今天,我們來講解一個在學習Unix操作系統知識的時候,我們不可不提的知識,就是Unix操作系統的病毒問題,病毒的危害,我們大家都不是不了解,今天的我們,會更聰明的知道如何防范,但病毒制造者也同樣在進步,但萬變不離其宗,我們要了解病毒的本質。
與平台兼容的病毒
如果我們用標准C來書寫病毒代碼的話,各種不同體系的Unix操作系統對於我們來說變化不大.我們只需要對方計算機有一個C編譯器.這樣的病毒可以很輕易的擴散,利用普通用戶的.rhosts文件這種小技倆就可以做到.假如沒有exploits(是有可能的,因為病毒是跨平台的,因而它可以不借助 Exploit來四處擴散),這種可以跨平台的病毒的傳染面是非常廣的,而且似乎根本沒有結束的時候.
當然,很多Unix操作系統病毒都還是用匯編來編寫的.有很多著名的病毒,但不是第一個Linux病毒Bliss,第一次發表於1997年.Bliss傳染 ELF格式的二進制文件,但是並沒有太多的傷害.它甚至可以利用被感染文件的--bliss-disinfect-files-please參數來卸載. 假如你需要在你的文件裡查找Bliss,注意以下字段:
- E8ABD8FFFFC200003634 65643134373130363532
最早的Linux病毒是Staog,比Bliss早半年.它用匯編書寫並且利用三個/dev/kmem的exploits來獲得的特權,它可以感染任何文件並且可以傳播. 它的關鍵字段:
- 215B31C966B9FF0131C0 884309884314B00FCD80
當我們利用ELF格式的二進制文件來做病毒:這種病毒被譽為計算機病毒中的標准模式--他們用匯編編寫並且它們通過可執行程序感染,很象典型的 DOS下的病毒.可以通過往elf文件的文本段之後的填充區增加代碼來感染ELF文件,搜索Unix操作系統目錄樹中文件的ET_EXEC和ET_DYN標記看看是否被隱藏(這些依靠管理員自身的經驗).
當然,在Linux系統下實現這種病毒並不太容易.一個病毒感染的文件屬於是普通用戶權限的話,那麼病毒所得到的權限當然也就只有普通用戶權限 (並且病毒不會利用Exploit來提升權限),只能對該用戶權限級別的文件和數據造成危害.但是當一個病毒感染了一個root權限的文件的話,那麼它就可以控制系統的一切了.
我們安全麼? 一個很實際的問題.
現在我們的Linux系統還可能比較安全.但以後不代表一致這樣.Linux系統越來越流行,這將引來一大批的病毒制造者的目光.很多用戶都有可能是潛在的病毒制造者,而且如果把Unix的很多用戶對Unix本身的了解正在減少算在內的話,我們就麻煩了.
現在已經有了一些 Linux系統上的反病毒程序.現在甚至包括我還有很多Unix的系統管理員在內都對制造反病毒程序非常感興趣.在一個蠕蟲出現之後,我們可以查閱各種文檔,甚至書籍.所以我們都一直也在努力著.
