欲成其事先利其器。要想完成一項複雜的任務,工具的作用至關重要。要想在Linux系統上開發或研究木馬病毒等特殊程序,我們需要使用一系列強大的開發和調試攻擊。本節先介紹幾種在Linux系統上極爲強大的工具。
第一個當然是gdb了,在Linux上,它是唯一能用於程序調試的利器。我們後面開發代碼或調試分析其他病毒或木馬的設計模式和原理時,必須使用gdb作爲手術刀,對要研究的病毒和木馬進行”剖屍檢驗“,通過gdb調查木馬或病毒的代碼設計方法,同時也使用gdb加載惡意代碼,研究其運轉流程。
第二個是objdump,它的作用是將惡意代碼所編製成的可執行文件內部信息抽取出來,例如如果病毒或木馬最後編譯成ELF格式的可執行文件,那麼我們可以使用該工具將裏面的各種信息展示出來,舉個例子,使用C語言寫一個helloworld程序如下:
#include "stdio.h"
void main() {
printf("hello world!");
}
然後使用gcc編譯成可執行文件,命令如下:
gcc -Wall -g hello_world.c -o hello_world
注意到gcc也是在Linux上進行程序開發必不可少的編譯器。執行上面代碼後會在當前目錄生成elf格式的可執行文件hello_world,然後使用如下命令打印其內部內容:
objdump -D hello_world
執行後所得結果如下:
可以看到,ELF文件其實由很多"section"組成,它也稱爲"段”,瞭解這些段的作用就可以找到注入惡意代碼的
