今天，我們來講解一個在學習Unix操作系統(tǒng)知識的時候，我們不可不提的知識，就是Unix操作系統(tǒng)的病毒問題，病毒的危害，我們大家都不是不了解，今天的我們，會更聰明的知道如何防范，但病毒制造者也同樣在進步，但萬變不離其宗，我們要了解病毒的本質(zhì)。

與平臺兼容的病毒

如果我們用標準C來書寫病毒代碼的話,各種不同體系的Unix操作系統(tǒng)對于我們來說變化不大.我們只需要對方計算機有一個C編譯器.這樣的病毒可以很輕易的擴散,利用普通用戶的.rhosts文件這種小技倆就可以做到.假如沒有exploits(是有可能的,因為病毒是跨平臺的,因而它可以不借助 Exploit來四處擴散),這種可以跨平臺的病毒的傳染面是非常廣的,而且似乎根本沒有結(jié)束的時候.

當然,很多Unix操作系統(tǒng)病毒都還是用匯編來編寫的.有很多著名的病毒,但不是第一個Linux病毒Bliss,第一次發(fā)表于1997年.Bliss傳染 ELF格式的二進制文件,但是并沒有太多的傷害.它甚至可以利用被感染文件的--bliss-disinfect-files-please參數(shù)來卸載. 假如你需要在你的文件里查找Bliss,注意以下字段:

E8ABD8FFFFC200003634 65643134373130363532  

最早的Linux病毒是Staog,比Bliss早半年.它用匯編書寫并且利用三個/dev/kmem的exploits來獲得的特權(quán),它可以感染任何文件并且可以傳播. 它的關(guān)鍵字段:

215B31C966B9FF0131C0 884309884314B00FCD80 

當我們利用ELF格式的二進制文件來做病毒:這種病毒被譽為計算機病毒中的標準模式--他們用匯編編寫并且它們通過可執(zhí)行程序感染,很象典型的 DOS下的病毒.可以通過往elf文件的文本段之后的填充區(qū)增加代碼來感染ELF文件,搜索Unix操作系統(tǒng)目錄樹中文件的ET_EXEC和ET_DYN標記看看是否被隱藏(這些依靠管理員自身的經(jīng)驗).

當然,在Linux系統(tǒng)下實現(xiàn)這種病毒并不太容易.一個病毒感染的文件屬于是普通用戶權(quán)限的話,那么病毒所得到的權(quán)限當然也就只有普通用戶權(quán)限 (并且病毒不會利用Exploit來提升權(quán)限),只能對該用戶權(quán)限級別的文件和數(shù)據(jù)造成危害.但是當一個病毒感染了一個root權(quán)限的文件的話,那么它就可以控制系統(tǒng)的一切了.

我們安全么? 一個很實際的問題.

現(xiàn)在我們的Linux系統(tǒng)還可能比較安全.但以后不代表一致這樣.Linux系統(tǒng)越來越流行,這將引來一大批的病毒制造者的目光.很多用戶都有可能是潛在的病毒制造者,而且如果把Unix的很多用戶對Unix本身的了解正在減少算在內(nèi)的話,我們就麻煩了.

現(xiàn)在已經(jīng)有了一些 Linux系統(tǒng)上的反病毒程序.現(xiàn)在甚至包括我還有很多Unix的系統(tǒng)管理員在內(nèi)都對制造反病毒程序非常感興趣.在一個蠕蟲出現(xiàn)之后,我們可以查閱各種文檔,甚至書籍.所以我們都一直也在努力著.

【編輯推薦】

1. Unix操作系統(tǒng)病毒之ELK CLONER
2. 舉例Unix操作系統(tǒng)gzip命令的使用
3. 簡析Unix操作系統(tǒng)gzip命令
4. 舉例解釋Unix操作系統(tǒng)tar命令
5. 學習筆記Unix操作系統(tǒng)tar命令