Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Не секрет, что у операционных систем Windows NT и UNIX много общего, и механизм заражения ELF/COFF/a.out файлов с высоты птичьего полета ничем не отличается от заражения форматов семейства NewExe. Тем не менее, при всем поверхностном сходстве между ними есть и различия.
Существует по меньшей мере три принципиально различных способа заражения файлов, распространяемых в формате a.out:
n «поглощение» оригинального файла с последующей его записью в tmp и удалением после завершения выполнения (или – «ручная» загрузка файла-жертвы как вариант);
n расширение последней секции файла и дозапись своего тела в ее конец;
n сжатие части оригинального файла и внедрение своего тела на освободившееся место.
Переход на файлы формата ELF или COFF добавляет еще четыре:
n расширение кодовой секции файла и внедрение своего тела на освободившееся место;
n сдвиг кодовой секции вниз с последующей записью своего тела в ее начало;
n создание своей собственной секции в начале, середине или конце файла;
n внедрение между файлом и заголовком.
Внедрившись в файл, вирус должен перехватить на себя управление, что обычно осуществляется следующими путями:
n созданием собственного заголовка и собственного сегмента кода/данных, перекрывающего уже существующий;
n коррекцией точки входа в заголовке файла-жертвы;
n внедрением в исполняемый код файла-жертвы команды перехода на свое тело;
n модификацией таблицы импорта (в терминологии a.out – таблицы символов) для подмены функций, что особенно актуально для Stealth-вирусов.
Всем этим махинациям (кроме приема с «поглощением») очень трудно остаться незамеченными, и факт заражения в подавляющем большинстве случаев удается определить простым визуальным просмотром дизассемблерного листинга анализируемого файла. Подробнее об этом мы поговорим чуточку позже, а пока обратим свое внимание на механизмы системных вызовов, используемые вирусами для обеспечения минимально необходимого уровня жизнедеятельности.
Для нормального функционирования вирусу необходимы по меньшей мере четыре основных функции для работы с файлами (как то: открытие/закрытие/чтение/запись файла) и опционально функция поиска файлов на диске/сети. В противном случае вирус просто не сможет реализовать свои репродуктивные возможности, и это уже не вирус получится, а Троянский Конь!
Существует по меньшей мере три пути для решения этой задачи: