GNU / Linux中的病毒：事实还是神话？

每当辩论结束 病毒 y GNU / Linux的 用户很快就可以出现 （通常是Windows） 它说什么：

«在Linux中没有病毒，因为这些恶意程序的创建者不会浪费时间为几乎没有人使用的操作系统做某事？

我一直回答：

“问题不在于此，但是这些恶意程序的创建者不会浪费时间来创建可以在系统的首次更新中得到纠正的内容，即使在24小时之内也可以。”

我没看错，因为这篇出色的文章发表在 90号码 （2008年） 来自Todo Linux Magazine。 他的演员 大卫·桑托·奥尔塞罗 以技术方式为我们提供 （但易于理解） 解释为什么 GNU / Linux的 缺少此类恶意软件。

100％推荐。 现在，他们将拥有令人信服的更多材料，可以使在此主题上没有坚实基础的任何人保持沉默。

下载文章（PDF）： 神话与事实：Linux和病毒

编辑：

这是转录的文章，因为我们认为以这种方式阅读更容易：

================================================== ======================

Linux和病毒的争论并不新鲜。 我们经常在列表中看到一封电子邮件，询问是否存在Linux病毒； 有人会自动做出肯定的回答，并声称如果他们不流行，那是因为Linux不如Windows普及。 防病毒开发人员也经常发布新闻稿，称他们发布了Linux病毒版本。

就个人而言，我偶尔会通过邮件或通讯组列表与其他人讨论Linux中是否存在病毒的问题。 这是一个神话，但要破灭一个神话或骗局是很困难的，特别是如果它是出于经济利益而造成的。 有人对传达这样一种观点感兴趣，即如果Linux没有这类问题，那是因为很少有人使用它。

在发布此报告时，我希望就Linux中病毒的存在给出权威性的文字。 不幸的是，当迷信和经济利益泛滥时，很难确定一些东西。
但是，我们将在这里尝试提出一个合理的论据，以消除任何想争论的人的攻击。

什么是病毒？

首先，我们将从定义什么是病毒开始。 它是一个程序，可自我复制并自动运行，旨在在未经用户许可或知识的情况下更改计算机的正常功能。 为此，病毒会将可执行文件替换为感染了其代码的其他文件。 该定义是标准的，是有关病毒的Wikipedia条目的单行摘要。
该定义最重要的部分，也是将病毒与其他恶意软件区分开的部分，是病毒在未经用户许可或不知情的情况下自行安装。 如果它自身未安装，则不是病毒：它可能是rootkit或特洛伊木马。

rootkit是一个内核修补程序，它允许某些区域对用户区域实用程序隐藏。 换句话说，它是对内核源代码的修改，其目的是使我们无法看到特定时间或特定用户的实用程序，这些实用程序可以让我们看到任何给定时间的运行情况。

特洛伊木马程序类似：它是对特定服务源代码的修改，以隐藏某些欺诈活动。 在这两种情况下，都必须获取安装在Linux机器上的确切版本的源代码，对其进行补丁，重新编译，获取管理员特权，安装补丁的可执行文件并初始化服务（对于Trojan）。或操作系统完整-如果是
rootkit –。 正如我们所看到的，这一过程并非微不足道，没有人能够“错误地”完成所有这些工作。 两者都要求在安装时让具有管理员特权的人员有意识地执行一系列步骤，以做出具有技术性决定。

这并不是无关紧要的语义差别：要安装病毒，我们只需要以普通用户身份运行受感染的程序。 另一方面，对于安装Rootkit或Trojan，恶意人员必须亲自输入计算机的root帐户，并且以非自动化的方式执行一系列可能被检测到的步骤，这一点至关重要。 病毒迅速有效地传播； rootkit或木马需要它们专门针对我们。

在Linux中传播病毒：

因此，病毒的传播机制才是真正定义病毒的机制，并且是其存在的基础。 操作系统对病毒越敏感，开发高效和自动化的传输机制就越容易。

假设我们有一种想要传播的病毒。 假设它是在启动程序时由普通用户无辜启动的。 该病毒仅具有两种传播机制：

• 通过触摸其他进程的内存来复制自身，并在运行时将其锚定到其他进程。
• 打开文件系统可执行文件，并将其代码“有效负载”添加到可执行文件中。

我们可以认为所有的病毒都具有这两种传播机制中的至少一种。 O两个。 没有更多的机制。
关于第一种机制，让我们记住Linux的虚拟内存架构以及intel处理器如何工作。 它们有四个环，编号为0到3。 数字越小，在该环中运行的代码具有的特权就越大。 这些环与处理器的状态相对应，因此与在特定环中的系统可以完成的操作相对应。 Linux将环0用于内核，将环3用于进程。 没有在环0上运行的过程代码，也没有在环3上运行的内核代码。从环3：80h中断只有一个进入内核的入口点，它允许从其所在区域跳转用户代码到内核代码所在的区域。

