Какие форматы файлов используются для создания вирусов в Ubuntu?

Какие форматы файлов используются для создания вирусов в Ubuntu? Например, большинство вирусов Windows написаны на .exe формат, но я не могу идентифицировать обычный формат в Ubuntu.

5 ответов

Вопреки распространенному мнению, существуют вирусы для Linux и их тоже немало. Хотя они гораздо реже встречаются в Linux и требуют, чтобы вы пропускали их в систему большую часть времени, они все еще существуют.

Вирусы не ограничиваются типом файла в Ubuntu или Windows. Существует не определенный тип файлов, чтобы избежать или что-то подобное, просто будьте осторожны. Linux безопасен, если вы осторожны.

Некоторые вещи, которые вы можете сделать, чтобы быть в безопасности:

  1. Не скачивайте с третьих лиц, если вы не доверяете тому, что скачиваете.
  2. использование apt или Launchpad (служба хостинга кода Ubuntu) и аналогичные сервисы для получения программного обеспечения из источника.
  3. Избегайте копирования и вставки команд терминала, которые вы найдете в Интернете, особенно если вы их не понимаете.

Вы также можете использовать антивирус, как clamav если вы хотите проверить вашу систему на наличие угроз.

sudo apt-get install clamav

устанавливать clamtk для графического интерфейса

Вот некоторые материалы о распространенных вирусах Linux и о том, как с ними бороться.

Расширения ничего не значат. В то время как Windows заботится о них, существуют вирусы не.exe. В Linux ваше расширение мало что значит. "Какой файл" немного более элементарно.

В сущности, в Linux это скорее всего двоичный файл ELF, возможно, в виде статического или общего объекта.

Он может даже подключиться к ядру в виде модуля или иным образом как руткит, или просто заменить инструмент или компонент ядра операционной системы своим собственным.

Не все из них, хотя - есть вирусы Java, такие как файлы классов, эксплойты на основе сборок шелл- кода или даже возможность вредоносного программного обеспечения, написанного на bash (хотя было бы интересно, как запустить его с самого начала).

По сути, если вы не уверены, не верьте ему;)

Я собираюсь обратиться к вредоносным программам в целом для этого ответа, а не только к вирусам.

Вирусы в Linux не ограничены определенным расширением / типом файла.

Чтобы лучше понять, о чем мы говорим, нам сначала нужно понять связь между расширениями и типами файлов и как на самом деле работают вирусы.

В Windows .exe файлы содержат файлы в формате PE (Portable Executable file), который содержит двоичные исполняемые данные. Эти исполняемые данные загружаются в память и затем выполняются путем интерпретации инструкций в этих данных.

Это означает, что самый простой способ запустить ваш код - это упаковать его в .exe, Однако есть и другие способы. Файлы PDF, как известно, небезопасны, поскольку содержат части, которые могут быть интерпретированы читателем. Это означает, что встроенный скрипт может использовать слабые места в безопасности читателя и, например, искать и изменять другие файлы PDF в системе.

Это может стать еще хуже. Вы можете злоупотреблять ошибками программирования в приложениях, чтобы внедрить вредоносный код непосредственно в память компьютера. Как только они появятся, эти инструкции можно будет запускать как собственный код и часто с высокими привилегиями, что приведет к разрушительным результатам.

Так как же это работает под Linux?

Linux, как и Windows, имеет двоичный исполняемый формат. Windows имеет формат PE, Linux - формат ELF. В целом у Unix гораздо меньше требований к расширению файлов, поэтому файлы ELF обычно не имеют расширений. Linux использует Magic Numbers для идентификации этих файлов, поэтому расширения не нужны.

Двоичные файлы, однако, совсем не популярны как способ распространения вредоносного ПО в Linux. Это потому, что конечные пользователи очень редко открывают двоичные файлы, которые они получают, вручную. Двоичные файлы устанавливаются и управляются менеджером пакетов, а не конечным пользователем. Таким образом, вредоносному ПО нужны другие векторы атаки, чтобы внедрить свой код в жертву.

Это означает, что эти другие методы (внедрение кода, создание сценариев) гораздо более популярны в качестве носителей вредоносного кода.

Различие здесь не в расширении файла, а в свойстве файла, установленном командой

chmod +x filename

Таким образом, вы можете сделать исполняемый файл из двоичного файла, а также из файла сценария.

С

ls -l

вы можете перечислить свойства файла безопасным способом перед выполнением.

Также вы можете запустить:

file filename

отображать более подробные данные о файле.

Расширения и исполняемые файлы практически не связаны друг с другом в Windows или Linux, а расширения не имеют ничего общего с вирусами. При наличии явного файла для действия обе операционные системы смотрят на заголовок файла, чтобы решить, что с ним делать. Когда в имени файла присутствует неоднозначность, две ОС используют несколько разные стратегии для определения предполагаемой цели. Например, если вы введете "echo hello" в окне запуска Windows, терминале Windows или терминале Linux, оба будут искать в каждом каталоге в переменной среды PATH файл с именем "echo", который имеет разрешение на выполнение, и пытаться выполнить это с аргументом "привет". Windows также будет искать файл "echo.com", "echo.exe", "echo.bat", "echo.cmd", "echo.vb" и кучу других расширений, которые я не могу вспомнить вручную плюс любые расширения, упомянутые в переменной окружения PATHEXT, перед тем, как перейти к следующему каталогу и, если он найдет совпадение, он попытается выполнить это.

Другие вопросы по тегам