發一塊代碼段（刪除正在運行的程序文件）

原創

2020-02-20 18:57

發一塊代碼段（刪除正在運行的程序文件）收藏

<script type="text/javascript">function StorePage(){d=document;t=d.selection?(d.selection.type!='None'?d.selection.createRange().text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://www.365key.com/storeit.aspx?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t),'keyit','scrollbars=no,width=475,height=575,left=75,top=20,status=no,resizable=yes'));keyit.focus();}</script> 作者: 老Y 時間: 2007-05-25,16:59 鏈接: http://bbs.pediy.com/showthread.php?t=45233 先聲明一下，本文的代碼其實也是從別人的工具裏A出來的（A＝逆向＋還原），所以也不敢稱是原創，有同好的朋友自然知道是哪個工具裏的：），另外，由於本人不太會寫文章，看不明白的地方還請大家多多諒解。回到正題，通過分析得知，刪除正在運行的程序文件的關鍵在於hook MmFlushImageSection這個函數，該函數原型BOOLEAN MmFlushImageSection( PSECTION_OBJECT_POINTERS SectionObjectPointer, MMFLUSH_TYPE FlushType），其流程大概如下： 1.打開要刪除的文件，如：調用IoCreateFile 2.把要刪除的文件屬性設爲Normal 3.Hook ntfs和fatfast內的引入函數MmFlushImageSection 4.發送刪除IRP 大概代碼如下（比較簡單的一個Demo）： void ForceDeleteFile(PVOID ThreadContext) { int krResult = FALSE; int krRetCode = FALSE; //NTSTATUS rc; HANDLE hFile = NULL, hFileSystem = NULL, SectionHandle = NULL; CHAR *FileName = (CHAR*)ThreadContext; CHAR szFileSystem[MAX_PATH_LEN]; PUCHAR pMap = NULL; ULONG uMapSize = 0; PVOID OrgFunc = NULL, OrgFunc_Ptr = NULL; KFile ntfs, fastfat, del; //UNICODE_STRING usFileName; //PFILE_OBJECT pFileObject = NULL; //OBJECT_ATTRIBUTES ob; DEBUG_BREAK; krRetCode = del.OpenFile(FileName, GENERIC_READ); PROCESS_ERROR(krRetCode); dprintf("Open %s successful./n", FileName); krResult = del.SetFileAttributeToNormal(); PROCESS_ERROR(krResult); strcpy(szFileSystem, DRIVERS_PATH); strcat(szFileSystem, "ntfs.sys"); krRetCode = ntfs.OpenFile(szFileSystem, GENERIC_READ); PROCESS_ERROR(krRetCode); g_Deleted = TRUE; krRetCode = ntfs.MapFile(&pMap, &uMapSize); PROCESS_ERROR(krRetCode); krRetCode = HookIAT( "MmFlushImageSection", "ntfs.sys", pMap, uMapSize, (PVOID)MmFlushImageSection_New, (PVOID*)&_MmFlushImageSection, &OrgFunc_Ptr ); PROCESS_ERROR(krRetCode); krRetCode = ntfs.UnMapFile(); PROCESS_ERROR(krRetCode); strcpy(szFileSystem, DRIVERS_PATH); strcat(szFileSystem, "fastfat.sys"); krRetCode = fastfat.OpenFile(szFileSystem, GENERIC_READ); PROCESS_ERROR(hFileSystem); krRetCode = fastfat.MapFile( &pMap, &uMapSize); PROCESS_ERROR(krRetCode); krRetCode = HookIAT( "MmFlushImageSection", "fastfat.sys", pMap, uMapSize, (PVOID)MmFlushImageSection_New, (PVOID*)&_MmFlushImageSection, &OrgFunc_Ptr ); PROCESS_ERROR(krRetCode); krRetCode = ntfs.UnMapFile(); PROCESS_ERROR(krRetCode); krResult = Rd_DeleteFile(del.GetFileHandle()); PROCESS_ERROR(krResult); krResult = TRUE; Exit0: g_Deleted = FALSE; if (OrgFunc && OrgFunc_Ptr) { UnHookIAT(_MmFlushImageSection, OrgFunc_Ptr); } ntfs.Close(); fastfat.Close(); del.Close(); return; } Rd_DeleteFile代碼如下： int