UNIX VIRUSES - Silvio Cesare CONTEN

UNIX VIRUSES

- Silvio Cesare

CONTENTS
--------

IMPROVING THIS MANUAL
THE UNIX-VIRUS MAILING LIST
INTRODUCTION
THE NON ELF INFECTOR FILE VIRUS (FILE INFECTION)
MEMORY LAYOUT OF AN ELF EXECUTABLE
ELF INFECTION
THE TEXT SEGMENT PADDING VIRUS (PADDING INFECTION)
INFECTING INFECTIONS
THE DATA SEGMENT VIRUS (DATA INFECTION)
VIRUS DETECTION
THE TEXT SEGMENT VIRUS (TEXT INFECTION)
INFECTION USING OBJECT CODE PARASITES
OBJECT CODE LINKING
THE IMPLEMENTED INFECTOR
NON (NOT AS) TRIVIAL PARASITE CODE
BEYOND ELF PARASITES AND ENTER VIRUS IN UNIX
THE LINUX PARASITE VIRUS
DEVELOPMENT OF THE LINUX VIRUS
IMPROVING THE LINUX VIRUS
VIRUS DETECTION
EVADING VIRUS DETECTION IN ELF INFECTION
CONCLUSION
SOURCE (UUENCODED)

IMPROVING THIS MANUAL

For any comments or suggestions (even just to say hi) please contact the author
Silvio Cesare, . This paper already has future plans to
include more parasite techniques and shared object infection. More to come.

THE UNIX-VIRUS MAILING LIST

This is the charter for the unix-virus mailing list. Unix-virus was created to
discuss viruses in the unix environment from the point of view of the virus
creator, and the security developer writing anti-virus software. Anything
related to viruses in the unix environment is open for discussion. Low level
programming is commonly seen on the list, including source code. The emphasis
is on expanding the knowledge of virus technology and not on the distribution
of viruses, so binaries are discouraged but not totally excluded. The list is
archived at http://virus.beergrave.net and it is recommended that the new
subscriber read the existing material before posting.

To subscribe to the list send a message to majordomo@virus.beergrave.net with
'subscribe unix-virus' in the body of the message.

INTRODUCTION

This paper documents the algorithms and implementation of UNIX parasite and
virus code using ELF objects. Brief introductions on UNIX virus detection and
evading such detection are given. An implementation of various ELF parasite
infectors for UNIX is provided, and an ELF virus for Linux on x86 architecture
is also supplied.

Elementary programming and UNIX knowledge is assumed, and an understanding of
Linux x86 architecture is assumed for the Linux implementation. ELF
understanding is not required but will help.

This paper does not document any significant virus programming techniques
except those that are only applicable to the UNIX environment. Nor does it
try to replicate the ELF specifications. The interested reader is advised
to read the ELF documentation if this paper is unclear in ELF specifics.

THE NON ELF INFECTOR FILE VIRUS (FILE INFECTION)

An interesting, yet simple idea for a virus takes note, that when you append
one executable to another, the original executable executes, but the latter
executable is still intact and retrievable and even executable if copied to
a new file and executed.

# cat host >> parasite
# mv parasite host
# ./host
PARASITE Executed

Now.. if the parasite keeps track of its own length, it can copy the original
host to a new file, then execute it like normal, making a working parasite and
virus. The algorithm is as follows:

* execute parasite work code
* lseek to the end of the parasite
* read the remaining portion of the file
* write to a new file
* execute the new file

The downfall with this approach is that the remaining executable no longer
remains strip safe. This will be explained further on when a greater
understanding of the ELF format is obtained, but to summarize, the ELF headers
no longer hold into account every portion of the file, and strip removes
unaccounted portions. This is the premise of virus detection with this type of
virus.

This same method can be used to infect LKM's following similar procedures.

MEMORY LAYOUT OF AN ELF EXECUTABLE

A process image consists of a 'text segment' and a 'data segment'. The text
segment is given the memory protection r-x (from this its obvious that self
modifying code cannot be used in the text segment). The data segment is
given the protection rw-.

The segment as seen from the process image is typically not all in use as
memory used by the process rarely lies on a page border (or we can say, not
congruent to modulo the page size). Padding completes the segment, and in
practice looks like this.

key:
[...] A complete page
M Memory used in this segment
P Padding

Page Nr
#1 [PPPPMMMMMMMMMMMM]
#2 [MMMMMMMMMMMMMMMM] |- A segment
#3 [MMMMMMMMMMMMPPPP] /

Segments are not bound to use multiple pages, so a single page segment is quite
possible.

Page Nr
#1 [PPPPMMMMMMMMPPPP]

UNIX VIRUSES

- Silvio Cesare

CONTENTS
--------

IMPROVING THIS MANUAL
THE UNIX-VIRUS MAILING LIST
INTRODUCTION
THE NON ELF INFECTOR FILE VIRUS (FILE INFECTION)
MEMORY LAYOUT OF AN ELF EXECUTABLE
ELF INFECTION
THE TEXT SEGMENT PADDING VIRUS (PADDING INFECTION)
INFECTING INFECTIONS
THE DATA SEGMENT VIRUS (DATA INFECTION)
VIRUS DETECTION
THE TEXT SEGMENT VIRUS (TEXT INFECTION)
INFECTION USING OBJECT CODE PARASITES
OBJECT CODE LINKING
THE IMPLEMENTED INFECTOR
NON (NOT AS) TRIVIAL PARASITE CODE
BEYOND ELF PARASITES AND ENTER VIRUS IN UNIX
THE LINUX PARASITE VIRUS
DEVELOPMENT OF THE LINUX VIRUS
IMPROVING THE LINUX VIRUS
VIRUS DETECTION
EVADING VIRUS DETECTION IN ELF INFECTION
CONCLUSION
SOURCE (UUENCODED)

IMPROVING THIS MANUAL

For any comments or suggestions (even just to say hi) please contact the author
Silvio Cesare, . This paper already has future plans to
include more parasite techniques and shared object infection. More to come.

