事先声明本文所述制作简易病毒的操作只适用于计算机系统这门课中加深对于ELF可执行文件的理解是一个等价的“安全实验版本”禁止用于其他违反法律的用途我们的目的是感染干净程序让被感染的程序先输出“Welcome to HNU CSAPP!”然后再执行原有的后续功能并检测同一目录下未被感染的所有文件将它们全部感染。一、可执行文件的核心结构Linux下64位1、ELF 文件头存整个文件核心信息最重要字段 操作系统把程序加载到内存后CPU 第一条执行指令的虚拟地址。2、程序头表 Program Header Table告诉操作系统这个文件有哪些段、每一段在文件里偏移多少、加载到内存哪个地址、权限是什么可读 / 可写 / 可执行。 我们程序正常代码段 .text 就是一个LOAD类型、R-X只读可执行权限的段。3、节区头表 Section Header Table调试、链接用运行时操作系统不读取。4、文件数据段.text代码段原程序所有指令、.data数据段、文件尾部对齐填充空白区与普通.c文件的区别.c是纯文本源码直接字符串插入即可完成感染而ELF 是二进制机器码文件不能直接改字符串需要修改程序内存布局、注入恶意指令、修改程序入口地址实现运行优先执行病毒逻辑再跳转回原程序正常功能。因此想要感染可执行文件的难度更大。二、感染步骤步骤一制作病毒标记避免重复感染 先做防重复感染校验1、在 ELF 文件尾部空闲对齐区域写入一段固定魔数比如HNUCSAPP_VIRUS2、程序运行 / 扫描时先读取文件末尾检查有没有这个标记3、有标记 已经感染跳过无标记 健康文件执行感染。部分代码如下步骤二编写位置无关 PIC 病毒机器码病毒完整逻辑1、打印 Welcome to HNU CSAPP!2、遍历当前目录所有 ELF 可执行文件3、对未感染文件重复整套感染流程4、所有传染工作做完无条件跳回原程序入口让原程序正常运行这里有一个硬性要求必须编译成PIC位置无关代码因为①ELF 每个程序加载地址都不固定绝对地址跳转一定会崩溃②PIC 代码不依赖固定内存地址无论加载到内存哪个位置都能正常执行编写PIC位置无关代码的步骤访问字符串必须用 RIP相对寻址不能访问绝对地址—函数调用汇编代码中的call是相对跳转自动变成 PIC—跳回原程序入口用 RIP 找到存储的原始入口—保护现场不破坏宿主程序寄存器部分代码如下步骤三追加病毒代码到 ELF 文件尾部1、把编译好的病毒二进制机器码拼接在原 ELF 文件的最末尾2、利用 ELF 天然的页对齐冗余空间不破坏原有任何正常代码3、计算病毒代码在文件内的偏移、加载到内存后的虚拟地址部分代码如下步骤四修改程序头表新增可执行 LOAD 段核心关键操作系统只会加载程序头表里声明的 LOAD 段到内存执行1、在原有程序头表末尾新增一个 Program Header 项2、类型PT_LOAD操作系统必须加载到内存3、权限R-X 只读 可执行和原代码段权限完全一致合法合规4、填写病毒代码在文件里的偏移、文件大小、内存虚拟地址、内存大小5、更新整个 ELF 文件的总大小做完这一步程序运行时操作系统会自动把我们的病毒代码和原程序一起加载进进程内存。部分代码如下步骤五劫持程序入口 Entry Point感染灵魂操作1、先备份原来的程序入口地址存到病毒代码固定位置2、修改 ELF 文件头里的Entry Point字段把原本指向原程序第一行指令的地址 → 改成我们病毒代码的起始内存地址效果程序一启动CPU 不再先跑原程序优先执行我们的病毒代码部分代码如下步骤六病毒收尾长跳转RIP还原原程序执行病毒代码执行完所有逻辑打印标语 传染其他文件后最后加一条无条件跳转指令 jmp 原程序备份入口地址这样执行完病毒立刻跳回原来程序的正常起点原程序功能完全不受影响用户完全感知不到异常病毒隐蔽性极强。部分代码如下这样我们就执行完了病毒感染的六个步骤总结下来就是追加病毒二进制代码→修改 ELF 段结构与地址对齐→劫持程序入口点→优先执行病毒传播逻辑→跳转回原程序正常运行→写入标记防止重复感染。感染后程序完整运行链路自我复制、横向感染、不破坏原程序功能操作系统加载 ELF 到内存→ CPU 从新入口病毒地址取指令执行→ 执行病毒打印标语 → 遍历目录感染其他 ELF 文件→ 病毒执行完毕RIP相对跳转回到原始程序入口→ 原程序正常执行自己原本所有功能。三、ELF 感染三大核心准则1、地址对齐严格约束ELF 所有段必须按内存页大小对齐偏移地址不满足对齐要求操作系统拒绝加载程序无法运行。