Những định dạng tệp nào được sử dụng để tạo vi-rút trong Ubuntu? [đóng cửa]

9

Những định dạng tệp nào được sử dụng để tạo vi-rút trong Ubuntu? Ví dụ: hầu hết các vi-rút Windows được viết ở .exeđịnh dạng, nhưng tôi không thể xác định định dạng thông thường trong Ubuntu.

malware 
E Sơn Malimbada
nguồn
3
Không có virus cho Linux trong tự nhiên.
20
@CelticWar Warrior Tất nhiên có Virus cho Linux và cũng có rất nhiều vi en.wikipedia.org/wiki/Linux_malware Eshan: Virus không giới hạn ở một loại tệp, trên Ubuntu hoặc Windows, không có một loại tệp nhất định nào để tránh hoặc bất cứ điều gì như vậy, hãy đọc liên kết trong bình luận này để biết một số thông tin
Mark Kirby
@MarkKirby đó là một câu trả lời (và một câu trả lời tốt), không phải là một nhận xét.
don.joey
1
Tôi không bỏ phiếu để đóng câu hỏi này vì đây là một câu hỏi công bằng: có định dạng tệp cụ thể nào có chứa vi-rút trong linux không. Ngoài ra @MarkKirby đã trả lời nó.
don.joey
5
Vấn đề lớn nhất mà tôi có: những viruss này được cho là bắt nguồn từ đâu? Các repo chính thức? (Tôi thực sự hoài nghi điều đó sẽ xảy ra) Launchpad? (có thể, nhưng nghi ngờ vì hồ sơ theo dõi của họ là tốt về điều này. Một lần nữa thật dễ dàng để sống với một hệ thống gắn bó với repo chính thức.). Kịch bản ngẫu nhiên? Chúng tôi không làm điều đó ... chúng tôi không phải là người dùng windows trung bình ... Khi vi-rút không thể truy cập hệ thống hoặc bị giới hạn ở 1 hệ thống, đó là phần mềm độc hại không phải là vi-rút ;-)
Rinzwind

Câu trả lời:

27

Trái với niềm tin phổ biến, có Virus cho Linux và cũng có khá nhiều. Mặc dù chúng ít phổ biến hơn trên Linux và yêu cầu bạn cho phép chúng vào hệ thống hầu hết thời gian, chúng vẫn tồn tại.

Virus không giới hạn ở một loại tệp, trên Ubuntu hoặc Windows. Không có một loại tệp nhất định để tránh hoặc bất cứ điều gì như vậy, chỉ cần cẩn thận. Linux là an toàn, miễn là bạn cẩn thận.

Một số điều bạn có thể làm để an toàn là:

  1. Không tải xuống từ bên thứ 3 trừ khi bạn tin tưởng những gì bạn đang tải xuống.
  2. Sử dụng apthoặc Launchpad (dịch vụ lưu trữ mã của Ubuntu) và các dịch vụ tương tự để lấy phần mềm từ nguồn.
  3. Tránh sao chép và dán các lệnh thiết bị đầu cuối bạn tìm thấy trực tuyến, đặc biệt nếu bạn không hiểu chúng.

Bạn cũng có thể sử dụng một phần mềm chống vi-rút như clamavnếu bạn muốn quét hệ thống của mình xem có mối đe dọa nào không.

sudo apt-get install clamav

Cài đặt clamtkcho một gui.

Dưới đây là một số cách đọc về các virus linux phổ biến và cách đối phó với chúng.

Đánh dấu Kirby
nguồn
5
Chúng không bao giờ có tác động đến Linux như trên Windows và gần như tất cả (nếu không phải tất cả) yêu cầu bạn phải tự cài đặt chúng.
Rinzwind
3
@Rinzwind Hầu hết các vi-rút trên bất kỳ HĐH nào đều yêu cầu người dùng cài đặt chúng; họ chỉ lừa người dùng nghĩ rằng họ đang làm một cái gì đó khác. Ngoài ra, họ khai thác các lỗi trong phần mềm cụ thể (ví dụ: trình duyệt, ứng dụng thư khách) để có được các đặc quyền nâng cao.
IMSoP
1
"Linux được bảo mật miễn là bạn cẩn thận" - Windows cũng vậy (kể từ khi Microsoft bắt đầu quan tâm đến bảo mật)
user253751
1
@MarkKirby UAC không thực hiện được nhiều trên hệ thống một người dùng; một chương trình vẫn có thể mã hóa tất cả các tệp quan trọng của bạn mà không kích hoạt lời nhắc UAC. Nó không cho phép nó kết nối vào hệ thống và khiến nó không thể bị phá hủy, do đó bạn có thể xóa nó, nhưng vào thời điểm đó, các tệp của bạn đã được mã hóa.
user253751
1
@Rinzwind Không có nghĩa gì khi nói "Linux an toàn hơn vì người dùng Linux được giáo dục nhiều hơn". Nếu giáo dục của bạn là những gì cung cấp sự bảo vệ, thì Windows với bạn sử dụng nó cũng sẽ được bảo mật. Virus khai thác lỗi, và lỗi ở khắp mọi nơi. Một vi-rút dựa trên vĩ mô có thể hoàn toàn cư trú trong một cài đặt và định dạng tệp của một ứng dụng và vui vẻ lây lan trên nhiều nền tảng.
IMSoP
13