THE UNIX-VIRUS MAILING LIST

This is the charter for the unix-virus mailing list. Unix-virus was created to
discuss viruses in the unix environment from the point of view of the virus
creator, and the security developer writing anti-virus software. Anything
related to viruses in the unix environment is open for discussion. Low level
programming is commonly seen on the list, including source code. The emphasis
is on expanding the knowledge of virus technology and not on the distribution
of viruses, so binaries are discouraged but not totally excluded. The list is
archived at http://virus.beergrave.net and it is recommended that the new
subscriber read the existing material before posting.

To subscribe to the list send a message to majordomo@virus.beergrave.net with
'subscribe unix-virus' in the body of the message.

INTRODUCTION

This paper documents the algorithms and implementation of UNIX parasite and
virus code using ELF objects. Brief introductions on UNIX virus detection and
evading such detection are given. An implementation of various ELF parasite
infectors for UNIX is provided, and an ELF virus for Linux on x86 architecture
is also supplied.

Elementary programming and UNIX knowledge is assumed, and an understanding of
Linux x86 architecture is assumed for the Linux implementation. ELF
understanding is not required but will help.

This paper does not document any significant virus programming techniques
except those that are only applicable to the UNIX environment. Nor does it
try to replicate the ELF specifications. The interested reader is advised
to read the ELF documentation if this paper is unclear in ELF specifics.

THE NON ELF INFECTOR FILE VIRUS (FILE INFECTION)

An interesting, yet simple idea for a virus takes note, that when you append
one executable to another, the original executable executes, but the latter
executable is still intact and retrievable and even executable if copied to
a new file and executed.

# cat host >> parasite
# mv parasite host
# ./host
PARASITE Executed

Now.. if the parasite keeps track of its own length, it can copy the original
host to a new file, then execute it like normal, making a working parasite and
virus. The algorithm is as follows:

* execute parasite work code
 * lseek to the end of the parasite
 * read the remaining portion of the file
 * write to a new file
 * execute the new file

The downfall with this approach is that the remaining executable no longer
remains strip safe. This will be explained further on when a greater
understanding of the ELF format is obtained, but to summarize, the ELF headers
no longer hold into account every portion of the file, and strip removes
unaccounted portions. This is the premise of virus detection with this type of
virus.

This same method can be used to infect LKM's following similar procedures.

MEMORY LAYOUT OF AN ELF EXECUTABLE

A process image consists of a 'text segment' and a 'data segment'. The text
segment is given the memory protection r-x (from this its obvious that self
modifying code cannot be used in the text segment). The data segment is
given the protection rw-.

The segment as seen from the process image is typically not all in use as
memory used by the process rarely lies on a page border (or we can say, not
congruent to modulo the page size). Padding completes the segment, and in
practice looks like this.

key:
 [...] A complete page
 M Memory used in this segment
 P Padding

Page Nr
#1 [PPPPMMMMMMMMMMMM] 
#2 [MMMMMMMMMMMMMMMM] |- A segment
#3 [MMMMMMMMMMMMPPPP] /

Segments are not bound to use multiple pages, so a single page segment is quite
possible.

Page Nr
#1 [PPPPMMMMMMMMPPPP]

0/5000

จาก: -

เป็น: -

ผลลัพธ์ (ไทย) 1: [สำเนา]

คัดลอก!

