Unix/ELF文件格式及病毒分析
[Silvio Cesare]
介绍
本文介绍了Unix病毒机制、具体实现以及ELF文件格式。简述了Unix病毒检测和反检
测技术,提供了Linux/i386架构下的一些例子。需要一些初步的Unix编程经验,能够
理解Linux/i386下汇编语言,如果理解ELF本身更好。
本文没有任何实际意义上的病毒编程技术,仅仅是把病毒原理应用到Unix环境下。这
里也不打算从头介绍ELF规范,感兴趣的读者请自行阅读ELF规范。
感染 ELF 格式文件
进程映象包含"文本段"和"数据段",文本段的内存保护属性是r-x,因此一般自修改
代码不能用于文本段。数据段的内存保护属性是rw-。
段并不要求是页尺寸的整数倍,这里用到了填充。
关键字:
[...] 一个完整的页
M 已经使用了的内存
P 填充
页号
#1 [PPPPMMMMMMMMMMMM] #2 [MMMMMMMMMMMMMMMM] |-- 一个段
#3 [MMMMMMMMMMMMPPPP] /
段并没有限制一定使用多个页,因此单页的段是允许的。
页号
#1 [PPPPMMMMMMMMPPPP] <-- 一个段
典型的,数据段不需要从页边界开始,而文本段要求起始页边界对齐,一个进程映象
的内存布局可能如下:
关键字:
[...] 一个完整的页
T 文本段内容
D 数据段内容
P 填充
页号
#1 [TTTTTTTTTTTTTTTT] <-- 文本段内容
#2 [TTTTTTTTTTTTTTTT] <-- 文本段内容
#3 [TTTTTTTTTTTTPPPP] <-- 文本段内容(部分)
#4 [PPPPDDDDDDDDDDDD] <-- 数据段内容(部分)
#5 [DDDDDDDDDDDDDDDD] <-- 数据段内容
#6 [DDDDDDDDDDDDPPPP] <-- 数据段内容(部分)
页1、2、3组成了文本段
页4、5、6组成了数据段
从现在开始,为简便起见,段描述图表用单页,如下:
页号
#1 [TTTTTTTTTTTTPPPP] <-- 文本段
#2 [PPPPDDDDDDDDPPPP] <-- 数据段
在i386下,堆栈段总是在数据段被给予足够空间之后才定位的,一般堆栈位于内存高
端,它是向低端增长的。
在ELF文件中,可装载段都是物理映象:
ELF Header
.
.
Segment 1 <-- 文本段
Segment 2 <-- 数据段
.
.
每个段都有一个定位自身起始位置的虚拟地址。可以在代码中使用这个地址。
为了插入寄生代码,必须保证原来的代码不被破坏,因此需要扩展相应段所需内存。
文本段事实上不仅仅包含代码,还有 ELF 头,其中包含动态链接信息等等。如果直
接扩展文本段插入寄生代码,带来的问题很多,比如引用绝对地址等问题。可以考虑
保持文本段不变,额外增加一个段存放寄生代码。然而引入一个额外的段的确容易引
起怀疑,很容易被发现。
向高端扩展文本段或者向低端扩展数据段都有可能引起段重叠,在内存中重定位一个
段又会使那些引用了绝对地址的代码产生问题。可以考虑向高端扩展数据段,这不是
个好主意,有些Unix完整地实现了内存保护机制,数据段是不可执行的。
段边界上的页填充提供了插入寄生代码的地方,只要空间允许。在这里插入寄生代码
不破坏原有段内容,不要求重定位。文本段结尾处的页填充是个很好的地方,最后看
上去象下面这个样子:
关键字:
[...] 一个完整的页
V 寄生代码
T 文本段内容
D 数据段内容
P 填充
页号
#1 [TTTTTTTTTTTTVVPP] <-- 文本段
#2 [PPPPDDDDDDDDPPPP] <-- 数据段
一个更完整的ELF可执行布局如下:
ELF Header
Program header table
Segment 1
Segment 2
Section header table
Section 1
.
