自删除程序的分析

原创 2006年06月13日 11:18:00

原文:

标 题:一篇在程序还未结束运行时就能把自身删除的文章(2千字)
发信人:WinDos2K
时 间:2002-2-7 16:02:05
详细信息:

下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码.
这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了.
int main(int argc, char *argv[])
{
    HMODULE module = GetModuleHandle(0);
    CHAR buf[MAX_PATH];
    GetModuleFileName(module, buf, sizeof buf);
    CloseHandle(HANDLE(4));
    __asm {
        lea    eax, buf
        push    0
        push    0
        push    eax
        push    ExitProcess
        push    module
        push    DeleteFile
        push    UnmapViewOfFile
        ret
    }
    return 0;
}
现在,我们先看一下堆栈中的东西

偏移 内容
24  0
20  0
16  offset buf
12  address of ExitProcess
8    module
4    address of DeleteFile
0    address of UnmapViewOfFile

调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module, buf, sizeof buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回.
这段代码的精妙之处在于:
1.如果有文件的HANDLE打开,文件删除就会失败,所以,CloseHandle(HANDLE(4));是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄.
2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码.
3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.)

Gary Nebbett果然是WIN系列平台的顶尖高手之一.能写出如此代码.独辟蹊径啊:)

分析:

1 调 ret 后 UnmapViewOfFile地址进ip ,DeleteFile 被视为调用UnmapViewOfFile 后的返回地址 module被认为是UnmapViewOfFile的参数

2  执行完UnmapViewOfFile后 DeleteFile 认为是返回地址,进ip ,进入DeleteFile 的实现后堆栈变成:
         24  0
         20  0
        16  offset buf
        12  address of ExitProcess
这里  ExitProcess 被认为是 调用DeleteFile 的返回地址 buf是 DeleteFile 的参数.

3 执行完DeleteFile 后,ExitProcess被视为返回地址,而ExitProcess的调用参数变为24的0

调用 call 指令前,如果有参数,参数将入栈,调用call后,call语句下面的地址将入栈,所以进入调用函数后堆栈的地址结构是

10:   参数

14:  调用地址

测试例子:

54:       Function1(1);
0040B6E1   push        1
0040B6E3   call        Function1 (0040b610)
55:       Function2(11);
0040B6E8   push        0Bh
0040B6EA   call        @ILT+20(Function2) (00401019)
56:       Function3(1,2);
0040B6EF   push        2
0040B6F1   push        1
0040B6F3   call        @ILT+25(Function3) (0040101e)

 

相关文章推荐

Android 创建和删除程序桌面快捷方式(转)

Intent shortcut = new Intent("com.android.launcher.action.INSTALL_SHORTCUT"); //快捷方式的名称 ...

RPM是RedHat Package Manager(RedHat软件包管理工具)类似Windows里面的“添加/删除程序”

pm 执行安装包 二进制包(Binary)以及源代码包(Source)两种。二进制包可以直接安装在计算机中,而源代码包将会由RPM自动编译、安装。源代码包经常以src.rpm作为后缀名。 常用命令...

一种巧妙的删除程序自己的方法

巧妙的删除程序自己的方法
  • bingwa
  • bingwa
  • 2011年01月12日 23:33
  • 229

ubuntu可删除程序列表

sudo apt-get -y --auto-remove purge unity unity-2d* sudo apt-get -y --auto-remove purge unity-asset-...

Linux rpm 命令参数使用详解:RPM是RedHat Package Manager(RedHat软件包管理工具)类似Windows里面的“添加/删除程序”

Linux rpm 命令参数使用详解:RPM是RedHat Package Manager(RedHat软件包管理工具)类似Windows里面的“添加/删除程序”...

IIS日志自动删除程序

很多使用Windows IIS的站长可能都会遇到这个问题,就是服务器的IIS日志增长经常会导致磁盘空间被占满,而IIS也没有自动删除日志的功能,因此需要经常关注即时清理日志,因此我这里就介绍一个能够自...

C#使用API禁用/删除程序窗体的关闭菜单和按钮

C#使用API禁用/删除程序窗体的关闭菜单和按钮 // 可用于Excel子窗体中的WorkBook对象否?待测试实验 2010-11-24  2009年5月5日 14:41 (被踩 47 次) ...

RPM是RedHat Package Manager(RedHat软件包管理工具)类似Windows里面的“添加/删除程序”

RPM是RedHat Package Manager(RedHat软件包管理工具)类似Windows里面的“添加/删除程序” rpm 执行安装包 二进制包(Binary)以及源代码包(Source...

如何手工删除控制面板“添加与删除程序”中的无效项目

windows天地论坛用户问:如何删除控制面板的无效卸载程序?点击卸载无法卸载,但是控制面板里的这个东西还在,怎么办? windows天地答: 有些时候一些应用程序确实会出现这类问题,特别是我们先...
  • ty_soft
  • ty_soft
  • 2011年12月01日 10:07
  • 3095

重复行删除程序 (Python 代码)

  • 2016年02月18日 19:04
  • 781B
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:自删除程序的分析
举报原因:
原因补充:

(最多只允许输入30个字)