ไวรัส UNIX -Silvio Cesare เนื้อหา--------ปรับปรุงคู่มือนี้รายชื่อส่งเมล์ไวรัส UNIXแนะนำไม่ใช่เอลฟ์ INFECTOR ไฟล์ไวรัส (ติดเชื้อไฟล์)หน่วยความจำโครงร่างของการปฏิบัติเอลฟ์ติดเชื้อเอลฟ์ไวรัสส่วนระยะห่างข้อความ (ติดเชื้อระยะห่าง)การติดเชื้อไวรัสส่วนข้อมูล (ข้อมูลเชื้อ)ตรวจหาไวรัสไวรัสแบ่งส่วนข้อความ (ข้ออักเสบ)กับรหัสออบเจ็กต์ที่ใช้ของติดเชื้อรหัสออบเจ็กต์ที่เชื่อมโยงINFECTOR ดำเนินรหัสปรสิตเล็กน้อยไม่ใช่ (ไม่ เป็น)เหนือกับเอลฟ์ และป้อนไวรัสใน UNIXไวรัสปรสิต LINUXพัฒนาของ LINUX ไวรัสปรับปรุงไวรัส LINUXตรวจหาไวรัสตรวจหาไวรัสในเชื้อเอลฟ์ EVADINGบทสรุปแหล่งที่มา (UUENCODED)ปรับปรุงคู่มือนี้สำหรับข้อคิดเห็นหรือข้อเสนอแนะ (แม้จะพูดว่า สวัสดี) โปรดติดต่อผู้เขียนSilvio Cesare . กระดาษนี้มีแผนการในอนาคตรวมเทคนิคปรสิตและเชื้อวัตถุที่ใช้ร่วมกันเพิ่มเติม มาเพิ่มเติมรายชื่อส่งเมล์ไวรัส UNIXนี่คือกฎบัตรในรายการส่งเมล์ไวรัส unix Unix-ไวรัสสร้างขึ้นเพื่อหารือเกี่ยวกับไวรัสในระบบ unix จากมุมมองของของไวรัสผู้สร้าง และพัฒนาความปลอดภัยเขียนซอฟต์แวร์ป้องกันไวรัส อะไรที่เกี่ยวข้องกับไวรัสใน unix สภาพแวดล้อมจะเปิดการสนทนา ระดับต่ำเขียนเห็นกันได้ทั่วไปในรายชื่อ รวมถึงรหัสแหล่งที่มา เน้นเป็นการขยายความรู้ด้านเทคโนโลยีไวรัส และไม่กระจายไวรัส ดังนั้นไบนารีมีกำลังใจ แต่ไม่ทั้งหมดไม่รวม รายการเก็บถาวรที่ http://virus.beergrave.net แนะนำที่ใหม่สมาชิกอ่านวัสดุที่มีอยู่ก่อนที่จะลงรายการบัญชีการสมัครสมาชิก รายการส่งข้อความไปกับ majordomo@virus.beergrave.net'สมัคร unix ไวรัส' ในเนื้อความของข้อความแนะนำเอกสารกระดาษนี้อัลกอริทึมและการใช้งานของ UNIX ปรสิต และรหัสไวรัสใช้วัตถุเอลฟ์ บทนำการตรวจหาไวรัส UNIX โดยย่อ และevading ตรวจสอบดังกล่าวจะได้รับ การนำไปใช้ต่าง ๆ เอลฟ์ปรสิตให้ infectors สำหรับ UNIX ไวรัสเอลฟ์สำหรับ Linux บน x 86 และสถาปัตยกรรมนอกจากนี้ยังมาเขียนโปรแกรมระดับประถมศึกษาและ UNIX ถือว่าความรู้ ความเข้าใจและLinux x 86 สถาปัตยกรรมสันนิษฐานสำหรับใช้งาน Linux เอลฟ์เข้าใจไม่จำเป็น แต่จะช่วยเอกสารนี้เอกสารใด ๆ ไวรัสสำคัญที่เทคนิคการเขียนโปรแกรมยกเว้นผู้ ที่มีเฉพาะที่ใช้กับระบบ UNIX หรือไม่ได้พยายามจำลองข้อมูลจำเพาะของเอลฟ์ ขอแนะนำผู้อ่านสนใจอ่านเอกสารเอลฟ์ว่ากระดาษนี้ชัดเจนในประเภทเอลฟ์ไม่ใช่เอลฟ์ INFECTOR ไฟล์ไวรัส (ติดเชื้อไฟล์)ใช้ความคิดน่าสนใจ ยังง่ายสำหรับไวรัสหมายเหตุ ที่เมื่อคุณผนวกปฏิบัติหนึ่งไปยังอีก ปฏิบัติเดิมดำเนินการ แต่หลังปฏิบัติคือปฏิบัติยังคงเหมือนเดิม และ retrievable และแม้หากคัดลอกไปแฟ้มใหม่ และดำเนินการ#แมวโฮสต์ >> ปรสิต# mv ปรสิตโฮสต์#. / โฮสต์ปรสิตที่ดำเนินการตอนนี้... ถ้าปรสิตเก็บของยาวของตนเอง สามารถคัดลอกต้นฉบับโฮสต์ไฟล์ใหม่ แล้วปฏิบัติเหมือนปกติ ทำให้ปรสิตทำงาน และไวรัส อัลกอริทึมเป็นดังนี้: ดำเนินงานปรสิต * lseek ของเชื้อมาลาเรีย อ่านส่วนที่เหลือของแฟ้ม * เขียนไปยังแฟ้มใหม่ รันแฟ้มใหม่ล่มสลาย ด้วยวิธีการนี้ไม่มีที่เหลืออยู่ปฏิบัติยังคงแถบปลอดภัย นี้จะมีอธิบายเพิ่มเติมเกี่ยวกับเมื่อเป็นมากขึ้นเข้าใจรูปแบบของเอลฟ์ได้รับ แต่การสรุป หัวเอลฟ์ไม่พิจารณาทุกส่วนของแฟ้ม ค้างไว้เอาแถบส่วนสูง นี่คือหลักฐานของการตรวจสอบไวรัสชนิดนี้ของไวรัสสามารถใช้วิธีการเดียวกันนี้จะคล้ายของ LKM ต่อไปหน่วยความจำโครงร่างของการปฏิบัติเอลฟ์รูปแบบกระบวนการประกอบด้วย 'เซ็กเมนต์ข้อความ' และ 'เซ็กเมนต์ข้อมูล' ข้อความเซ็กเมนต์ได้รับหน่วยความจำป้องกัน r-x (จากนี้ชัดเจนของตนเองที่ปรับเปลี่ยนรหัสไม่สามารถใช้ในข้อความ) ส่วนข้อมูลเป็นrw ป้องกันการ - รับส่วนที่เห็นจากภาพกระบวนการจะไม่ทั้งหมดใช้เป็นหน่วยความจำที่ใช้การไม่ค่อยอยู่บนขอบหน้า (หรือเราสามารถ พูด ไม่แผงการ modulo ขนาดของหน้า) เซ็กเมนต์ เสร็จสิ้นระยะห่าง และในปฏิบัติลักษณะเช่นนี้คีย์: [...] หน้าสมบูรณ์ หน่วยความจำ M ใช้ในเซ็กเมนต์นี้ ระยะห่างของ Pหน้า Nr#1 [PPPPMMMMMMMMMMMM] #2 [MMMMMMMMMMMMMMMM] | -เซ็กเมนต์#3 [MMMMMMMMMMMMPPPP] /ส่วนไม่ต้องการใช้หลายหน้า ส่วนหน้าเดียวค่อนเป็นไปได้หน้า Nr#1 [PPPPMMMMMMMMPPPP] <-เซ็กเมนต์โดยปกติ เซ็กเมนต์ข้อมูลโดยตรงดำเนินการข้อเซ็กเมนต์การเสมอเริ่มต้นในเพจ เซ็กเมนต์ข้อมูลอาจไม่ แบบหน่วยความจำสำหรับการกระบวนการรูปดังนั้นคีย์: [...] หน้าสมบูรณ์ ข้อความ T ข้อมูล D ระยะห่างของ Pหน้า Nr#1 [TTTTTTTTTTTTTTTT] <-ส่วนของเซ็กเมนต์ข้อความ#2 [TTTTTTTTTTTTTTTT] <-ส่วนของเซ็กเมนต์ข้อความ#3 [TTTTTTTTTTTTPPPP] <-ส่วนของเซ็กเมนต์ข้อความ#4 [PPPPDDDDDDDDDDDD] <-ส่วนหนึ่งของเซกเมนต์ข้อมูล#5 [DDDDDDDDDDDDDDDD] <-ส่วนหนึ่งของเซกเมนต์ข้อมูล#6 [DDDDDDDDDDDDPPPP] <-ส่วนหนึ่งของเซกเมนต์ข้อมูลหน้า 1, 2, 3 เป็นเซ็กเมนต์ข้อความหน้า 4, 5, 6 เป็นเซ็กเมนต์ข้อมูลจากการเดินทาง ไดอะแกรมส่วนอาจใช้หน้าเดียวสำหรับความเรียบง่าย เช่นหน้า Nr#1 [TTTTTTTTTTTTPPPP] <-เซ็กเมนต์ข้อความ#2 [PPPPDDDDDDDDPPPP] <-เซ็กเมนต์ข้อมูลสำหรับความสมบูรณ์ บน x 86 ส่วนกองอยู่หลังจากเซ็กเมนต์ข้อมูลให้พอสำหรับการเจริญเติบโตของเซกเมนต์ข้อมูล ดังนั้น กองอยู่ด้านบนของหน่วยความจำ (จดจำที่มันขึ้นลง)ในแฟ้มเอลฟ์ เซ็กเมนต์ loadable มีอยู่จริงในไฟล์ ซึ่งอธิบายถึงส่วนข้อความและข้อมูลสำหรับการโหลดภาพกระบวนการสมบูรณ์ Aเอลฟ์รูปแบบที่ง่ายสำหรับวัตถุปฏิบัติเกี่ยวข้องกับอินสแตนซ์นี้ได้ หัวข้อของเอลฟ์ . . เซกเมนต์ 1 <-ข้อความ เซ็กเมนต์ 2 <-ข้อมูล . .แต่ละกลุ่มมีอยู่เสมือนที่เชื่อมโยงกับตำแหน่งเริ่มต้นรหัสสัมบูรณ์ที่อ้างอิงภายในแต่ละเซกเมนต์จะอนุญาต และมากน่าเป็นติดเชื้อเอลฟ์การแทรกรหัสปรสิตหมายความ ว่า กระบวนการรูปต้องโหลดให้รหัสและข้อมูลต้นฉบับจะยังคงเหมือนเดิม หมายถึง การแทรกตัวปรสิตต้องใช้ในเซ็กเมนต์ที่จะเพิ่มหน่วยความจำเซ็กเมนต์ข้อความลดระดับในเรื่องรหัสไม่เท่านั้น แต่ยังหัวเอลฟ์รวมสิ่งต่าง ๆ เช่นข้อมูลการเชื่อมโยงแบบไดนามิก มันอาจเป็นไปได้เพื่อให้การส่วนข้อความเป็น และสร้างเซกเมนต์อื่นที่ประกอบด้วยรหัสปรสิตอย่างไรก็ตาม แนะนำส่วนเสริมจะแก้แค้นคืนอย่างแน่นอน และง่ายต่อการตรวจสอบหน้าระยะห่างเส้นขอบส่วนที่แสดงตำแหน่งปฏิบัติอย่างไรก็ตามปรสิตรหัสระบุว่าขนาดของมันคือสามารถ พื้นที่นี้จะไม่รบกวนเดิมเซ็กเมนต์ ต้องการย้ายไม่ ต่อผลงานเพิ่งได้รับของ preferencing เซ็กเมนต์ข้อความ เราสามารถดูที่ระยะห่างในการสิ้นสุดของเซ็กเมนต์ข้อความคือ โซลูชันที่ทำงานได้ขยายเซ็กเมนต์ข้อความย้อนหลังคือ โซลูชันที่ทำงานได้ และเป็นเอกสารและดำเนินต่อไปในบทความนี้จะขยายเซ็กเมนต์ข้อความข้างหน้าหรือขยายเซ็กเมนต์ข้อมูลย้อนหลังอาจเหลื่อมเซ็กเมนต์ ย้ายเซ็กเมนต์ในหน่วยความจำจะทำให้ปัญหาเกี่ยวกับรหัสใด ๆ ที่อ้างอิงหน่วยความจำอย่างแน่นอนจำเป็นต้องขยายเซ็กเมนต์ข้อมูล แต่นี้ไม่ต้องการไม่เป็น UNIX แบบพกพาที่ถูกใช้ดำเนินการป้องกันหน่วยความจำปรสิตเอลฟ์จะดำเนินการโดยใช้เทคนิคนี้ และจะอธิบายอย่างไรก็ตามในบทความนี้รูปแบบปฏิบัติและเชื่อมโยงเป็นแก่เอลฟ์ปฏิบัติเค้าโครง (ละเว้นส่วนเนื้อหา - ดู ด้านล่าง) หัวข้อของเอลฟ์ โปรแกรมบัญชี ส่วนที่ 1 ส่วนที่ 2 ส่วนหัวตารางก็ได้ ในทางปฏิบัติ นี้เป็นสิ่งปกติจะเห็นได้ หัวข้อของเอลฟ์ โปรแกรมบัญชี ส่วนที่ 1 ส่วนที่ 2 ส่วนหัวข้อตาราง หมวดที่ 1 . . ส่วน nโดยปกติ เป็นส่วนพิเศษ (ที่ไม่เกี่ยวข้องกับเซ็กเมนต์) เช่นสิ่งที่เป็นข้อมูลการดีบัก สัญลักษณ์ตารางฯลฯจากข้อมูลจำเพาะ: เอลฟ์"หัวเอลฟ์ที่อยู่ที่จุดเริ่มต้น และเก็บ ''แผนที่ถนน '' ที่อธิบายการไฟล์ขององค์กร ส่วนค้างจำนวนมากวัตถุแฟ้มข้อมูลสำหรับมุมมองการเชื่อมโยง: คำแนะนำ ข้อมูล ตารางสัญลักษณ์ ย้าย ข้อมูล และบน......ตารางหัวข้อโปรแกรม ถ้ามี บ้างวิธีการสร้างกระบวนการรูปภาพของ แฟ้มที่ใช้ในการสร้างรูปแบบกระบวนการ (ดำเนินโปรแกรม) ต้องการโปรแกรมบัญชี แฟ้ม relocatable ไม่จำเป็นต้อง ส่วนหัวตารางอธิบายส่วนของแฟ้มข้อมูล ทุกส่วนมีรายการในตาราง แต่ละรายการให้ข้อมูลเช่นชื่อหัวข้อส่วนขนาด ฯลฯ แฟ้มที่ใช้ในระหว่างการเชื่อมโยงต้องมีส่วนหัวtable; other object files may or may not have one.......Executable and shared object files statically represent programs. To executesuch programs, the system uses the files to create dynamic programrepresentations, or process images. A process image has segments that holdits text, data, stack, and so on. The major sections in this part discuss thefollowing.Program header. This section complements Part 1, describing object filestructures that relate directly to program execution. The primary datastructure, a program header table, locates segment images within the file andcontains other information necessary to create the memory image for theprogram."An ELF object may also specify an entry point of the program, that is, thevirtual memory location that assumes control of the program. Thus toactivate parasite code, the program flow must include the new parasite. Thiscan be done by patching the entry point in the ELF object to point (jump)directly to the parasite. It is then the parasite's responsibility that thehost code be executed - typically, by transferring control back to the hostonce the