总体而言，Unix的体系结构，尤其是Linux的体系结构，无法传播病毒。

内核通过使用虚拟内存使每个进程相信自己拥有所有内存。 一个在环3中工作的进程只能看到为其运行的环为其配置的虚拟内存。 并不是说其他​​进程的内存是受保护的。 对于一个进程而言，其他进程的内存在地址空间之外。 如果一个进程要击败所有内存地址，它甚至将无法引用另一个进程的内存地址。

为什么不能被骗呢？
要修改已注释的内容，例如，在环0中生成入口点，修改中断向量，修改虚拟内存，修改LGDT…-只能从环0开始。
也就是说，一个进程能够触摸其他进程的内存或内核，它应该是内核本身。 并且只有一个入口点并且参数通过寄存器传递这一事实使陷阱变得复杂-实际上，要执行的操作通过寄存器传递，然后在注意例程中将其实现为80h。中断。
另一种情况是在可能的情况下，操作系统有成百上千个未记录的对环0的调用，在这种情况下-总是存在执行不善的被忘记的调用，可以在该调用上开发陷阱-但在具有这种情况的操作系统中简单的步进机制，事实并非如此。

因此，虚拟内存体系结构阻止了这种传输机制。 没有进程-甚至没有root特权的进程-都无法访问其他人的内存。 我们可以说一个进程可以看到内核。 它已从其逻辑内存地址0xC0000000进行映射。 但是，由于它运行在处理器环上，因此您无法对其进行修改； 会产生一个陷阱，因为它们是属于另一个环的存储区。

“解决方案”是一个在文件时修改内核代码的程序。 但是，将这些文件重新编译的事实使其成为不可能。 二进制文件无法修补，因为世界上有数百万个不同的二进制内核。 简单地说，在重新编译时，他们已经从内核可执行文件中放入或删除了某些内容，或者他们更改了一些标识编译版本的标签的大小-甚至是无意间完成的操作-无法应用二进制补丁。 替代方法是从Internet下载源代码，对其进行修补，为适当的硬件配置，编译，安装并重新启动计算机。 所有这些都应由程序自动完成。 对于人工智能领域来说，这是一个很大的挑战。
如我们所见，即使是病毒，也无法阻止这种障碍。 剩下的唯一解决方案是可执行文件之间的传输。 正如我们将在下面看到的那样，这也不起作用。

我作为管理员的经验：

在管理Linux的十多年中，我在数据中心，学生实验室，公司等的数百台计算机上进行了安装。

• 我从来没有“忘记”病毒
• 我从未见过
• 我从未见过遇到过的人

我知道看到过尼斯湖水怪的人比看到过Linux病毒的人还多。
就我个人而言，我承认我一直很鲁ck，并且启动了一些程序，这些程序自称为“专家”，称其为“ Linux病毒”-从现在开始，我将它们称为病毒，而不是为了使人学究。我通常对我的机器进行的检查，看是否可能存在病毒：既在附近传播的bash病毒-顺便说一句也没有感染任何文件-以及一种非常流行并在新闻界出现的病毒。 我试图安装它； 经过二十分钟的工作，当我看到他的要求之一是将tmp目录放在MSDOS类型的分区上时，我放弃了。 就个人而言，我不知道为tmp创建特定分区并将其格式化为FAT的任何人。
实际上，我已经为Linux测试过一些所谓的病毒，需要高水平的知识和要安装的root密码。 如果需要我们的积极干预来感染计算机，我们至少可以将其“ qualify脚”病毒。 此外，在某些情况下，他们需要UNIX和root密码方面的广泛知识。 这与应该进行的自动安装相去甚远。

在Linux上感染可执行文件：

在Linux上，进程可以简单地执行其有效用户和有效组所允许的操作。 的确，有一些机制可以用现金交换真实用户，但除此之外就很少。 如果我们查看可执行文件的位置，我们将看到只有root用户在这些目录和所包含的文件中都具有写特权。 换句话说，只有root才能修改此类文件。 自70年代以来的Unix中就是这种情况，自起源以来的Linux中就是这种情况，在支持特权的文件系统中也没有出现允许其他行为的错误。 ELF可执行文件的结构是已知的并有据可查，因此，这种类型的文件在技术上有可能将有效负载加载到另一个ELF文件中……只要第一个文件的有效用户或有效组的有效用户就可以。首先具有访问权限，即对第二个文件进行读取，写入和执行。 作为普通用户，它可以感染多少个文件系统可执行文件？
这个问题有一个简单的答案，如果我们想知道我们可以“感染”多少个文件，我们启动命令：