2、地址重定位问题动态链接ELF不能用绝对地址全程必须用PIC位置无关编码否则换环境程序直接错误崩溃。3、栈上下文不破坏病毒代码必须保存并恢复所有寄存器、栈基址不能打乱原程序栈布局不然原程序运行异常、崩溃。与感染.c文件进行对比感染对象修改方式格式约束.c文本源码 易字符串文本插入几乎无约束ELF可执行文件 难追加代码段、修改程序头、劫持入口地址严格 ELF 格式、页对齐、地址合法四、实际操作讲完了理论我们在Ubuntu里面实际操作一下体会这个流程。这里我们使用Ubuntu自带的一个编辑器来保存我们的代码如果使用vim的话可能需要另外安装稍微麻烦点。先编写干净文件1、直接输入nano clean.c2、打开后粘贴下面代码进去#include stdio.h int main() { printf(我是干净程序\n); return 0; }然后按CtrlO保存回车后再按CtrlX退出。之后想要再查看依旧是输入nano clean.c3、编译干净程序gcc clean.c -o clean输入以上代码将clean.c文件编译生成可执行文件ELF。输入ls会看到其中的clean.c就是一开始编辑的源文件而clean就是编译生成的ELF可执行文件。4、运行干净程序./clean运行后你会看到证明干净程序无误。接下来编写病毒代码5、输入nano virus.c进入编辑器后粘贴以下代码#include stdio.h #include stdlib.h #include string.h int main() { FILE *in fopen(clean.c, r); FILE *out fopen(infected.c, w); if (!in || !out) { printf(文件打开失败\n); return 1; } char line[256]; while (fgets(line, sizeof(line), in)) { // 找到 main 函数插入病毒代码 if (strstr(line, int main())) { fputs(line, out); fputs( printf(\Welcome to HNU CSAPP!\\n\);\n, out); continue; } fputs(line, out); } fclose(in); fclose(out); printf(感染完成生成 infected.c\n); return 0; }然后按CtrlO保存回车后再按CtrlX退出。6、编译病毒程序gcc virus.c -o virus7、执行感染./virus8、感染完成你会看到9、检查感染结果很重要cat infected.c你应该看到这是感染后的等效C代码。10、编译“被感染”程序gcc infected.c -o infected11、运行最终程序./infected你会看到输出被感染后的文件先执行了病毒代码然后再执行原有程序 符合预期说明我们设计的病毒正确。五、中途报错可能出现的问题1、gcc不存在输入sudo apt update sudo apt install build-essential -y更新软件列表安装开发环境实际上就是给你的Ubuntu安装编译器否则.c文件无法编译生成ELF可执行文件。2、权限不足有时候你运行./clean会报Permission denied是因为文件没有执行权限。解决办法是输入chmod x clean然后重新运行./clean。这条指令的意思是给clean文件加上executable可执行权限。3、strstr未声明或编译报错在写病毒程序virus.c时可能会看到warning: implicit declaration of function ‘strstr’或者直接报错。是因为我们代码里写了strstr(line, int main())但没有包含头文件。正确做法是在virus.c开头加上#include string.h完整的正确头部应该是这样的#include stdio.h #include stdlib.h #include string.h因为strstr()是字符串处理函数它定义在string.h里。编译器有时候只是 warning不是 error所以这个疏忽很容易忽略。再次声明本实验所编写的病毒代码为简易且安全实验版本不具备侵入其他文件的能力仅用于学习与参考。请勿利用有关知识危害网络安全本文中代码如有错误欢迎指正