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 2:[สำเนา]

คัดลอก!

UNIX ไวรัส- ซิลวีโอซา

เนื้อหา
-------- ปรับปรุงคู่มือฉบับนี้ยูนิกซ์ไวรัสรายชื่อผู้รับจดหมายบทนำไม่ใช่เอลฟ์ติดเชื้อไวรัสไฟล์(ไฟล์ติดเชื้อ) เค้าโครงความทรงจำของเอลฟ์ที่ปฏิบัติการเอลฟ์ติดเชื้อส่วนข้อความpadding ไวรัส (padding ติดเชื้อ) การติดไวรัสติดเชื้อข้อมูลที่บันทึกไวรัสส่วน (ข้อมูลการติดเชื้อ) การตรวจหาไวรัสไวรัสส่วนข้อความ (Text การติดเชื้อ) การติดเชื้อการใช้ปรสิตรหัสวัตถุวัตถุรหัสเชื่อมโยงดำเนินการติดเชื้อNON (ไม่เป็น) TRIVIAL ปรสิตรหัสBEYOND เอลฟ์ปรสิตและ ENTER ไวรัสในระบบปฏิบัติการยูนิกซ์ลินุกซ์ปรสิตไวรัสการพัฒนาของLINUX ไวรัสปรับปรุงLINUX ไวรัสไวรัสตรวจหลบเลี่ยงการตรวจหาไวรัสในการติดเชื้อเอลฟ์สรุปแหล่งที่มา(UUENCODED) การปรับปรุงคู่มือฉบับนี้สำหรับความคิดเห็นหรือข้อเสนอแนะใด ๆ (แม้เพียงแค่จะกล่าวทักทาย) กรุณาติดต่อผู้เขียนซิลวีโอซา,