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

我们排除/ proc目录，因为它是一个虚拟文件系统，显示有关操作系统工作方式的信息。 我们将发现的文件类型的文件以及具有执行特权的文件不会造成问题，因为它们通常是虚拟的链接，似乎可以读取，写入和执行，如果用户尝试使用，则永远不会起作用。 我们还排除了很多错误，因为特别是在/ proc和/ home中，有许多普通用户无法进入的目录-该脚本需要很长时间。 在我们的特定情况下，在四人工作的机器上，答案是：

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

输出显示了三个文件，如果运行了假设的病毒，这些文件可能会被感染。 前两个是Unix套接字类型文件，它们在启动时会被删除-不会受到病毒的影响-第三个是正在开发的程序的文件，该文件在每次重新编译时都会被删除。 从实用的角度来看，该病毒不会传播。
从我们的角度来看，散布有效载荷的唯一方法是成为root用户。 在这种情况下，要使病毒起作用，用户必须始终具有管理员权限。 在这种情况下，它可以感染文件。 但这很重要：要传播感染，您需要获取另一个可执行文件，将其邮寄给另一个仅将计算机用作root用户的用户，然后重复该过程。
在需要管理员执行常见任务或运行许多日常应用程序的操作系统中，可能就是这种情况。 但是在Unix中，必须是管理员才能配置计算机并修改配置文件，因此root帐户用作日常帐户的用户数量很少。 还有更多一些Linux发行版甚至没有启用root帐户。 几乎在所有这些环境中，如果您这样访问图形环境，背景都会变为红色，并且不断出现不断的消息，提醒您不要使用此帐户。
最后，所有必须以root用户身份完成的操作都可以使用sudo命令来完成，而没有任何风险。
因此，在Linux中，只要我们不将root帐户用作通用帐户，可执行文件就无法感染其他人。 而且尽管防病毒公司坚持说Linux中存在病毒，但实际上可以在Linux中创建的最接近的东西是用户区域中的特洛伊木马。 这些木马可能会影响系统上某些内容的唯一方法是，以root用户身份运行它并具有必要的特权。 如果我们通常以普通用户的身份使用计算机，那么普通用户启动的进程就不可能感染系统。

神话与谎言：

我们发现许多神话，骗局，只是有关Linux中病毒的简单谎言。 让我们根据一段时间前与Linux防病毒制造商的代表进行的讨论列出他们的名单，该代表对此杂志上发表的文章感到非常恼火。
该讨论是一个很好的参考示例，因为它涉及Linux中病毒的所有方面。 我们将在特定讨论中对所有这些神话进行逐一审查，但在其他论坛中已经重复了很多次。

误解1：
“并非所有恶意程序（特别是病毒）都需要root特权才能感染，尤其是在感染其他可执行文件的可执行病毒（ELF格式）的特殊情况下“。

答：
提出此类声明的人都不知道Unix特权系统是如何工作的。 为了影响文件，病毒需要具有读取特权（必须对其进行读取才能对其进行修改）和写入（必须对其进行写入以使修改有效）的特权，才能执行该可执行文件。
总是如此，没有例外。 并且在每个发行版中，非root用户都不具有这些特权。 那么，只要不扎根，就不可能感染。 实证测试：在上一节中，我们看到了一个简单的脚本来检查可能受感染影响的文件范围。 如果在计算机上启动它，我们将看到它可以忽略不计，并且对于系统文件而言，它为null。 另外，与Windows等操作系统不同，您不需要管理员特权即可使用普通用户常用的程序执行常见任务。

误解2：
“对于Slapper这种蠕虫，它利用Apache SSL（允许安全通信的证书）中的漏洞，于2002年XNUMX月创建了自己的僵尸计算机网络，它们也无需成为root即可远程进入系统。“。

答：
这个例子不是病毒，而是蠕虫。 区别非常重要：蠕虫是一种利用Internet服务进行自我传播的程序。 它不影响本地程序。 因此，它仅影响服务器。 不适用于特定机器。
蠕虫一直很少，发病率可以忽略不计。 这三个真正重要的因素诞生于80年代，那时互联网是纯洁的，每个人都信任每个人。 让我们记住，它们是影响sendmail，fingerd和rexec的文件。 今天，事情变得更加复杂。 尽管我们不能否认它们仍然存在，并且如果不加以遏制的话，它们将极为危险。 但是现在，对蠕虫的反应时间非常短。 拍击者就是这种情况：在漏洞出现之前两个月发现并修补了漏洞的蠕虫病毒。
即使假设使用Linux的每个人都一直安装并运行Apache，仅每月更新一次软件包就已经足够了，永远不会有任何风险。
确实，Slapper造成的SSL错误是至关重要的-实际上，这是整个SSL2和SSL3历史中发现的最大错误-因此，该错误已在数小时内得到修复。 发现并解决此问题的两个月后，有人对已经纠正的错误进行了蠕虫攻击，至少可以肯定的是，这是可以作为漏洞给出的最强大的示例。
通常，蠕虫的解决方案不是购买防病毒软件，安装防病毒软件并浪费计算时间以保持其驻留状态。 解决方案是利用我们发行版的安全更新系统：更新发行版不会有任何问题。 仅运行我们需要的服务也是一个好主意，这有两个原因：我们改善了资源的使用，并且避免了安全问题。

