您的位置:首页技术文章
文章详情页

Unix/ELF文件格式及病毒分析

【字号: 日期:2024-06-29 16:12:38浏览:41作者:猪猪

★ 介绍

本文介绍了Unix病毒机制、具体实现以及ELF文件格式。简述了Unix病毒检测和反检 测技术,提供了Linux/i386架构下的一些例子。需要一些初步的Unix编程经验,能够 理解Linux/i386下汇编语言,如果理解ELF本身更好。

本文没有任何实际意义上的病毒编程技术,仅仅是把病毒原理应用到Unix环境下。这 里也不打算从头介绍ELF规范,感兴趣的读者请自行阅读ELF规范。

★ 感染 ELF 格式文件

进程映象包含'文本段'和'数据段',文本段的内存保护属性是r-x,因此一般自修改 代码不能用于文本段。数据段的内存保护属性是rw-。

段并不要求是页尺寸的整数倍,这里用到了填充。

关键字:

[...] 一个完整的页 M 已经使用了的内存 P 填充

页号 #1 [PPPPMMMMMMMMMMMM] #2 [MMMMMMMMMMMMMMMM] |-- 一个段 #3 [MMMMMMMMMMMMPPPP] /

段并没有限制一定使用多个页,因此单页的段是允许的。

页号 #1 [PPPPMMMMMMMMPPPP] <-- 一个段

典型的,数据段不需要从页边界开始,而文本段要求起始页边界对齐,一个进程映象 的内存布局可能如下:

关键字:

[...] 一个完整的页 T 文本段内容 D 数据段内容 P 填充

页号 #1 [TTTTTTTTTTTTTTTT] <-- 文本段内容 #2 [TTTTTTTTTTTTTTTT] <-- 文本段内容 #3 [TTTTTTTTTTTTPPPP] <-- 文本段内容(部分) #4 [PPPPDDDDDDDDDDDD] <-- 数据段内容(部分) #5 [DDDDDDDDDDDDDDDD] <-- 数据段内容 #6 [DDDDDDDDDDDDPPPP] <-- 数据段内容(部分)

页1、2、3组成了文本段 页4、5、6组成了数据段

从现在开始,为简便起见,段描述图表用单页,如下:

页号 #1 [TTTTTTTTTTTTPPPP] <-- 文本段 #2 [PPPPDDDDDDDDPPPP] <-- 数据段

在i386下,堆栈段总是在数据段被给予足够空间之后才定位的,一般堆栈位于内存高 端,它是向低端增长的。

在ELF文件中,可装载段都是物理映象:

ELF Header . . Segment 1 <-- 文本段 Segment 2 <-- 数据段 . .

每个段都有一个定位自身起始位置的虚拟地址。可以在代码中使用这个地址。

为了插入寄生代码,必须保证原来的代码不被破坏,因此需要扩展相应段所需内存。

文本段事实上不仅仅包含代码,还有 ELF 头,其中包含动态链接信息等等。如果直 接扩展文本段插入寄生代码,带来的问题很多,比如引用绝对地址等问题。可以考虑 保持文本段不变,额外增加一个段存放寄生代码。然而引入一个额外的段的确容易引 起怀疑,很容易被发现。

向高端扩展文本段或者向低端扩展数据段都有可能引起段重叠,在内存中重定位一个 段又会使那些引用了绝对地址的代码产生问题。可以考虑向高端扩展数据段,这不是 个好主意,有些Unix完整地实现了内存保护机制,数据段是不可执行的。

段边界上的页填充提供了插入寄生代码的地方,只要空间允许。在这里插入寄生代码 不破坏原有段内容,不要求重定位。文本段结尾处的页填充是个很好的地方,最后看 上去象下面这个样子:

关键字:

[...] 一个完整的页 V 寄生代码 T 文本段内容 D 数据段内容 P 填充

页号 #1 [TTTTTTTTTTTTVVPP] <-- 文本段 #2 [PPPPDDDDDDDDPPPP] <-- 数据段

一个更完整的ELF可执行布局如下:

