介紹一種巧妙的刪除程序自己的方法 |
vcbear 投稿 2001/03/08 未經作者允許任何機構或個人不得以任何方式轉載或複製本文 |
近日看到網友詢問如何實現程序運行之後把自己刪除的方法,不知大家對木馬甚麼的興趣實在太濃,還是想要這樣的效果:用戶只要一運行程序,可執行文件就沒有了,可是程序還是在跑,膽小的只怕要喊"鬼呀!","老婆,快出來看上帝"甚麼的。其實最典型的用法是寫反安裝程序. 閒來無事,Bear掰到一種還算巧妙的“刪除自己”的方法。 大家都知道,一般的程序運行的時候,可執行文件本身是被操作系統保護的,不能用改寫的方式訪問,更別提在本身還在運行的時侯刪除自己了。在Lu0的主頁上看到一種UNDOCUMENT的方法,通過改變系統底層的文件訪問模式實現刪除自己,那是實在功夫。我看了很是佩服。但是有沒有一種用在MSDN上就能查到的函數實現呢?有!Jeffrey Richter給我們做了一個範例: DeleteMe.CPP Module name: DeleteMe.cpp Written by: Jeffrey Richter Description: Allows an EXEcutable file to delete itself ********************************************************************/ #include <Windows.h> #include <stdlib.h> #include <tchar.h> ///////////////////////////////////////////////////////////////////// int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) { // Is this the Original EXE or the clone EXE? // If the command-line 1 argument, this is the Original EXE // If the command-line >1 argument, this is the clone EXE if (__argc == 1) { // Original EXE: Spawn clone EXE to delete this EXE // Copy this EXEcutable image into the user's temp directory TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH]; GetModuleFileName(NULL, szPathOrig, _MAX_PATH); GetTempPath(_MAX_PATH, szPathClone); GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone); CopyFile(szPathOrig, szPathClone, FALSE); //***注意了***: // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL); // Spawn the clone EXE passing it our EXE's process handle // and the full path name to the Original EXE file. TCHAR szCmdLine[512]; HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId()); wsprintf(szCmdLine, __TEXT("%s %d "%s""), szPathClone, hProcessOrig, szPathOrig); STARTUPINFO si; ZeroMemory(&si, sizeof(si)); si.cb = sizeof(si); PROCESS_INFORMATION pi; CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi); CloseHandle(hProcessOrig); CloseHandle(hfile); // This original process can now terminate. } else { // Clone EXE: When original EXE terminates, delete it HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]); WaitForSingleObject(hProcessOrig, INFINITE); CloseHandle(hProcessOrig); DeleteFile(__targv[2]); // Insert code here to remove the subdirectory too (if desired). // The system will delete the clone EXE automatically // because it was opened with FILE_FLAG_DELETE_ON_CLOSE } return(0); }
看懂了嗎? 這一段程序思路很簡單:不是不能在運行時直接刪除本身嗎?好,那麼程序先複製(CLONE)一個自己,用複製品起動另一個進程,然後自己結束運行,則原來的EXE文件不被系統保護.這時由新進程作爲殺手刪除原來的EXE文件,並且繼續完成程序其他的功能。 新進程在運行結束後,複製品被自動刪除。這又是值得介紹的一個把戲了,注意: // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL); 這裏面的FILE_FLAG_DELETE_ON_CLOSE標誌,這個標誌是告訴操作系統,當和這個文件相關的所有句柄都被關閉之後(包括上面這個CREATEFILE創建的句炳),就把這個文件刪除。幾乎所有的臨時文件在創建時,都指明瞭這個標誌。 另外要注意的是:在複製品進程對原始程序操刀之前,應該等待原進程退出.在這裏用的是進程同步技術.用 HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId()); 得到原進程句柄.SYNCHRONICE標誌在NT下有效,作用是使OpenProcess得到的句柄可以做爲同步對象.複製品進程用WaitForSingleObject函數進行同步,然後一個DeleteFile,以及進行其它銷燬證據(Jeffrey說:比如刪目錄)的工作,打完收工! 程序是基於CONSOLE的,通過傳入的參數確定是原始的進程還是複製品新進程,並且得到需要操作的目標文件的信息(主要是路徑),複製品放在系統的TEMP目錄(GetTempPath得到),你也可以隨便找個你認爲安全的地方(比如:WINDOWSSYSTEM32等等)。 這裏面沒有甚麼深的技術.再看其他的一些實現刪除自己的例子,比如說在進程退出前,用fwrite等方法輸出一個.BAT文件,在裏面寫幾句DEL,然後WINEXEC一下這個BAT文件即可.玩兒過DOS的蟲蟲大多都會。今天又學一招,爽。 2001.2.27(隨便轉載,只要不拿掉bear的名字:D) |
介紹一種巧妙的刪除程序自己的方法
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.