[安全技术]谁来解释下like-Unix/Unix系统不容易感染病毒的原理

linyin

一直就听说有这说法,但一直没有人来详细的解释

难道是和文件的权限有关,还是和盘符的格式有关? :ask

zhllg

病毒个体都很小
因为它们依靠共享库

现在*nix系统的共享库都是动态共享库，里面的代码是位置无关代码，position independent code，可以被加载到进程地址空间的任何位置，难以预知。病毒难以利用。

windows的dll实际上和*nix系统里的动态共享库不完全一样
它们加载到进程地址空间里的地址都是固定的，病毒容易利用

不过*nix里写病毒也不是完全没辙
可以找一篇文章叫”cheating the ELF: subversive dynamic linking to libraries"

LiEn

Unix系统不存在与windows相同的共享链接库类型，与windows的dll运行方式不同，在很大情况下，System servers运行方式是由script所决定，而Unix的Scripts是透明的，也就是说，任何添加或改动都会被查觉，并进入日志系统。同时在做任意发动前必需获得限权，这与windows公匙加密算法也完全不同。想轻松获取Account&assword时的可能性是94^63=2.027938484e+124，按64位加密算法来算，当然即便是8位密码也是94^8=6095689385410816种可能性（分大小写及特殊字符）。这使在猜得密码并获取限权的可能性是微乎其微的。即便在如tcp、ftp、web 、mail、telnet等存在着Bug，通过DoS/Denial of Service攻击将木马及病毒放入系统也不能自动运行。当然要让病毒完全不进入系统是不可能的，但即便进入又能怎样？虽然现在已有少量的Script病毒庭誔生，其被传播的可能性也极小，它不能在有效的环境中被复制，每个系统都是独一无二的，它不能找到代码的“同一性”，除非这个病毒非常聪明，具有人工智能算法──自学习程式。这样的程序不只是几百K的代码量，另外运行脚本文件是可以被更名或改变路径的。一但被更名或改变路径，病毒脚本怎么也不可能找到将被感染文件的正确路径。最终是会成为一堆垃圾代码占用一点点硬盘空间罢了。

zhllg

Unix系统不存在共享链接库? what do you think  "libc.so" is?

通过DOS攻击将木马及病毒放入系统? Could you explain a little bit how to do that? I am really curious about it.

LiEn

Post by zhllg
Unix系统不存在共享链接库? what do you think  "libc.so" is?

有点笔误！

Post by zhllg
通过DOS攻击将木马及病毒放入系统? Could you explain a little bit how to do that? I am really curious about it.

DoS/Denial of Service攻击SYN Flood，DoS is not DOS System制造系统混乱并伺机打开后门，利用TCP弱点。DOS攻击还可能是另一种供给的前奏，这就是IP欺骗攻击（该攻击可以获得ROOT权限，危险系数最高），如果出现了DOS攻击但又不阻塞网络，且攻击目标不起眼，那么这很可能就是一个IP欺或TCP截取的开始，所以DOS攻击是一种破坏力大，效果明显，且暗藏杀机的攻击。

zhllg

Post by LiEn

DoS/Denial of Service攻击SYN Flood，DoS is not DOS System制造系统混乱并伺机打开后门，利用TCP弱点。DOS攻击还可能是另一种供给的前奏，这就是IP欺骗攻击（该攻击可以获得ROOT权限，危险系数最高），如果出现了DOS攻击但又不阻塞网络，且攻击目标不起眼，那么这很可能就是一个IP欺或TCP截取的开始，所以DOS攻击是一种破坏力大，效果明显，且暗藏杀机的攻击。

better read this
http://en.wikipedia.org/wiki/Denial-of-service_attack

LiEn

Post by zhllg
better read this
http://en.wikipedia.org/wiki/Denial-of-service_attack

Yes,thank you.I Know's
A DoS attack can be perpetrated in a number of ways. There are four basic types of attack:

    * consumption or overload of system or network resources, such as bandwidth, disk space, or CPU time
    * disruption of configuration information, such as routing information
    * disruption of physical network components
    * disruption of normal operating-system functionality by exploiting a software vulnerability.

同样可利用DoS攻击来散布病毒。更加微妙的攻击方法，是多手段并用，这是现在一惯的手法。

hualala

Post by LiEn
虽然现在已有少量的Script病毒庭誔生，其被传播的可能性也极小，它不能在有效的环境中被复制，每个系统都是独一无二的，它不能找到代码的“同一性”，除非这个病毒非常聪明，具有人工智能算法──自学习程式。

独一无二是指什么？
是指linux内核版本太多，大家的库的版本可能都不一样吗？

stoneme

我觉得是没有注册表的原因，*nix的核心很难更改（又要安装又要启动被外界修改基本不可能），加到启动里要取得根权限，而一个windows病毒就很容易把自己放到注册表里，并借此取得最高权限和贮留内存。

zhllg

这只是表象
有没有注册表关系不大
关键是能不能开机自动启动
windows可以改注册表
*nix系统可以打/sbin/init的注意，而且平时普通的*nix用户根本不会去检查init是否被人改过。不过想改也不是那么容易，有经验的用户平时都不用root，不像windows,即使病毒能够执行，也只有普通用户权限，改不了init