. กระดาษนี้แล้วมีแผนการในอนาคตที่จะรวมถึงเทคนิคปรสิตอื่น ๆ และการติดเชื้อวัตถุที่ใช้ร่วมกัน
ขึ้นมา. ยูนิกซ์ไวรัสรายชื่อผู้รับจดหมายนี้เป็นแบบเช่าเหมาลำสำหรับยูนิกซ์ไวรัสรายชื่อผู้รับจดหมาย Unix ไวรัสถูกสร้างขึ้นเพื่อหารือเกี่ยวกับไวรัสในสภาพแวดล้อมยูนิกซ์จากมุมมองของไวรัสที่ผู้สร้างและนักพัฒนาการรักษาความปลอดภัยการเขียนซอฟแวร์ป้องกันไวรัส สิ่งใดที่เกี่ยวข้องกับไวรัสในสภาพแวดล้อมยูนิกซ์เปิดให้บริการสำหรับการอภิปราย ระดับต่ำการเขียนโปรแกรมมักจะเห็นในรายการรวมถึงรหัสแหล่งที่มา เน้นอยู่ในการเพิ่มพูนความรู้ของเทคโนโลยีไวรัสและไม่อยู่ในการกระจายของไวรัสเพื่อไบนารีมีกำลังใจแต่ไม่ได้รับการยกเว้นโดยสิ้นเชิง รายการจะถูกเก็บไว้ที่ http://virus.beergrave.net และขอแนะนำว่าใหม่สมาชิกอ่านเนื้อหาที่มีอยู่ก่อนที่จะโพสต์. ในการสมัครในรายการส่งข้อความไปยัง majordomo@virus.beergrave.net~~V กับ'สมัคร unix- ไวรัสในร่างกายของข้อความ. บทนำบทความนี้เอกสารขั้นตอนวิธีการและการดำเนินการของปรสิต UNIX และรหัสไวรัสใช้วัตถุเอลฟ์ แนะนำสั้น ๆ เกี่ยวกับการตรวจหาไวรัส UNIX และหลบเลี่ยงการตรวจสอบดังกล่าวจะได้รับ การดำเนินงานของเอลฟ์ปรสิตต่างๆinfectors สำหรับ UNIX ที่มีให้และไวรัสเอลฟ์สำหรับ Linux บนสถาปัตยกรรม x86 จะถูกส่งไปยัง. การเขียนโปรแกรมระดับประถมศึกษาและความรู้ที่จะสันนิษฐาน UNIX และความเข้าใจของสถาปัตยกรรมx86 ลินุกซ์จะสันนิษฐานสำหรับการดำเนินงานลินุกซ์ เอลฟ์เข้าใจไม่จำเป็นต้องมี แต่จะช่วยให้. กระดาษนี้ไม่ได้เอกสารเทคนิคการเขียนโปรแกรมไวรัสใด ๆ อย่างมีนัยสำคัญยกเว้นผู้ที่มีเฉพาะกับสภาพแวดล้อมระบบปฏิบัติการยูนิกซ์ หรือไม่ก็พยายามที่จะทำซ้ำข้อกำหนดเอลฟ์ ผู้อ่านที่สนใจจะแนะนำในการอ่านเอกสารที่เอลฟ์ถ้าบทความนี้ก็ไม่มีความชัดเจนในรายละเอียดเอลฟ์. ไม่ใช่เอลฟ์ติดเชื้อไวรัสไฟล์ (ไฟล์ติดเชื้อ) ที่น่าสนใจ, ความคิดที่เรียบง่าย แต่สำหรับไวรัสจะทราบว่าเมื่อคุณผนวกหนึ่งที่ปฏิบัติการไปยังอีกรันปฏิบัติการเดิม แต่หลังปฏิบัติการยังคงเหมือนเดิมและเอากลับคืนและแม้กระทั่งการปฏิบัติการถ้าคัดลอกไปยังแฟ้มใหม่และดำเนินการ. # โฮสต์แมว >> ปรสิตเจ้าภาพ# mv ปรสิต# ./host ปรสิตดำเนินการตอนนี้ .. ถ้าปรสิตติดตาม ความยาวของตัวเองก็สามารถคัดลอกต้นฉบับเจ้าภาพไฟล์ใหม่แล้วรันมันเหมือนปกติทำให้ปรสิตทำงานและไวรัส ขั้นตอนวิธีการดังต่อไปนี้: * * * * รันโค้ดการทำงานพยาธิ* lseek ยังจุดสิ้นสุดของปรสิตที่* อ่านส่วนที่เหลือของไฟล์* เขียนไปยังแฟ้มใหม่* รันไฟล์ใหม่ล่มสลายด้วยวิธีนี้คือว่าที่เหลือปฏิบัติการไม่มีอีกต่อไปยังคงปลอดภัยแถบ นี้จะอธิบายเพิ่มเติมเกี่ยวกับมากขึ้นเมื่อมีความเข้าใจในรูปแบบเอลฟ์จะได้รับแต่เพื่อสรุปส่วนหัวของเอลฟ์ไม่ถือเข้าบัญชีส่วนของไฟล์ทุกครั้งและแถบเอาส่วนที่ขาดหายไป นี่คือสถานที่ตั้งของการตรวจหาไวรัสชนิดนี้ไวรัส. วิธีการเดียวกันนี้สามารถนำมาใช้ในการติดเชื้อต่อไปนี้ขั้นตอนการ LKM ที่คล้ายกัน. เค้าโครงความทรงจำของเอลฟ์ที่ปฏิบัติการภาพกระบวนการประกอบด้วย 'ส่วนข้อความ' และ 'ส่วนข้อมูล' ข้อความส่วนจะได้รับการป้องกันหน่วยความจำ RX (ตั้งแต่นี้เห็นได้ชัดว่าตนเองรหัสแก้ไขไม่สามารถนำมาใช้ในส่วนของข้อความ) ส่วนข้อมูลที่ได้รับการป้องกัน rw-. ส่วนเท่าที่เห็นจากภาพกระบวนการนี้มักจะไม่ได้ทั้งหมดใช้เป็นหน่วยความจำที่ใช้โดยกระบวนการไม่ค่อยอยู่บนเส้นขอบของหน้า(หรือเราสามารถพูดได้ไม่สอดคล้องกันในการโมดูโลขนาดหน้า) . padding เสร็จสมบูรณ์ส่วนและในทางปฏิบัติมีลักษณะเช่นนี้. สำคัญ: [... ] หน้าสมบูรณ์หน่วยความจำM ใช้ในส่วนนี้P padding หน้า Nr # 1 [PPPPMMMMMMMMMMMM] # 2 [MMMMMMMMMMMMMMMM] | - ส่วนที่3 [ MMMMMMMMMMMMPPPP] / ส่วนจะไม่ผูกพันที่จะใช้หลาย ๆ หน้าเพื่อให้ส่วนหน้าเดียวค่อนข้างเป็นไปได้. หน้า Nr # 1 [PPPPMMMMMMMMPPPP] <- ส่วนโดยปกติแล้วส่วนข้อมูลรายได้โดยตรงส่วนข้อความที่มักจะเริ่มต้นในวันหน้าแต่ ส่วนข้อมูลอาจจะไม่ รูปแบบหน่วยความจำสำหรับการให้ภาพกระบวนการจึงเป็น. สำคัญ: [... ] หน้าสมบูรณ์T ข้อความD ข้อมูลP Padding หน้า Nr # 1 [TTTTTTTTTTTTTTTT] <- ส่วนหนึ่งของส่วนข้อความ# 2 [TTTTTTTTTTTTTTTT] <- ส่วนหนึ่งของ ส่วนข้อความ# 3 [TTTTTTTTTTTTPPPP] <- ส่วนหนึ่งของส่วนข้อความ# 4 [PPPPDDDDDDDDDDDD] <- ส่วนหนึ่งของส่วนข้อมูลที่5 [DDDDDDDDDDDDDDDD] <- ส่วนหนึ่งของส่วนข้อมูล# 6 [DDDDDDDDDDDDPPPP] <- ส่วนหนึ่งของส่วนข้อมูลหน้า 1, 