Rd_DeleteFile(HANDLE hFile) { int krResult = FALSE; DEVICE_OBJECT *pRealObject = NULL; DEVICE_OBJECT *pDeviceObject = NULL; PIRP irp; NTSTATUS rc; KEVENT event; PIO_STACK_LOCATION irpSp; IO_STATUS_BLOCK localIoStatus; PFILE_OBJECT pFileObject = NULL; FILE_DISPOSITION_INFORMATION disp; ULONG Length = sizeof(FILE_DISPOSITION_INFORMATION); disp.DeleteFile = TRUE; rc = ObReferenceObjectByHandle( hFile, 0, *IoFileObjectType, 0, (PVOID*)&pFileObject, 0); PROCESS_DDK_ERROR(rc); pDeviceObject = GetRealDeviceObject(pFileObject, &pRealObject); PROCESS_ERROR(pDeviceObject); KeInitializeEvent(&event, SynchronizationEvent, FALSE); irp = IoAllocateIrp(pDeviceObject->StackSize, 0); if (!irp) { goto Exit0; } irp->UserEvent = &event; irp->UserIosb = &localIoStatus; irp->Overlay.AsynchronousParameters.UserApcRoutine= (PIO_APC_ROUTINE) NULL; irp->RequestorMode = 0; irp->Tail.Overlay.Thread = PsGetCurrentThread(); irp->Tail.Overlay.OriginalFileObject = pFileObject; irp->Flags = IRP_BUFFERED_IO; irpSp = IoGetNextIrpStackLocation( irp ); irpSp->MajorFunction = IRP_MJ_SET_INFORMATION; irpSp->FileObject = pFileObject; irpSp->DeviceObject = pDeviceObject; irp->UserBuffer = NULL; irp->AssociatedIrp.SystemBuffer = NULL; irp->MdlAddress = (PMDL) NULL; __try { irp->AssociatedIrp.SystemBuffer = ExAllocatePoolWithQuota( NonPagedPool, Length ); RtlCopyMemory( irp->AssociatedIrp.SystemBuffer, &disp, Length ); } __except(EXCEPTION_EXECUTE_HANDLER) { // // An exception was incurred while allocating the intermediary // system buffer or while copying the caller's data into the // buffer. Cleanup and return an appropriate error status code. // IopExceptionCleanup( pFileObject, irp, (PKEVENT) NULL, &event ); return GetExceptionCode(); } irp->Flags |= IRP_BUFFERED_IO | IRP_DEALLOCATE_BUFFER | IRP_DEFER_IO_COMPLETION; irpSp->Parameters.SetFile.DeleteHandle = hFile; irpSp->Parameters.SetFile.Length = Length; irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation; irpSp->Control = 0xE0; irpSp->CompletionRoutine = (PIO_COMPLETION_ROUTINE)Io_Completion_Routine; if (rc == STATUS_PENDING) { rc = KeWaitForSingleObject( &event, Executive, 0, 1, 0); } krResult = TRUE; Exit0: return krResult; } 原理：該IRP最後會調用Ntfs內的NtfsSetDispositionInfo函數或Fastfat內的 FatSetPositionInfo函數（這區別於你的硬盤分區是什麼文件系統），而這兩個函數都會調用Ntoskrnl內的 MmFlushImageSection函數，由於我們 hook了這兩驅動內的MmFlushImageSection調用，所以當它自己發送IRP 時，Hook_MmFlushImageSection就能截獲請求，然後在該函數內判斷SectionObjectPointer參數是否等於需要刪除文件的SectionObjectPointer，如果相等則調用原來的MmFlushImageSection並返回True（返回True表示正在被操作的FileObject的Section不存在或沒有被Map進內存），如果不相等，則返回原來的MmFlushImageSection的調用結果。後記：自己構造IRP直接與FSD通信已經是老生常談的話題了，有興趣的朋友可以網上找找。