Phần mở rộng có nghĩa là không có gì. Trong khi các cửa sổ quan tâm đến em, không có virus .exe. Trong linux, phần mở rộng của bạn rất ít. "Loại tập tin" là một yếu tố nhiều hơn một chút.

Về cơ bản trong linux, nó có khả năng là một số hương vị của nhị phân ELF , có thể là một đối tượng tĩnh hoặc chia sẻ .

Nó thậm chí có thể móc vào kernel dưới dạng một mô-đun hoặc bằng cách khác như một rootkit, hoặc chỉ đơn giản là thay thế một công cụ hoặc thành phần hệ điều hành lõi bằng chính nó.

Mặc dù vậy, không phải tất cả chúng - đều có virus java, như các tệp lớp , khai thác shellcode dựa trên lắp ráp hoặc thậm chí khả năng phần mềm độc hại được viết bằng bash (mặc dù cách nó sẽ được chạy để bắt đầu sẽ rất thú vị).

Vì vậy, về cơ bản, nếu bạn không chắc chắn, đừng tin tưởng nó;)

Hành trình Geek
nguồn
1
Virus trong bash? Chắc chắn rồi. Thật dễ dàng để tạo một keylogger bash.
Nonny Moose
@NonnyMoose dễ dàng, giả sử bạn có quyền root
Random_clyde
1
Kỹ thuật xã hội là một cách khá phổ biến để đưa phần mềm độc hại vào hệ thống.
Journeyman Geek
@ Jean-LouisBonnaffe tại sao? bạn cần root để chỉnh sửa ./bashrc tại nhà riêng của bạn?
Rinzwind
@RinzWind Chính xác. Bạn chỉ cần root để cài đặt nó cho tất cả người dùng.
Nonny Moose
6

Tôi sẽ giải quyết phần mềm độc hại nói chung cho câu trả lời này, không chỉ vi-rút.

Virus trên Linux không bị hạn chế đối với một loại / phần mở rộng tệp cụ thể.

Để hiểu rõ hơn những gì chúng ta đang nói, trước tiên chúng ta cần hiểu liên kết giữa các tiện ích mở rộng và loại tệp và cách thức hoạt động của vi-rút.

Trong Windows, .execác tệp chứa các tệp ở dạng PE (Định dạng tệp có thể thực thi di động, là định dạng chứa dữ liệu thực thi nhị phân. Dữ liệu thực thi này được tải vào bộ nhớ và sau đó được thực thi bằng cách diễn giải các hướng dẫn trong dữ liệu đó.

Điều này có nghĩa là cách dễ nhất để chạy mã của bạn là gói nó thành một .exe. Có nhiều cách khác nữa, tuy nhiên. Các tệp PDF nổi tiếng là không an toàn vì chúng chứa các phần có thể được người đọc giải thích. Điều này có nghĩa là một tập lệnh nhúng có thể lạm dụng các điểm yếu trong bảo mật của người đọc và ví dụ như tìm kiếm và sửa đổi các tệp PDF khác trên hệ thống.

Nó có thể còn tồi tệ hơn. Bạn có thể lạm dụng các lỗi lập trình trong các ứng dụng để tiêm mã độc trực tiếp vào bộ nhớ của máy tính. Khi đã có, các hướng dẫn đó có thể được chạy dưới dạng mã gốc và thường có đặc quyền cao, với kết quả tàn phá.

Vậy làm thế nào để nó hoạt động trong Linux?

