浅谈关于unix系统下的病毒特点 -

accesine 2005-08-10

展开全文

欺骗库函数

我们可以愚弄那些比较傻的用户。如果你利用LD_PRELOAD环境变量来捉弄他，你可以让他执行你自己的代码，你已经利用LD_PRELOAD环境变量把标准的库函数替换成了你自己的程序，挺有意思吧？LD_PRELOAD并不是linux系统特有的，并且它一般用在一些应用程序(比如老版本的StarOffice需要运行在较新版本的Redhat系统上)必须用他们自己的(或者比较老的版本，或者修改过的)库函数，因为在安装的时候没有满足他们的需求。Quantum(Staog病毒的作者)在Unix病毒的邮件列表里面提供了这些代码，我做了修改，也是为了便于大家理解：

------------------------tryld.c------------------------------ extern int __open(char *, int, int); extern int execv(char *, char *[], char *envp[]); int open(char *path, int flags, int mode){ printf("open: %s\n", path); return __open(path, flags, mode); } /* 注意这里,原来它放弃了envp参数,这样会...:(?! 呵呵,所以我修改了一下,影响不大:)*/ int execve(char *path, char *args[], char *envp[]){ printf("execve: %s\n", path); return execv(path, args, envp); } --------------------------------------------------------------

------------------------main.c-------------------------------- /*test only,by e4gle*/ #include #include #include #include main() { int fd; execve("/bin/date","",NULL); if(fd=open("/etc/inittab",O_RDONLY)!=-1) { fprintf(stdout,"open file succeed!\n"); } else fprintf(stderr,"open error!\n"); close(fd); return 0; } ----------------------------------------------------------------

这段代码获取open和execv并且改变了它们的输出，好，我们测试一下：

[e4gle@redhat62 elf]$ gcc -o main main.c [e4gle@redhat62 elf]$ ./main open file succeed! <--证明我们打开文件成功了,open调用正常工作 [e4gle@redhat62 elf]$ ldd -v -r ./main libc.so.6 => /lib/libc.so.6 (0x4001c000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) Version information: ./main: libc.so.6 (GLIBC_2.0) => /lib/libc.so.6 /lib/libc.so.6: ld-linux.so.2 (GLIBC_2.1.1) => /lib/ld-linux.so.2 ld-linux.so.2 (GLIBC_2.1) => /lib/ld-linux.so.2 ld-linux.so.2 (GLIBC_2.0) => /lib/ld-linux.so.2 /*跟踪一下库函数的利用,都是glibc的标准库函数,solaris里面是sotruss,我个人认为sotruss 比较好用:)*/ [e4gle@redhat62 elf]$ gcc -shared -o tryld tryld.c [e4gle@redhat62 elf]$ export LD_PRELOAD=./tryld <--用我们自己的lib [e4gle@redhat62 elf]$ ./main execve: /bin/date open: /etc/inittab open file succeed! /*注意!不一样了吧?已经在用我们自己的open和execve了,呵呵:)*/

以上仅仅是个测试代码并且没有任何危害性，但是它足以说明我们利用欺骗函数库来攻击程序的原理。

欺骗库函数

我们可以愚弄那些比较傻的用户。如果你利用LD_PRELOAD环境变量来捉弄他，你可以让他执行你自己的代码，你已经利用LD_PRELOAD环境变量把标准的库函数替换成了你自己的程序，挺有意思吧？LD_PRELOAD并不是linux系统特有的，并且它一般用在一些应用程序(比如老版本的StarOffice需要运行在较新版本的Redhat系统上)必须用他们自己的(或者比较老的版本，或者修改过的)库函数，因为在安装的时候没有满足他们的需求。Quantum(Staog病毒的作者)在Unix病毒的邮件列表里面提供了这些代码，我做了修改，也是为了便于大家理解：

------------------------tryld.c------------------------------
extern int __open(char *, int, int); 
extern int execv(char *, char *[], char *envp[]); 

int open(char *path, int flags, 
int mode){ 
printf("open: %s\n", path); 
return __open(path, flags, mode); 
} 

/* 注意这里,原来它放弃了envp参数,这样会...:(?! 
呵呵,所以我修改了一下,影响不大:)*/ 
int execve(char *path, char *args[], 
char *envp[]){ 
printf("execve: %s\n", path); 
return execv(path, args, envp); 
} 
--------------------------------------------------------------

------------------------main.c--------------------------------
/*test only,by e4gle*/ 
#include 
#include 
#include 
#include 

main() 
{ 
int fd; 
execve("/bin/date","",NULL); 
if(fd=open("/etc/inittab",O_RDONLY)!=-1) 
{ 
fprintf(stdout,"open file succeed!\n"); 
} 
else 
fprintf(stderr,"open error!\n"); 
close(fd); 
return 0; 
} 
----------------------------------------------------------------

这段代码获取open和execv并且改变了它们的输出，好，我们测试一下：

[e4gle@redhat62 elf]$ gcc -o main main.c 
[e4gle@redhat62 elf]$ ./main 
open file succeed! <--证明我们打开文件成功了,open调用正常工作 
[e4gle@redhat62 elf]$ ldd -v -r ./main 
libc.so.6 => /lib/libc.so.6 (0x4001c000) 
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) 

Version information: 
./main: 
libc.so.6 (GLIBC_2.0) => /lib/libc.so.6 
/lib/libc.so.6: 
ld-linux.so.2 (GLIBC_2.1.1) => /lib/ld-linux.so.2 
ld-linux.so.2 (GLIBC_2.1) => /lib/ld-linux.so.2 
ld-linux.so.2 (GLIBC_2.0) => /lib/ld-linux.so.2 
/*跟踪一下库函数的利用,都是glibc的标准库函数,solaris里面是sotruss,我个人认为sotruss 
比较好用:)*/ 
[e4gle@redhat62 elf]$ gcc -shared -o tryld tryld.c 
[e4gle@redhat62 elf]$ export LD_PRELOAD=./tryld <--用我们自己的lib 
[e4gle@redhat62 elf]$ ./main 
execve: /bin/date 
open: /etc/inittab 
open file succeed! 
/*注意!不一样了吧?已经在用我们自己的open和execve了,呵呵:)*/

以上仅仅是个测试代码并且没有任何危害性，但是它足以说明我们利用欺骗函数库来攻击程序的原理。