ELF Header Program header table Segment 1 Segment 2 Section header table Section 1 . . Section n

典型的,额外的节(那些没有相应段的节)用于存放调试信息、符号表等等。

下面是一些来自 ELF 规范的内容:

ELF 头位于最开始,保存一张'road map',描述了文件的组织结构。节保存大量链接 信息、符号表、重定位信息等等。

如果存在一个'program header table',将告诉操作系统如何建立进程映象(执行一 个程序)。可执行文件必须有一个'program header table',可重定位的文件不需要 该表。'section header table'描述了文件的节组织。每个节在该表中都有一个表项, 表项包含了诸如节名、节尺寸等信息。链接过程中被用到的文件自身必须有一个 'section header table',其他目标文件可有可无该表。

插入寄生代码之后,ELF 文件布局如下:

ELF Header Program header table Segment 1 - 文本段(主体代码) - 寄生代码 Segment 2 Section header table Section 1 . . Section n

寄生代码必须物理插入到ELF文件中,文本段必须扩展以包含新代码。

下面的信息来自/usr/include/elf.h

/* The ELF file header. This appears at the start of every ELF file. */

#define EI_NIDENT (16)

typedef struct { unsigned char e_ident[EI_NIDENT]; /* Magic number and other info */ Elf32_Half e_type; /* Object file type */ Elf32_Half e_Machine; /* Architecture */ Elf32_Word e_version; /* Object file version */ Elf32_Addr e_entry; /* Entry point virtual address */ Elf32_Off e_phoff; /* Program header table file offset */ Elf32_Off e_shoff; /* Section header table file offset */ Elf32_Word e_flags; /* Processor-specific flags */ Elf32_Half e_ehsize; /* ELF header size in bytes */ Elf32_Half e_phentsize; /* Program header table entry size */ Elf32_Half e_phnum; /* Program header table entry count */ Elf32_Half e_shentsize; /* Section header table entry size */ Elf32_Half e_shnum; /* Section header table entry count */ Elf32_Half e_shstrndx; /* Section header string table index */ } Elf32_Ehdr;

e_entry 保存了程序入口点的虚拟地址。

e_phoff 是'program header table'在文件中的偏移。因此为了读取 'program header table',需要调用lseek()定位该表。

e_shoff 是'section header table'在文件中的偏移。该表位于文件尾部,在文本段 尾部插入寄生代码之后,必须更新e_shoff指向新的偏移。

/* Program segment header. */

typedef struct { Elf32_Word p_type; /* Segment type */ Elf32_Off p_offset; /* Segment file offset */ Elf32_Addr p_vaddr; /* Segment virtual address */ Elf32_Addr p_paddr; /* Segment physical address */ Elf32_Word p_filesz; /* Segment size in file */ Elf32_Word p_memsz; /* Segment size in memory */ Elf32_Word p_flags; /* Segment flags */ Elf32_Word p_align; /* Segment alignment */ } Elf32_Phdr;

可装载段(文本段/数据段)在'program header'中由成员变量p_type标识出是可装载 的,其值为PT_LOAD (1)。与'ELF header'中的e_shoff一样,这里的p_offset成员 必须在插入寄生代码后更新以指向新偏移。

p_vaddr 指定了段的起始虚拟地址。以p_vaddr为基地址,重新计算e_entry,就可以 指定程序流从何处开始。

可以利用p_vaddr指定程序流从何处开始。

p_filesz 和 p_memsz 分别对应该段占用的文件尺寸和内存尺寸。

.bss 节对应数据段里未初始化的数据部分。我们不想让未初始化的数据占用文件空 间,但是进程映象必须保证能够分配足够的内存空间。.bss 节位于数据段尾部,任 何超过文件尺寸的定位都假设位于该节中。