.
Section n
典型的,额外的节(那些没有相应段的节)用于存放调试信息、符号表等等。
下面是一些来自 ELF 规范的内容:
ELF 头位于最开始,保存一张"road map",描述了文件的组织结构。节保存大量链接
信息、符号表、重定位信息等等。
如果存在一个"program header table",将告诉操作系统如何建立进程映象(执行一
个程序)。可执行文件必须有一个"program header table",可重定位的文件不需要
该表。"section header table"描述了文件的节组织。每个节在该表中都有一个表项,
表项包含了诸如节名、节尺寸等信息。链接过程中被用到的文件自身必须有一个
"section header table",其他目标文件可有可无该表。
插入寄生代码之后,ELF 文件布局如下:
ELF Header
Program header table
Segment 1 - 文本段(主体代码)
- 寄生代码
Segment 2
Section header table
Section 1
.
.
Section n
寄生代码必须物理插入到ELF文件中,文本段必须扩展以包含新代码。
下面的信息来自/usr/include/elf.h
/* The ELF file header. This appears at the start of every ELF file. */
#define EI_NIDENT (16)
typedef struct
{
unsigned char e_ident[EI_NIDENT]; /* Magic number and other info */
Elf32_Half e_type; /* Object file type */
Elf32_Half e_machine; /* Architecture */
Elf32_Word e_version; /* Object file version */
Elf32_Addr e_entry; /* Entry point virtual address */
Elf32_Off e_phoff; /* Program header table file offset */
Elf32_Off e_shoff; /* Section header table file offset */
Elf32_Word e_flags; /* Processor-specific flags */
Elf32_Half e_ehsize; /* ELF header size in bytes */
Elf32_Half e_phentsize; /* Program header table entry size */
Elf32_Half e_phnum; /* Program header table entry count */
Elf32_Half e_shentsize; /* Section header table entry size */
Elf32_Half e_shnum; /* Section header table entry count */
Elf32_Half e_shstrndx; /* Section header string table index */
} Elf32_Ehdr;
e_entry 保存了程序入口点的虚拟地址。
e_phoff 是"program header table"在文件中的偏移。因此为了读取
"program header table",需要调用lseek()定位该表。
e_shoff 是"section header table"在文件中的偏移。该表位于文件尾部,在文本段
尾部插入寄生代码之后,必须更新e_shoff指向新的偏移。
/* Program segment header. */
typedef struct
{
Elf32_Word p_type; /* Segment type */
Elf32_Off p_offset; /* Segment file offset */
Elf32_Addr p_vaddr; /* Segment virtual address */
Elf32_Addr p_paddr; /* Segment physical address */
Elf32_Word p_filesz; /* Segment size in file */
Elf32_Word p_memsz; /* Segment size in memory */
Elf32_Word p_flags; /* Segment flags */
Elf32_Word p_align; /* Segment alignment */
} Elf32_Phdr;
可装载段(文本段/数据段)在"program header"中由成员变量p_type标识出是可装载
的,其值为PT_LOAD (1)。与"ELF header"中的e_shoff一样,这里的p_offset成员
必须在插入寄生代码后更新以指向新偏移。
p_vaddr 指定了段的起始虚拟地址。以p_vaddr为基地址,重新计算e_entry,就可以
指定程序流从何处开始。
可以利用p_vaddr指定程序流从何处开始。
p_filesz 和 p_memsz 分别对应该段占用的文件尺寸和内存尺寸。
.bss 节对应数据段里未初始化的数据部分。我们不想让未初始化的数据占用文件空
间,但是进程映象必须保证能够分配足够的内存空间。.bss 节位于数据段尾部,任
何超过文件尺寸的定位都假设位于该节中。
/* Section header. */
typedef struct
{
Elf32_Word sh_name; /* Section name (string tbl index) */
Elf32_Word sh_type; /* Section type */
Elf32_Word sh_flags; /* Section flags */
Elf32_Addr sh_addr; /* Section virtual addr at execution */
Elf32_Off sh_offset; /* Section file offset */
Elf32_Word sh_size; /* Section size in bytes */
Elf32_Word sh_link; /* Link to another section */
Elf32_Word sh_info; /* Additional section information */
Elf32_Word sh_addralign; /* Section alignment */
Elf32_Word sh_entsize; /* Entry size if section holds table */
} Elf32_Shdr;
sh_offset 指定了节在文件中的偏移。
为了在文本段末尾插入寄生代码,我们必须做下列事情:
* 修正"ELF header"中的 p_shoff
* 定位"text segment program header"
* 修正 p_filesz
* 修正 p_memsz
* 对于文本段phdr之后的其他phdr
* 修正 p_offset
* 对于那些因插入寄生代码影响偏移的每节的shdr
* 修正 sh_offset
* 在文件中物理地插入寄生代码到这个位置
text segment p_offset + p_filesz (original)
这里存在一个大问题,ELF 规范中指出,
p_vaddr mod PAGE_SIZE == p_offset mod PAGE_SIZE
为了满足这个要求:
* 修正"ELF header"中的 p_shoff ,增加 PAGE_SIZE 大小
* 定位"text segment program header"
* 修正 p_filesz
* 修正 p_memsz
* 对于文本段phdr之后的其他phdr
* 修正 p_offset ,增加 PAGE_SIZE 大小
* 对于那些因插入寄生代码影响偏移的每节的shdr
* 修正 sh_offset ,增加 PAGE_SIZE 大小
* 在文件中物理地插入寄生代码以及填充(确保构成一个完整页)到这个位置
text segment p_offset + p_filesz (original)
我们还需要修正程序入口点的虚拟地址,使得寄生代码先于宿主代码执行。同时需要
在寄生代码尾部能够跳转回宿主代码原入口点继续正常流程。
* 修正"ELF header"中的 p_shoff ,增加 PAGE_SIZE 大小
* 修正寄生代码的尾部,使之能够跳转回宿主代码原入口点
* 定位"text segment program header"
* 修正 "ELF header"中的 e_entry ,指向 p_vaddr + p_filesz
* 修正 p_filesz
* 修正 p_memsz
* 对于文本段phdr之后的其他phdr
* 修正 p_offset ,增加 PAGE_SIZE 大小
* 对于文本段的最后一个shdr
* 修正sh_len(应该是sh_size吧,不确定),增加寄生代码大小
* 对于那些因插入寄生代码影响偏移的每节的shdr
* 修正 sh_offset ,增加 PAGE_SIZE 大小
* 在文件中物理地插入寄生代码以及填充(确保构成一个完整页)到这个位置
text segment p_offset + p_filesz (original)
病毒可以随机遍历一个目录树,寻找那些e_type等于 ET_EXEC 或者 ET_DYN 的文件,
加以感染,这分别是可执行文件和动态链接库文件。
分析Linux病毒
病毒要求不使用库,避开libc,转而使用系统调用机制。
为了动态申请堆内存用于phdr table和shdr table,应该使用brk系统调用。
利用与缓冲区溢出相同的技术取得常量字符串的地址。
使用gcc -S编译c代码,观察调整asm代码。
注意在进入/离开寄生代码的时候保存/恢复寄存器。
利用objdump -D观察调整一些需要确定的偏移量。
检测病毒
这里描述的病毒很容易检测。最显眼的是程序入口点不在常规节中,甚至干脆不在任
何节中。清理病毒的过程和感染病毒的过程类似。
用objdump --all-headers很容易定位程序入口点,用objdump --disassemble-all
跟踪下去就可以得到程序原入口点。
缺省程序入口点是_start,但是可以在链接的时候更改它。
结论
Unix病毒尽管不流行,但的确可行。