Winux病毒感染Linux下ELF文件的分析

Einux操作系统越来越广泛的应用,针对它的病毒也越来越多。大部分病毒都是感染ELF文件的。本文主要深入分析 了Linux操作系统下Winux病毒源代码感染ELF文件的机制。     

Linux/Unix环境中ELF格式病毒的分析

结合Linux／Unix病毒实例,分析了Linux／Unix系统ELF文件格式病毒的原理,并从5个方面讲述了实现的关键技术：病毒体寄生ELF文件技术,寄主程序入口重定位,病毒体地址无关代码,LKM可重载内核技术以及网络功能的实现。最后,提出了对这一类病毒检测与防范的方法及策略。     

Linux系统病毒防治详解

Linux病毒的历史1996年出现的Staog是Linux系统下的第一个病毒,它出自澳大利亚一个叫VLAD的组织。Staog病毒是用汇编语言编写,专门感染二进制文件,并通过三种方式去尝试得到root权限。Staog病毒并不会对系统有什么实质性的损坏,它应该算是一个演示版,但它向世人揭示了Linux可能被病毒感染的潜在危险。     

如何做好Linux病毒系统的防护

当心Linux病毒在Linux出现之初,由于其最初的优秀设计,似乎具有先天病毒免疫能力,所以当时有许多人相信不会有针对Linux的病毒出现,但是Linux终于也不能例外。1996年秋,澳大利亚一个叫VLAD的组织用汇编语言编写了据称是Linux系统下的第一个病毒的Staog,它专门感染二进制文件,并通过三种方式去尝试得到root权限。当然,设计Staog病毒只是为了演示和证明Linux有O和的们病但多域可病毒     

ELF目标文件的裁剪方法研究

为了进一步减小嵌入式ELF目标文件的体积,去除ELF文件内的冗余信息,提出了一种直接使用ELF目标文件进行嵌入式Linux裁减的方法;通过分析ELF文件内函数的调用关系,删除其中的无用函数,给出了重定位ELF文件的裁剪过程。结果验证了该裁剪方法的可行性、正确性和有效性。     

危险的七月十三日病毒

危险的七月十三日病毒湖南株洲电力机车厂计算中心（４１２００１）朱红卫一、病毒的特征七月十三日病毒是文件型病毒，感染大部分ＣＯＭ文件和ＥＸＥ文件，同时也感染Ｃ盘的主引导记录，病毒长度为Ｃ００Ｈ个字节。病毒感染文件的标志是ＣＯＭ文件第４、５字节为０７１３...     

3783病毒及解毒程序K3783.COM

3783病毒是一种新型病毒,用KV300(B)版等杀病毒软件均不能清除该病毒。本病毒不仅感染DOS下的绝大部分文件,也感染WINDOWS下的大部分文件,而且还感染磁盘引导扇区,严重地影响了计算机的正常工作。 被感染文件的长度增加了3783个字节,只有用无毒的系统盘启动计算机才能看出文件长度的变化。被该病毒感染的计算机,对软盘不能进行正常操作。     

基于MAC的ELF文件执行安全性的提高

随着Linux操作系统的应用与普及，其安全性也受到人们的广泛关注。在描述了消息鉴别码(MAC)计算和ELF文件格式之后，提出了保证ELF文件安全执行的方法，并对存在的问题进行了分析，给出了可行的解决办法。实验结果表明该方法是实际可行的。     

Linux寄生程序加载动态库的研究与实现

寄生程序是指注入到可执行文件中的程序代码,被广泛地应用在二进制文件加解密、版权保护等领域。病毒也是寄生程序的一种。Linux下的寄生程序很难利用宿主没有加载的动态连接库,使其功能受到很大限制。该文通过对ELF动态连接机制的研究,采用了一种寄生程序通过proc文件系统进行加载和利用动态库的方法,并对这种方法进行了实现。     

2048病毒

最近广州出现了一种新病毒,用目前人们使用的KILL和SCAN软件,不能查出或清除该病毒.由于受该病毒感染的EXE文件都增长2048字节,故笔者称之为2048病毒.2048病毒是一种文件型病毒,但它只感染EXE文件,而不感染COM文件.2048病毒和许多病毒一样,在功能调用INT 21H和磁盘中断INT 13H上做文章.但2048病毒与众不同的地方在于它在设置病毒INT 21H和病毒INT13H时,并没有修改中断向量表中记录的INT 21H和INT 13H的入口地址,而是采用了移花接木的手法.     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

一种新病毒的清除方法

笔者最近在使用本校的微机时,发现了一个奇怪现象:用dir命令列磁盘文件目录时,文件名的显示速度较迟缓,还有停顿现象,尤其在显示可执行文件名时更为严重。通过对内存及磁盘文件的分析发现,这是一种新病毒在作怪。这种病毒用CPAV1.2、SCAN V91及kill50均无法查出,在众多资料中也无关于这种病毒的介绍。由于这种病毒感染COM文件后会使文件的长度增加1757个字节,所以笔者暂称它为“1757病毒”。     

强强联手，彻底剿灭病毒

如果你经常上网，你一定会遇到下列情况： 第一种情况：上网时，开着病毒防火墙，提示有病毒，但杀不了。被病毒感染的文件既不能清除病毒，也不能删除!     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

让Linux防范病毒

对使用Windows的人来说,病毒无处不在,各种各样的新型病毒层出不穷,近年来,一种类似Unix的操作系统也在发展壮大,开始走进我们的视野,并在各领域内得到应用,它就是Linux系统,对于受病毒困扰的用户来说,Linux会是一块没有病毒的乐土吗?     

Linux病毒分析与防范的探究

日常生活中Windows的病毒已经习惯而且有着诸多的处理办法,但对越来越多的Linux病毒研究和处理办法较少。对本文着重分析了Linux下五种病毒的类型和原理,并对Linux病毒的防范提出了病毒防范并非仅仅是查杀病毒,而是要对Linux平台全面的系统的安全管理,是一个长期的、细致的过程的理念,同时具体给出了Linux病毒防范的五点建议。     

Linux病毒分类以及防范方法

Linux的用户也许听说甚至遇到过一些Linux病毒，这些Linux病毒的原理和发作症状各不相同，所以采取的防范方法也各不相同。     

Linux下的病毒防范技巧

对使用Windows的人来说，病毒无处不在，各种各样的新型病毒层出不穷，近年来，一种类似Unix的操作系统也在发展壮大，开始走进我们的视野，并在各领域内得到应用，它就是Linux系统，对于受病毒困扰的用户来说，Linux会是一块没有病毒的乐土吗？[编者按]