/* Section header. */

typedef struct { Elf32_Word sh_name; /* Section name (string tbl index) */ Elf32_Word sh_type; /* Section type */ Elf32_Word sh_flags; /* Section flags */ Elf32_Addr sh_addr; /* Section virtual addr at execution */ Elf32_Off sh_offset; /* Section file offset */ Elf32_Word sh_size; /* Section size in bytes */ Elf32_Word sh_link; /* Link to another section */ Elf32_Word sh_info; /* Additional section information */ Elf32_Word sh_addralign; /* Section alignment */ Elf32_Word sh_entsize; /* Entry size if section holds table */ } Elf32_Shdr;

sh_offset 指定了节在文件中的偏移。

为了在文本段末尾插入寄生代码,我们必须做下列事情:

* 修正'ELF header'中的 p_shoff * 定位'text segment program header' * 修正 p_filesz * 修正 p_memsz * 对于文本段phdr之后的其他phdr * 修正 p_offset * 对于那些因插入寄生代码影响偏移的每节的shdr * 修正 sh_offset * 在文件中物理地插入寄生代码到这个位置 text segment p_offset + p_filesz (original)

这里存在一个大问题,ELF 规范中指出,

p_vaddr mod PAGE_SIZE == p_offset mod PAGE_SIZE

为了满足这个要求:

* 修正'ELF header'中的 p_shoff ,增加 PAGE_SIZE 大小 * 定位'text segment program header' * 修正 p_filesz * 修正 p_memsz * 对于文本段phdr之后的其他phdr * 修正 p_offset ,增加 PAGE_SIZE 大小 * 对于那些因插入寄生代码影响偏移的每节的shdr * 修正 sh_offset ,增加 PAGE_SIZE 大小 * 在文件中物理地插入寄生代码以及填充(确保构成一个完整页)到这个位置 text segment p_offset + p_filesz (original)

我们还需要修正程序入口点的虚拟地址,使得寄生代码先于宿主代码执行。同时需要 在寄生代码尾部能够跳转回宿主代码原入口点继续正常流程。

* 修正'ELF header'中的 p_shoff ,增加 PAGE_SIZE 大小 * 修正寄生代码的尾部,使之能够跳转回宿主代码原入口点 * 定位'text segment program header' * 修正 'ELF header'中的 e_entry ,指向 p_vaddr + p_filesz * 修正 p_filesz * 修正 p_memsz * 对于文本段phdr之后的其他phdr * 修正 p_offset ,增加 PAGE_SIZE 大小 * 对于文本段的最后一个shdr * 修正sh_len(应该是sh_size吧,不确定),增加寄生代码大小 * 对于那些因插入寄生代码影响偏移的每节的shdr * 修正 sh_offset ,增加 PAGE_SIZE 大小 * 在文件中物理地插入寄生代码以及填充(确保构成一个完整页)到这个位置 text segment p_offset + p_filesz (original)

病毒可以随机遍历一个目录树,寻找那些e_type等于 ET_EXEC 或者 ET_DYN 的文件, 加以感染,这分别是可执行文件和动态链接库文件。

★ 分析Linux病毒

病毒要求不使用库,避开libc,转而使用系统调用机制。 为了动态申请堆内存用于phdr table和shdr table,应该使用brk系统调用。 利用与缓冲区溢出相同的技术取得常量字符串的地址。

使用gcc -S编译c代码,观察调整asm代码。 注意在进入/离开寄生代码的时候保存/恢复寄存器。

利用objdump -D观察调整一些需要确定的偏移量。

★ 检测病毒

这里描述的病毒很容易检测。最显眼的是程序入口点不在常规节中,甚至干脆不在任 何节中。清理病毒的过程和感染病毒的过程类似。

用objdump --all-headers很容易定位程序入口点,用objdump --disassemble-all 跟踪下去就可以得到程序原入口点。

缺省程序入口点是_start,但是可以在链接的时候更改它。

★ 结论

Unix病毒尽管不流行,但的确可行。

标签: Unix系统