某些情况下需要exe运行结束删除自身,而自删除程序有好几种方法,如下面的两方法:
a.先使自己快速退出,然后再在命令行中删除自己;或是先使自己快速退出,然后再在bat文件或脚本文件中删除自己
b. 非常经典的,关闭硬编码为4的句柄,撤销自己在内存的映射,再删除自己,再结束自己,也就是进程在未真正退出的时候就已经被删除了(只能在win2k或98使用)
int main(int argc, char *argv[])
{
HMODULE module = GetModuleHandle(0);
CHAR buf[MAX_PATH];
GetModuleFileName(module, buf, sizeof buf);
CloseHandle(HANDLE(4));
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile//FreeLibrary;98
ret
}
return 0;
}
本文所使用的是另外一种方法:使用注入其他进程的shellcode来实现自删除,其基本原理就是:让shellcode先终止自己,然后再让shellcode删除自己。执行shellcode完毕之后,仅在内存保留一段地址,而不会产生磁盘文件,利用这个特点可以用来做'干净的'自删除程序,但会让被注入的进程造成内存泄漏,理由是注入的代码不能被释放,否则会造成调用方的访问违规。
要点: 1.本地修改API函数在远程进程的实际地址,有效的减少shellcode的代码长度,利用预定义的宏作为可能被调用的API函数的值,宏 的一个特点是,在编译的时候,只会编译成宏定义的值,而不是像变量一样被优化成地址(因为本地变量的地址在其他进程是无效的)
2.在运行时修改寄存器指向的地址,在进程virtualallocex分配一块内存,然后把得到的地址由esi指向它,
然后writeprocessmemory,esi持有的地址就会发生变化,这样就可以修改预先编码的数据,就像使用函数参数一样来传递。
基本实现: 程序自杀的原理,注入远线程到其他进程,让线程的shellcode终止掉自己,然后再调用deletefile删除自己(有点笨挫,也许可以有更好的方法),(当然也可以用来干掉其他进程,但前提是可以被结束和删除的。。)
限制:可能被杀软报警,至少读写其他进程的数据是违规的吧?
下面是代码:
//h文件//
//查找指针内的一个无符号的32位整数值,这个可以是个标签
void* __cdecl find_ptrvalue(__in void* pfun,__in unsigned int findvalue,__out unsigned int *ioffset );
//更完善的
void* __cdecl FindCodeValue(__in void* pcode,__in size_t codelen,__in unsigned int findvalue,__out unsigned int *ioffset );
//查找全部匹配的,并替换为指定的,并返回最后一个找到的偏移量
unsigned int __cdecl FindCodeReplaceAll(__in void* pcode,__in size_t codelen,
__in unsigned int findvalue,__in unsigned int replacevalue);
/*获得指定模块路径的在某个进程中的基地址*/
DWORD __stdcall GetModulebaseProcessW(__in DWORD dwPid,__in LPWSTR lpszDllFile);
DWORD __stdcall GetModulebaseProcessA(__in DWORD dwPid,__in LPSTR lpszDllFile);
#ifdef UNICODE
#define GetModulebaseProcess GetModulebaseProcessW
#else
#