对于一个安全类,我应该为一个程序编写自修改代码,该程序在磁盘上找到自己的可执行文件,读取二进制数据,并在将其写回磁盘之前加密其中的一部分。这应该就像一种多态病毒,它会改变自身以欺骗检测已知签名的防病毒扫描程序。
我已经准备好了所有的部分:
/proc/self/exe.我的问题是我能够打开可执行文件的唯一方法是只读模式"rb"。如果我尝试打开文件以在模式下写入,"wb"或者"r+b"我得到错误"Text file busy"。无论如何,我是否可以在 C 中写入进程自己的可执行文件?我可以通过以某种方式更改权限来做到这一点吗?
编辑:我想要完成的是拥有一个可执行文件,它每次运行时都会对自身的一部分进行加密,以便每次运行后都会有一个新的校验和。
从可执行二进制文件中读取数据后,我该如何写回它或删除它并用具有相同文件名的新文件替换它?
您不能写入当前映射为可执行文件的文件。但是,您可以写入与当前可执行文件具有相同路径的文件,只要它实际上不是同一个文件 - 尝试取消您正在执行的文件的链接并在其位置创建一个新文件,对于实例。
为了也进行自我修改,我在 nasm 中编写了一个小代码(可以用作存根),它会自行打开,并且在代码中间(就在 mmap 之后),我们有一个指向我们可以修改的可执行文件的字节数。
代码如下所示:
BITS 64
section .text
global _start
_start:
call _main__
mov rax, 60
mov rdi, 0x0
syscall ; exit(0);
_main__:
push rbp
mov rbp, rsp
sub rsp, 144 ; stat_file
mov rdi, [rbp+0x18]
lea rsi, [rsp]
call _open_self ; open self
push r12 ; len file
push rax ; addr
mov r14, rsi
mov rdi, [rbp+0x18] ; pathname
pop rsi ; addr
pop rdx ; len
push rdx
push rsi
call __create
mov r13, rax ; second fd
mov rdi, r14 ; fd
pop rsi ; addr -> mmap
pop rdx ; len_file
call __close_unmap
mov rax, 87
mov rdi, [rbp+0x18]
syscall
mov rax, 0x3 ; close(scnd_fd);
mov rdi, r13
syscall
mov rax, 86
push 'nasm'
lea rdi, [rsp]
mov rsi, [rbp+0x18]
syscall ; link tmp name to original name
mov rax, 87
lea rdi, [rsp]
syscall ; delete old tmp file
leave
ret
; ===============================
; Open himself
_open_self:
push rbp
mov rbp, rsp
mov r15, rsi ; &stat_file
mov r12, rdi ; *pathname
mov rax, 0x2
mov rsi, 0x0 ; 0_RD
mov rdx, 509
syscall
push rax ; fd
mov rdi, rax ; fd
mov rsi, r15 ; struct stat
mov rax, 5 ; fstat
syscall
xor rdi, rdi
mov rsi, qword [r15+48]
mov rdx, 0x4
mov r10, 0x2
pop r8
push r8
mov r9, 0x0
mov rax, 9
syscall ; mmap
; rax -> byte of the executable that we gonna dump
mov r12, qword [r15+48]
pop rsi ; fd
leave
ret
; ===============================
; int __create(const char *pathname, void *addr, ssize_t len_bytes_mapped);
__create:
push rbp
mov rbp, rsp
push rsi ; addr
push rcx ; len
push 'nasm'
lea rdi, [rsp]
mov rax, 0x2
mov rsi, 0x42 ; 0_CREAT | O_RDWR
mov rdx, 509
syscall ; sys_open
add rsp, 0x8 ; 'nasm'
mov r9, rax ; fd
mov rdi, rax ; fd
mov rax, 0x1
pop rdx
pop rsi
syscall ; sys_write
mov rax, r9 ; fd final
leave
ret
; int __close_unmap(int fd, unsigned lon addr, ssize_t len_file);
__close_unmap:
push rbp
mov rbp, rsp
push rdi
mov rdi, rsi
mov rsi, rdx
mov rax, 11
syscall ; munmap(addr, len_file)
pop rdi
mov rax, 3
syscall ; close(fd);
leave
ret
它有点长,但它只是:
- 在读取模式下自行打开 (O_RD == 0x0)
-做一个统计(*路径名,&buffer_struct_stat);
- 然后是 mmap(0, buffer_struct_stat.st_size, 0x4, MAP_PRIVATE, fd_read_only, 0);
-在这里您可以通过编辑 mmap 返回的地址处的字节来编辑可执行文件
- 创建一个名为“nasm”的 tmp 文件
-做一个写(fd_tmp,address_of_mmap,buffer_struct_stat.st_size)
- 关闭两个文件描述符,然后对 mmap 进行 munmap
- 现在很酷:unlink(pathname) 和 link("nasm", "pathname")