: → SupCat: 最好linux不会中... 05/15 15:34
: 当然不会中啊,电脑病毒蛮低等的,大概类似真实世界游击队小米加步枪的等级而已,只能
: 对付一些“几乎裸体”不设防的系统。
:
: GNU/Linux很难玩病毒的,要攻破一个GNU/Linux系统都是要用装甲师等级的,要不是派高
: 级特务渗透(带着usb随身碟,骗到一个Linux系统的最高权限者的ID card跟登入金钥或密
: 码亲身物理性侵入,就像电影里面演的那样),不然就是用搞类似装甲师等级的直接撞一
: 个Linux系统(五台、十台电脑围殴一台),成本超高,而对方皮很厚的话,你可能还要加
: 更多人力、电脑来破,如果不是高价值的GNU/Linux系统,谁无聊要去破解呢?
:
既然提到病毒这事情 顺便来说说好了
本人不是系统专业 讲错可以帮忙纠正一下
windows 的病毒主要是寄身在执行党(.exe)上面 (废话)
windows exe 档案用的是 PE 格式 里面最重要的还是 symbol table
https://msdn.microsoft.com/en-us/library/ms809762.aspx
一般病毒是通过修改PE的 table 来执行病毒码
举例来说 假设程式里面 有执行到 open() 这个函式
病毒会去修改 open() 的entry point
让他先去执行病毒码 再跳回去执行正常的 open()
这过程叫做 injection 就是 注入病毒码的意思
在windows中 最会被注入程式码的档案就是 kernel32.dll 跟 user32.dll
因为这两个是windows的系统函式库 所有的执行档都会用到它们
所以常常有人会问 明明没有执行到被感染的档案 为什么还会中毒
就是这个原因
至于注入的病毒程式码 要做些什么呢
有些会利用系统本身API 另外开一个隐藏的程序 就是所谓的后门
可以让骇客 偷偷的登入电脑取得使用权
还有一个就是继续搜寻电脑的执行档 去感染它
这些程式码都有很显著的特征 所以防毒软件都是抓特征值
去认定执行档是不是病毒的
所以一个好的病毒 要具备变形的能力
病毒码会使用执行档的某一段资料作为加密的 key
然后将自己的程式码加密打乱
所以执行病毒码的时候 他会先跑一段解密程式
然后才会出现完整的病毒码 这样防毒软件就抓不到了
至于 linux 上面有没有病毒 也是有的
但是在 linux 上面要拿到 root 权限 才算成功
病毒感染使用者一堆档案都没用啦
反而是 exploit 漏洞 比较常使用
所以在 linux 上面是利用 buffer overflow 去做溢位攻击
像是有些网络服务会使用 strcpy() 之类的东西
buffer overflow 就是利用 溢位 来将程式码 copy 到执行程式里面
http://www.tenouk.com/Bufferoverflowc/Bufferoverflow5.html
http://www.primalsecurity.net/tutorials/
至于利用 buffer overflow attack 好不好破 理论上要先看过程式码才知道漏洞在哪
然后网络上可以找到上千种 exploits 的 hack tool
只要输入对方的 linux IP
hack tool 就用那些 exploit 去尝试
所以也没很难破啦 linux 服务开越多 漏洞越大....
而且很多 linux 使用者还习惯放 kernel source 在 /usr/src 下面
人家可以改 kernel 改到多一个使用者 root 都查不出来的...