2, 3 เป็นส่วนข้อความหน้า4, 5, 6 เป็นส่วนข้อมูลจากที่นี่ในแผนภาพส่วนอาจใช้หน้าเดียวสำหรับความเรียบง่าย เช่นหน้า Nr # 1 [TTTTTTTTTTTTPPPP] <- ส่วนข้อความ# 2 [PPPPDDDDDDDDPPPP] <- ส่วนข้อมูลเพื่อความสมบูรณ์ในx86 ส่วนกองตั้งอยู่หลังส่วนข้อมูลให้ส่วนข้อมูลที่ว่างพอสำหรับการเจริญเติบโต ดังนั้นกองตั้งอยู่ที่ด้านบนของหน่วยความจำ (จำได้ว่ามันจะเติบโตลง). ในแฟ้มเอลฟ์ส่วนที่ใส่ได้มีร่างกายอยู่ในแฟ้มที่สมบูรณ์อธิบายข้อความและข้อมูลส่วนภาพขั้นตอนการโหลด รูปแบบเอลฟ์ง่ายสำหรับวัตถุปฏิบัติการที่เกี่ยวข้องในกรณีนี้คือ. เอลฟ์หัว.. ส่วนงานที่ 1 <- ข้อความส่วนงานที่2 <- ข้อมูล... แต่ละส่วนมีที่อยู่เสมือนที่เกี่ยวข้องกับสถานที่เริ่มต้นของรหัสแอบโซลูทที่อ้างอิงในแต่ละส่วนเป็นและได้รับอนุญาตมากน่าจะเป็น. การติดเชื้อเอลฟ์ในการใส่รหัสปรสิตหมายความว่าภาพกระบวนการจะต้องโหลดเพื่อให้รหัสเดิมและข้อมูลที่ยังคงเหมือนเดิม ซึ่งหมายความว่าใส่ปรสิตต้องใช้หน่วยความจำที่ใช้ในส่วนที่จะเพิ่มขึ้น. ส่วนข้อความที่บั่นทอนรหัสไม่เพียง แต่ยังส่วนหัวของเอลฟ์รวมถึงสิ่งต่างๆเช่นการเชื่อมโยงข้อมูลแบบไดนามิก มันอาจจะเป็นไปได้ที่จะให้ส่วนข้อความที่เป็นอยู่และสร้างส่วนอื่นประกอบด้วยรหัสปรสิต, แต่แนะนำส่วนเสริมอย่างแน่นอนที่น่าสงสัยและง่ายต่อการตรวจสอบ. หน้า padding ที่ชายแดนส่วน แต่ให้เป็นสถานที่ในทางปฏิบัติสำหรับรหัสปรสิตที่กำหนดว่าขนาดของมันสามารถ พื้นที่นี้จะไม่ยุ่งเกี่ยวกับกลุ่มเดิมที่ต้องย้ายถิ่นฐานไม่มี ต่อไปนี้แนวทางเพียงแค่กำหนด preferencing ส่วนข้อความที่เราจะเห็นว่าช่องว่างที่ในตอนท้ายของส่วนข้อความที่เป็นโซลูชั่นที่ทำงานได้. ขยายส่วนข้อความข้างหลังเป็นโซลูชั่นที่ทำงานได้และการจัดทำเอกสารและดำเนินการต่อไปในบทความนี้. ขยาย ส่วนข้อความข้างหน้าหรือขยายส่วนข้อมูลย้อนหลังจะอาจจะทับซ้อนกันส่วน ย้ายส่วนในหน่วยความจำจะก่อให้เกิดปัญหากับรหัสที่แน่นอนอ้างอิงหน่วยความจำใด ๆ . มันเป็นไปได้ที่จะขยายส่วนข้อมูลอย่างไรก็ตามเรื่องนี้ไม่ได้ต้องการเป็น UNIX มันไม่ถูกต้องแบบพกพาที่ใช้ดำเนินการป้องกันหน่วยความจำ. ปรสิตเอลฟ์ แต่จะดำเนินการ ใช้เทคนิคนี้และจะมีการอธิบายไว้ในบทความนี้. ปฏิบัติการและ LINKAGE รูปแบบสมบูรณ์มากขึ้นเอลฟ์รูปแบบปฏิบัติการ(ไม่สนใจเนื้อหาส่วน - ดูด้านล่าง). เอลฟ์หัวโปรแกรมตารางส่วนหัวส่วนงานที่1 ส่วนงานที่ 2 มาตราโต๊ะหัวตัวในทางปฏิบัตินี้คือสิ่งที่เห็นได้ตามปกติ. เอลฟ์หัวตารางส่วนหัวของโปรแกรมส่วนงานที่1 ส่วนงาน 2 ส่วนส่วนหัวของตารางส่วนที่1.. มาตรา n โดยปกติส่วนพิเศษ (ที่ไม่เกี่ยวข้องกับส่วน) เป็นเช่นสิ่งที่เป็นข้อมูลการดีบักตารางสัญลักษณ์อื่นๆจากเอลฟ์ รายละเอียด: "ส่วนหัวของเอลฟ์อยู่ที่จุดเริ่มต้นและถือ` `แผนที่ถนน '' อธิบายองค์กรของไฟล์ส่วนถือเป็นกลุ่มของแฟ้มข้อมูลวัตถุสำหรับมุมมองการเชื่อมโยง:. คำแนะนำข้อมูลตารางสัญลักษณ์ข้อมูลการย้ายถิ่นฐานและอื่น ๆใน . ... ... โปรแกรมตารางส่วนหัวถ้ามีระบบบอกวิธีการสร้างกระบวนการภาพ ไฟล์ที่ใช้ในการสร้างภาพกระบวนการ (รันโปรแกรม) จะต้องมีตารางโปรแกรมส่วนหัว; ไฟล์ relocatable ไม่จำเป็นต้องใช้ ส่วนหัวส่วนตารางมีข้อมูลอธิบายส่วนของไฟล์ ส่วนทุกคนมีรายการในตารางที่; แต่ละรายการให้ข้อมูลเช่นชื่อส่วน, ขนาดส่วนอื่น ๆ ไฟล์ที่ใช้ในระหว่างการเชื่อมโยงจะต้องมีส่วนหัวส่วนตาราง ไฟล์วัตถุอื่น ๆ ที่อาจจะหรืออาจไม่ได้หนึ่ง. ... ... ปฏิบัติการและไฟล์วัตถุที่ใช้ร่วมกันแบบคงที่เป็นตัวแทนของโปรแกรม ในการดำเนินการโครงการดังกล่าวระบบจะใช้ไฟล์ที่จะสร้างโปรแกรมแบบไดนามิกการแสดงหรือการประมวลผลภาพ ภาพกระบวนการมีส่วนที่ถือข้อความข้อมูลสแต็คและอื่น ๆ ส่วนที่สำคัญในส่วนนี้หารือเกี่ยวกับการต่อไป. ส่วนหัวของโปรแกรม ในส่วนนี้จะเติมเต็มส่วนที่ 1 อธิบายไฟล์วัตถุโครงสร้างที่เกี่ยวข้องโดยตรงกับการทำงานของโปรแกรม ข้อมูลหลักโครงสร้างตารางโปรแกรมส่วนหัวตั้งอยู่ภาพส่วนภายในไฟล์และมีข้อมูลอื่นๆ ที่จำเป็นในการสร้างภาพความทรงจำสำหรับโปรแกรม. "วัตถุเอลฟ์ยังสามารถระบุจุดเริ่มต้นของโปรแกรมที่เป็นหน่วยความจำเสมือนสถานที่ที่ถือว่าการควบคุมของโปรแกรม. ดังนั้นเพื่อเปิดใช้งานรหัสพยาธิ, การไหลของโปรแกรมจะต้องมีปรสิตใหม่. นี้สามารถทำได้โดยการซ่อมจุดเริ่มต้นในวัตถุเอลฟ์ไปยังจุด(กระโดด) โดยตรงกับปรสิต. เป็นแล้ว ความรับผิดชอบของปรสิตว่ารหัสโฮสต์จะดำเนินการ- โดยทั่วไปแล้วโดยการโอนการควบคุมกลับไปยังเจ้าภาพครั้ง

