恶意代码防范技术笔记（四）

Linux恶意代码技术

1.Linux公共误区

一个最大的误区就是很多高性能的安全操作系统可以预防计算机病毒。
另一个误区就是认为Linux系统尤其可以防止病毒的感染，因为Linux的程序都来自于源代码，不是二进制格式。
第三个误区就是认为Linux系统是绝对安全的，因为它具有很多不同的平台，而且每个版本的Linux系统有很大的不一样。

2.Linux病毒分类

1. Shell脚本病毒
2. 蠕虫病毒
3. 欺骗库函数
4. 与平台兼容的病毒

3.Linux文件格式（ELF）

ELF文件服务于在不同的操作系统上目标文件的创建或者执行文件的开发
它分以下三个部分：
① “目标文件”描述了ELF目标文件格式三种主要的类型。
② “程序装载和动态连接”描述了目标文件的信息和系统在创建运行时程序的行为。
③ “C 语言库”列出了所有包含在libsys中的符号、标准的ANSIC和libc的运行程序，还有libc运行程序所需的全局的数据符号

4.Linux的文件类型

一个可重定位文件(relocatable file)保存着代码和适当的数据，用来和其他的目标文件一起来创建一个可执行文件或者是一个共享文件(.o)。
一个可执行文件(executable file)保存着一个用来执行的程序。
一个共享目标文件（shared object file）保存着代码和合适的数据(.so)，用来被下面的两个链接器链接。第一个是链接编辑器，可以和其他的重定位和共享目标文件来创建另一个目标文件。第二个是动态链接器，联合一个可执行文件和其他的共享目标文件来创建一个进程映象。

5.ELF文件病毒感染原理

无关ELF格式感染方法：简单感染

• 覆盖式感染
  
  感染方法
  

• 追加式感染

  将病毒体直接追加到宿主文件中，或者将宿主追加到病毒体之后，并不存在覆盖宿主文件的行为，从而宿主文件被感染成单纯的病毒体和原宿主文件的合体，在病毒文件执行后交换控制权给宿主文件

相关ELF格式感染方法：复杂感染