误解3：
“我认为核心是不可侵犯的。 实际上，存在一组名为LRK（Linux Rootkits内核）的恶意程序，它们完全基于以下事实：它们利用内核模块中的漏洞并替换系统二进制文件。“。

答：
rootkit基本上是一个内核修补程序，由于这些用户和进程不会出现在/ proc目录中，因此它们可让您从常规工具中隐藏某些用户和进程的存在。 正常情况是，他们会在攻击结束时使用它，首先，他们将利用远程漏洞来访问我们的计算机。 然后，他们将进行一系列攻击，以提升特权，直到拥有root帐户为止。 他们这样做的问题是如何在我们的计算机上安装服务而不被检测到：这就是rootkit的所在。 创建的用户将成为我们要隐藏的服务的有效用户，他们将安装rootkit，并同时隐藏该用户和该用户的所有进程。
我们将详细讨论如何隐藏用户的存在对病毒很有用，但是使用rootkit安装自身的病毒似乎很有趣。 让我们想象一下病毒的机制（用伪代码）：
1）病毒进入系统。
2）找到内核源代码。 如果不是，则由他自己安装。
3）为内核配置适用于所讨论机器的硬件选项。
4）编译内核。
5）安装新内核； 必要时修改LILO或GRUB。
6）重新启动机器。

步骤（5）和（6）需要root特权。 被感染者无法检测到步骤（4）和（6）有点复杂。 但是有趣的是，有人认为某个程序可以自动执行步骤（2）和（3）。
作为最后的结果，如果我们遇到一个告诉我们“当有更多的Linux计算机时，将会有更多的病毒”的人，并建议“安装防病毒软件并不断更新”，这可能与销售该防病毒软件的公司有关。更新。 保持警惕，可能是同一所有者。

适用于Linux的防病毒软件：

确实有针对Linux的良好防病毒软件。 问题是，他们没有像反病毒倡导者所言。 它的功能是过滤从恶意软件和病毒到Windows的邮件，并验证通过SAMBA导出的文件夹中是否存在Windows病毒； 因此，如果我们将我们的计算机用作邮件网关或Windows计算机的NAS，则可以保护它们。

Clam-AV：

在不谈论GNU / Linux的主要防病毒软件ClamAV的情况下，我们将不会完成报告。
ClamAV是一种非常强大的GPL防病毒软件，可针对市场上大多数Unix进行编译。 它旨在分析​​通过工作站的邮件附件，并对它们进行病毒过滤。
该应用程序与sendmail完美集成，可以过滤可存储在向公司提供邮件的Linux服务器中的病毒。 具有每天更新的病毒数据库，并具有数字支持。 该数据库每天更新几次，这是一个生动有趣的项目。
这个功能强大的程序甚至能够以更复杂的格式打开附件，例如RAR（2.0），Zip，Gzip，Bzip2，Tar，MS OLE2，MS Cabinet文件，MS CHM（HTML COprinted）和MS SZDD，来分析病毒。
ClamAV还支持mbox，Maildir和RAW邮件文件，以及使用UPX，FSG和Petite压缩的可移植可执行文件。 Clam AV和spamassassin对是保护我们的Windows客户端免受Unix邮件服务器攻击的理想之选。

结论

问题：Linux系统中是否存在漏洞？ 答案肯定是。
他们的右脑中没有人对此表示怀疑。 Linux不是OpenBSD。 另一件事是Linux系统具有的漏洞窗口，该漏洞窗口已正确更新。 如果我们问自己，是否有工具可以利用这些安全漏洞并加以利用？ 是的，但是这些不是病毒，而是漏洞。

该病毒必须克服Windows防御者一向将其视为Linux缺陷/问题的更多困难，并使真实病毒的存在复杂化-重新编译的内核，许多应用程序的许多版本，许多发行版，它们不是自动透明地传递给用户，等等。 当前的理论“病毒”必须从root帐户手动安装。 但这不能被视为病毒。
我总是告诉我的学生：请不要相信我。 在计算机上下载并安装rootkit。 如果需要更多，请阅读市场上“病毒”的源代码。 事实是在源代码中。 对于“自称”病毒，在阅读其代码后很难以这种方式继续命名。 而且，如果您不懂代码，我建议您采取一种简单的安全措施：仅使用根帐户来管理计算机，并保持安全更新为最新。
只有这样，病毒才能进入您的体内，蠕虫或其他人也不太可能成功攻击您的计算机。