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 3:[สำเนา]

คัดลอก!

ไวรัสยูนิกซ์
-
Silvio Cesare < Silvio @ ใหญ่ สุทธิ AU >

--------

เนื้อหาปรับปรุงคู่มือนี้

unix-virus รายชื่อเบื้องต้นไม่ใช่เอลฟ์นเฟกเตอร์ไฟล์ไวรัส ( ติดเชื้อแฟ้ม )
หน่วยความจำรูปแบบของเอลฟ์ที่เอลฟ์

ส่วนการติดเชื้อไวรัส ( การติดเชื้อภายในข้อความ padding )
make-up infections
the segment data 8 ใช้ infection data )

virus wordpressข้อความส่วนไวรัส ( การติดเชื้อปรสิตการติดเชื้อโดยใช้วัตถุข้อความ )

รหัสรหัสวัตถุเชื่อมโยง

ไม่ใช้นเฟกเตอร์ ( ไม่เป็น ) เล็กน้อยรหัสปรสิต
เกินปรสิตพราย และระบุไวรัสยูนิกซ์ลินุกซ์ไวรัสปรสิต

การพัฒนาลินุกซ์ไวรัส
การปรับปรุงลินุกซ์ไวรัส

หลบเลี่ยงการตรวจจับไวรัส การตรวจหาไวรัสใน สรุปแหล่งที่มาของการติดเชื้อ

เอลฟ์ ( uuencoded )

นี้การปรับปรุงคู่มือแสดงความคิดเห็นหรือข้อเสนอแนะ ( แม้แค่ทักทาย ) โปรดติดต่อผู้เขียน
ซิลวิโอ เซ , < Silvio @ ใหญ่ สุทธิ AU > กระดาษนี้แล้วมีแผนการในอนาคต

รวมถึงเทคนิคและการติดเชื้อปรสิตที่วัตถุ เพิ่มเติมมา

รายการส่งเมล์ unix-virus

นี่เป็นกฎบัตรสำหรับยูนิกซ์ไวรัสเมล์รายการ ไวรัสถูกสร้างขึ้น

ยูนิกซ์ผม viruses in the บางปะกงที่เริ่มต้นและ point ของบิน the virus
creator , คําที่เคยน่ะเพื่อน developer writing anti-virus software . อะไรที่เกี่ยวข้องกับ Unix
ไวรัสในสภาพแวดล้อมเปิดสำหรับการอภิปราย การเขียนโปรแกรมในระดับต่ำโดยทั่วไป
เห็นในรายการ รวมถึงรหัสแหล่งที่มา เน้น
เป็นในการขยายองค์ความรู้เทคโนโลยีไวรัส และไม่กระจาย
ของไวรัสดังนั้น ไบนารีจะท้อแต่ไม่ทั้งหมดไม่รวม รายการที่ http://virus.beergrave.net
เก็บไว้และจะแนะนำสมาชิกใหม่
อ่านวัสดุที่มีอยู่ก่อนโพสต์

สมัครสมาชิกรายการส่งข้อความไปยัง majordomo@virus.beergrave.net ด้วย
'subscribe ยูนิกซ์ไวรัสในร่างกายของข้อความ

แนะนำthis สิ่ง documents the implementation ของ parasite นอกคุณ ( บางปะกง (
code virus ผักสด objects . สั้นแนะนำในการตรวจจับไวรัสยูนิกซ์และ
เลี่ยงเช่นตรวจจับ จะได้รับ การใช้ระบบ infectors ปรสิต
พรายต่าง ๆสำหรับยูนิกซ์มีให้ และเอลฟ์ไวรัสสำหรับ Linux บนสถาปัตยกรรม x86 ยังจัด

และความรู้เบื้องต้นการเขียนโปรแกรม Unix เป็นถือและความเข้าใจ
ลินุกซ์สถาปัตยกรรม x86 จะถือว่าสำหรับ Linux ใช้งาน เอลฟ์
ความเข้าใจที่ไม่บังคับแต่จะช่วย

บทความนี้ไม่มีเอกสารใด ๆที่สำคัญเทคนิคการเขียนโปรแกรมไวรัส
ยกเว้นผู้ที่เป็นเพียงสามารถใช้ได้กับระบบสิ่งแวดล้อม หรือมันพยายามเลียนแบบ
เอลฟ์ข้อกําหนด ผู้อ่านที่สนใจควร
เพื่ออ่านเอกสารถ้าเอลฟ์กระดาษนี้ไม่ชัดเจนในพรายเกร็ด

ไม่ใช่เอลฟ์นเฟกเตอร์ไฟล์ไวรัส ( ติดเชื้อแฟ้ม )

น่าสนใจ แต่คิดง่ายๆสำหรับไวรัสจะทราบว่าเมื่อคุณผนวก
หนึ่งปฏิบัติการอื่นปฏิบัติการเดิมรัน แต่ที่หลัง
ยังคงเหมือนเดิมและ retrievable และปฏิบัติการถ้าคัดลอกไฟล์ใหม่

และประหาร

การแปล กรุณารอสักครู่..

ภาษาอื่น ๆ

การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.