Linux, giống như Windows, có định dạng thực thi nhị phân. Windows có định dạng PE, Linux định dạng ELF. Nói chung, các thông báo có yêu cầu mở rộng tệp ít rõ ràng hơn, vì vậy các tệp ELF thường không có phần mở rộng. Linux sử dụng Magic Numbers để xác định các tệp đó, đó là lý do tại sao nó không cần các phần mở rộng.

Tuy nhiên, các nhị phân không hoàn toàn phổ biến như một phương thức phân phối phần mềm độc hại trong Linux. Điều này là do người dùng cuối rất hiếm khi thực sự mở các tệp nhị phân mà họ nhận được. Binaries được cài đặt và quản lý bởi người quản lý gói, không phải người dùng cuối. Vì vậy, phần mềm độc hại cần các vectơ tấn công khác để tiêm mã của nó vào nạn nhân.

Điều này có nghĩa là các phương thức khác (tiêm mã, tập lệnh) phổ biến hơn nhiều như các nhà cung cấp mã độc.

phá hoại
nguồn
2

Sự khác biệt ở đây không được thực hiện bởi phần mở rộng tệp, mà bởi một thuộc tính tệp được đặt bởi một lệnh 

chmod +x filename

Bằng cách này, bạn có thể thực hiện từ tệp nhị phân cũng như từ tệp tập lệnh.

Với

ls -l

bạn có thể liệt kê các thuộc tính tệp theo cách an toàn trước khi thực hiện.

Ngoài ra, bạn có thể chạy:

file filename

để hiển thị dữ liệu chi tiết hơn về một tập tin.

kukulo
nguồn
4
Tôi hiểu những gì bạn đang nói ở đây, "quyền là quan trọng đối với bảo mật, hơn cả các loại tệp" và đó là một điểm rất tốt nhưng có lẽ bạn có thể nói rõ điều đó. Luôn luôn cho rằng bất cứ ai đọc không có kiến ​​thức cao cấp về chủ đề này :) Thực hiện một chỉnh sửa đơn giản để chỉ cần làm rõ điều đó và tôi sẽ bỏ phiếu này.
Đánh dấu Kirby
1

Các tiện ích mở rộng và thực thi có ít hoặc không liên quan gì đến nhau trên Windows hoặc Linux và các tiện ích mở rộng hoàn toàn không liên quan gì đến vi-rút. Khi được cung cấp một tệp rõ ràng để hành động, cả hai hệ điều hành nhìn vào tiêu đề của tệp để quyết định phải làm gì với nó. Khi có sự không rõ ràng trong tên tệp, hai hệ điều hành sử dụng các chiến lược hơi khác nhau để xác định mục tiêu dự định. Ví dụ: nếu bạn nhập "echo hello" vào hộp chạy windows, terminal windows hoặc terminal linux, cả hai sẽ tìm trong mỗi thư mục trong biến môi trường PATH cho một tệp có tên "echo" có quyền thực thi và cố gắng thực thi nó với lập luận "xin chào". Windows cũng sẽ tìm tệp "echo.com", "echo.exe", "echo.bat", "echo.cmd", "echo.vb"

Paul Smith
nguồn
1
Windows không bao giờ nhìn vào tiêu đề tập tin. Nó chỉ sử dụng phần mở rộng.
Đại
Xin lỗi @BharadwajRaju nhưng bạn đã nhầm. Như tôi đã giải thích, trong các cửa sổ, tiện ích mở rộng được sử dụng để 'cải thiện' tìm kiếm đường dẫn nhưng một khi tìm thấy một ứng cử viên phù hợp, nó sẽ được chuyển đến trình tải để kiểm tra 'tiêu đề' của tệp để xác định phải làm gì với nó. Trên các phiên bản Windows gần đây hơn, trình tải đó là một tập hợp các hàm có trong ntdll.dll (một phần mở rộng thực thi khác).
Paul Smith
Nó đã thay đổi? Tôi hiểu rồi ... Vậy bây giờ Windows có thể mở tệp mà không cần tiện ích mở rộng không?
Đại
Đã có những thay đổi nhưng đây là hành vi cơ bản kể từ thời MS_DOS và CP / M trước đó.
Paul Smith
@PaulSmith Mặc dù các cửa sổ có thể mở tệp mà không có tiện ích mở rộng, nhưng các cửa sổ thường không biết phải làm gì với tệp không có tiện ích mở rộng trừ khi bạn bảo nó mở bằng ứng dụng đó và như vậy .
mchid
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.