《恶意代码基础与防范（微课版）》-章节习题及答案 第四章.docx

一、填空

1、Linux脚本型恶意代码的核心语句（实现自我复制的语句）cp$0$file

2、感染ELF文件的PLT表是利用了PLT在搜索库调用时的重要性

3、原型病毒设计的大致思想是先把病毒体编译成目标文件

4、病毒体程序实现可以分为4个模块、分别是初始化模块、程序头表处理模块、节头表处理模块以及收尾模块

5、LKM内核模块属于ELF目标文件

二、判断

1.Shell恶意脚本是Linux系统下恶意代码的一种。（√）

2.恶意代码的核心是能够自我复制，其核心语句是”forfilejin*”(×)(cp$0$file)

3.Linux下的病毒种类有Lion蠕虫、跨Windows和Linux平台等病毒。（√）

4．LinuxELF病毒原型主要由C语言编写，少部分无法由C语言来完成的底层操作采取GCC内嵌汇编的方式实现。（√）

5.非ELF相关的的感染方法有覆盖式感染和追加式感染两类。（√）

三、选择

按照编制机理可以把Linux系统下的恶意代码分为(A)类。

A、4 B、3 C、2 D、5

LKM感染技术不包含的函数为（A）

main()函数

B、init_module()函数

C、cleanup_module()函数

D、creat_module（）函数

用来修订文件中两个宏定义的bash脚本文件的是（A）

get_patch.sh

infector.c

C、virus.c

D、virus.h

下列属于高级感染技术的是（A）

A、PLT/GOT劫持实现

B、覆盖式感染

C、追加式感染

D、数据段之后插入感染

EFL是为工作在32位不同操作系统之间可移植的（A）文件格式。

A、二进制

B、八进制

C、十进制

D、十六进制

四、简单

1简单概述Linux系统下恶意代码的分类

Shell恶意脚本，蠕虫，基于欺骗库函数恶意代码，与平台兼容的恶意代码

2利用ELF格式的感染方法有哪些

文本段之后填充，数据段以后插入感染，文本段之前插入感染，利用函数对齐填充区感染，利用NOTE段或者扩展.note节

3ELF文档包含哪3个部分

目标文件，程序装载和动态链接，c语言库

4无关ELF格式的感染方法有哪些

覆盖式感染，追加式感染，扩展注释节

5plt实现重定向的算法具体描述是？

将文本段改为可写权限，保存plt入口点，使用新的库调用地址替代原入口，对新的库调用中代码的修改实现新的库调用的功能，保存原来的plt入口，调用原来的库调用

五、论述

问：ElF格式文件的感染类型及原理分析

无关ELF格式的感染方法

覆盖式感染：有些病毒会强行覆盖执行程序的某一部分，将自身嵌入其中，以达到不改变被感染文件长度的目的，被这样的病毒覆盖掉的代码无法复原，从而这种病是无法被安全杀除的。

2.追加式感染：将病毒体直接追加到宿主文件中，或者将宿主追加到病毒体之后，并不存在覆盖宿主文件的行为，从而宿主文件被感染成单纯的病毒体和原宿主文件的合体，在病毒文件执行后将控制权还给宿主。

利用ELF格式的感染方法

文本段之后填充：这种方法式利用在可以提供合适的承载空间的文本段的末尾进行页面填充的方法。

数据段之后插入感染：在数据段默认可执行的UNIX系统中，通过扩展数据段包含进插入的寄生代码来感染文件。

文本段之前插入感染：新的文本段病毒感染方法式将文本段向低地址扩展，并且使病毒代码在扩展的空间内执行。

利用函数对齐填充区感染：由于函数填充区一般较小，需要将病毒分割成几个段，修改每段的最后部分，添加跳转语句，将病毒各个段分别放进不同的函数填充区中。

利用NOTE段或者扩展.note节：

高级感染技术

LKM感染技术：LKM具有相对灵活的使用方式和强大功能，可以被动态地加载，而不需要重新编译内核。对于病毒而言有很多好处，隐藏文件和进程等但是使用LKM式比较麻烦的，需要较高的技术要求。

2.PLT/GOT劫持实现：感染ELF文件表式利用了PLT在搜索库调用时的重要性，可以修改相关代码来跳转到自己定义的感染代码中，取代原来的库调用，实现斌单病毒传染。通多感染可执行文件并修改PLT表导致共享库重定向来实现病毒，并且在取代之前保存原来的GOT状态，可以在执行完病毒代码后重新调用回复原来的库调用。