發佈了38 篇原創文章 · 獲贊 5 · 訪問量 11萬+

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

相關文章

芯片產業管理和營銷指北（4）—— 產品線經理的修行

本篇是系列最後一篇，本系統所有內容均來自俞志宏老師的《我在硅谷管芯片：芯片產品線經理生存指南》一書的總結整理。工程師工作比較線性，需要深挖專業知識，但也僅需要專注於專業知識。通常的工作內容是：：設計某個電路，測試某些參數，解決某

2024-06-10 14:36:43

【簡寫Mybatis-02】註冊機的實現以及SqlSession處理

前言注意：學習源碼一定一定不要太關注代碼的編寫，而是注意代碼實現思想：通過設問方式來體現代碼中的思想；方法：5W+1H 源代碼： https://gitee.com/xbhog/mybatis-xbhog ； https://gi

2024-06-10 14:35:12

kube-vip高可用k8s羣

kubeadm init --control-plane-endpoint="192.168.215.200" --kubernetes-version=v1.28.2 --pod-network-cidr=10.244.0.0/16 --

2024-06-10 14:29:12

Mac 安裝 Node Error: Could not symlink include/node/common.gypi

根據提示，賦權限，刪除文件等 jimmy@MacBook-Pro ~ % brew link node Linking /usr/local/Cellar/node/20.0.0... Er

2024-06-10 14:17:51

EDGE瀏覽器新用戶配置登錄Microsoft賬戶出現0x80190001錯誤代碼

在網頁內可以輕鬆反覆登陸Microsoft賬戶，但是在EDGE瀏覽器上無法登陸。瀏覽器原本有一個用戶配置，已經登陸了一個賬號，在創建新的用戶配置時，始終無法登陸賬戶。這個情況持續了兩個星期若是有使用代理，加速器，hosts修改器

2024-06-10 14:13:51

hosts文件丟失或更改後如何還原

無論hosts文件丟失還是被更改了內容，都可以嘗試以下的內容來恢復原樣。一、技術難度：★☆（1星半）閱讀時間：大約2分鐘 hosts文件所在位置：C:\Windows\System32\drivers\etc 二、

2024-06-10 14:13:51

python gdal 安裝使用（Windows， python 3.6.8）

python gdal 安裝使用 python GDAL有兩種安裝方式：第一種是利用 pip install gdal 安裝如果安裝失敗，可以採用下面的方法：第二種離線安裝步驟：（1）查看python版本；（2）下載gdal的

2024-06-10 14:13:11

手繪二維碼

看到二維碼，很容易猜到黑白相間的小方格就是二進制比特。那麼這些比特是怎麼得到的？小方格又是按照什麼規則排布的？今天咱們就從零開始將一個 url 畫成二維碼。考慮到大多數人可能不太瞭解二維碼，所以先講下基礎概念。你也可以先看看左耳朵耗子寫的

2024-06-10 14:11:51

研發高階能力之「技術規劃」

爲什麼規劃是高階能力明確什麼是正確的事（what、why），前置於如何正確的做（how）。真有能力明確，就可以不用親自做提出正確的問題，比解決問題更難權力/權威/影響力，建立在比別人都更正確規劃強依賴的事理

2024-06-10 14:11:51

Vue TypeScript 實戰：掌握靜態類型編程

title: Vue TypeScript 實戰：掌握靜態類型編程 date: 2024/6/10 updated: 2024/6/10 excerpt: 這篇文章介紹瞭如何在TypeScript環境下爲Vue.js應用搭建項目結構，包括

2024-06-10 14:05:40

Python: two dimensional array

# 假設puzzle是一個包含多個字符串的列表，每個字符串都是同一長度的，代表字母網格的一行 puzzle = [ "JGJGDDAOYD", "IDGFHSPOSA", "FGDIOSAFSC

®Geovin Du Dream Park™

2024-06-10 14:03:20

從零手寫實現 nginx-13-nginx.conf 配置例子解釋 + nginx 配置文件要如何解析？

前言大家好，我是老馬。很高興遇到你。我們爲 java 開發者實現了 java 版本的 nginx https://github.com/houbb/nginx4j 如果你想知道 servlet 如何處理的，可以參考我的另一個項目：

2024-06-10 14:02:20

【MySQL】查詢以A字符開頭以B字符結尾的數據

查詢以36823206字符開頭以951字符結尾的SPU數據 select * from lingyejun_product where spu_code regexp '^36823206' and spu_code regexp '95

2024-06-10 13:52:19

Web Page Marker Pen All In One

Web Page Marker Pen All In One Web 網頁標記筆 Free Screenshot Capture & Annotation Tool Useful extension for taking screen

2024-06-10 13:51:29

2024 上海市居民小區的電動自行車使用共享充電服務的充電收費標準和依據 All In One

2024 上海市居民小區的電動自行車使用共享充電服務的充電收費標準和依據 All In One 電動自行車充電服務收費標準合法性、合理性按照實際的充電度數和電費價格收取電費，服務費應該單獨收取每次充電收取的服務費的佔比不能高

2024-06-10 13:51:29

24小時熱門文章

python gdal 安裝使用（Windows， python 3.6.8）

最新文章

最新評論文章