "поглощение" оригинального файла с последующей его записью в tmp и удалением после завершения выполнения (или – "ручная" загрузка файла-жертвы как вариант);

q       расширение последней секции файла и дозапись своего тела в ее конец;

q       сжатие части оригинального файла и внедрение своего тела на освободившееся место;

 

Переход на файлы формата ELF или COFF добавляет еще четыре:

q       расширение кодовой секции файла и внедрение своего тела на освободившееся место;

q       сдвиг кодовой секции вниз с последующей записью своего тела в ее начало;

q       создание своей собственной секции в начале, середине или конце файла;

q       внедрение между файлом и заголовком;

 

Внедрившись в файл, вирус должен перехватить на себя управление, что обычно осуществляется следующими путями:

q       созданием собственного заголовка и собственного сегмента кода/данных, перекрывающего уже существующий;

q       коррекцией точки входа в заголовке файла-жертвы;

q       внедрением в исполняемый код файла-жертвы команды перехода на свое тело;

q       модификацией таблицы импорта (в терминологии a.out – таблицы символов) для подмены функций, что особенно актуально для Stealth-вирусов.

 

Всем этим махинациям (кроме приема с "поглощением") очень трудно остаться незамеченными, и факт заражения в подавляющем большинстве случаев удается определить простым визуальным просмотром дизассемблерного листинга анализируемого файла. Подробнее об этом мы поговорим чуточку позже, а пока обратим свое внимание на механизмы системных вызовов, используемые вирусами для обеспечения минимально необходимого уровня жизнедеятельности.




- Начало -  - Назад -  - Вперед -



Книжный магазин