对于安全类,我应该为在磁盘上找到自己的可执行文件的程序编写自修改代码,读取二进制数据,并在将其写回磁盘之前对其中的一部分进行加密。这应该像一个多态病毒,它会改变自己,以愚弄检测已知签名的防病毒扫描程序。
我已经完成了所有的工作:
/proc/self/exe找到了可执行文件。我的问题是,我能够打开可执行文件的唯一方法是以只读模式"rb"。如果我尝试打开文件以便以模式"wb"或"r+b"进行书写,我会收到错误"Text file busy"。反正我是否在C中写入进程自己的可执行文件?我可以通过某种方式更改权限吗?
编辑:我想要完成的是拥有一个可执行文件,每次运行时都会加密自身的一部分,以便每次运行后都会有一个新的校验和。
从可执行二进制文件读取数据后,如何回写或删除它并将其替换为具有相同文件名的新文件?
答案 0 :(得分:3)
您无法写入当前映射为可执行文件的文件。但是,您可以写入与当前可执行文件具有相同路径的文件,只要它实际上不是同一个文件 - 尝试取消链接正在执行的文件并创建例如,取而代之的是新文件。
答案 1 :(得分:2)
为了也进行自我修改,我在nasm中编写了一个小代码(可以用作存根),将其自我打开,并在代码的中间(紧接mmap),我们有一个指针指向到我们可以修改的可执行文件的字节。
代码如下:
BITS 64
section .text
global _start
_start:
call _main__
mov rax, 60
mov rdi, 0x0
syscall ; exit(0);
_main__:
push rbp
mov rbp, rsp
sub rsp, 144 ; stat_file
mov rdi, [rbp+0x18]
lea rsi, [rsp]
call _open_self ; open self
push r12 ; len file
push rax ; addr
mov r14, rsi
mov rdi, [rbp+0x18] ; pathname
pop rsi ; addr
pop rdx ; len
push rdx
push rsi
call __create
mov r13, rax ; second fd
mov rdi, r14 ; fd
pop rsi ; addr -> mmap
pop rdx ; len_file
call __close_unmap
mov rax, 87
mov rdi, [rbp+0x18]
syscall
mov rax, 0x3 ; close(scnd_fd);
mov rdi, r13
syscall
mov rax, 86
push 'nasm'
lea rdi, [rsp]
mov rsi, [rbp+0x18]
syscall ; link tmp name to original name
mov rax, 87
lea rdi, [rsp]
syscall ; delete old tmp file
leave
ret
; ===============================
; Open himself
_open_self:
push rbp
mov rbp, rsp
mov r15, rsi ; &stat_file
mov r12, rdi ; *pathname
mov rax, 0x2
mov rsi, 0x0 ; 0_RD
mov rdx, 509
syscall
push rax ; fd
mov rdi, rax ; fd
mov rsi, r15 ; struct stat
mov rax, 5 ; fstat
syscall
xor rdi, rdi
mov rsi, qword [r15+48]
mov rdx, 0x4
mov r10, 0x2
pop r8
push r8
mov r9, 0x0
mov rax, 9
syscall ; mmap
; rax -> byte of the executable that we gonna dump
mov r12, qword [r15+48]
pop rsi ; fd
leave
ret
; ===============================
; int __create(const char *pathname, void *addr, ssize_t len_bytes_mapped);
__create:
push rbp
mov rbp, rsp
push rsi ; addr
push rcx ; len
push 'nasm'
lea rdi, [rsp]
mov rax, 0x2
mov rsi, 0x42 ; 0_CREAT | O_RDWR
mov rdx, 509
syscall ; sys_open
add rsp, 0x8 ; 'nasm'
mov r9, rax ; fd
mov rdi, rax ; fd
mov rax, 0x1
pop rdx
pop rsi
syscall ; sys_write
mov rax, r9 ; fd final
leave
ret
; int __close_unmap(int fd, unsigned lon addr, ssize_t len_file);
__close_unmap:
push rbp
mov rbp, rsp
push rdi
mov rdi, rsi
mov rsi, rdx
mov rax, 11
syscall ; munmap(addr, len_file)
pop rdi
mov rax, 3
syscall ; close(fd);
leave
ret
它有点长,但它只是:
-以读取模式自行打开(O_RD == 0x0)
-执行stat(* pathname,&buffer_struct_stat);
-然后是mmap(0,buffer_struct_stat.st_size,0x4,MAP_PRIVATE,fd_read_only,0);
-在这里,您可以通过编辑mmap返回的地址处的字节来编辑可执行文件
-创建一个名为“ nasm”的tmp文件
-执行写操作(fd_tmp,address_of_mmap,buffer_struct_stat.st_size)
-关闭两个文件描述符并munmap mmap
-现在很酷:取消链接(路径名)和链接(“ nasm”,“路径名”)