文件占坑,防止删除大法

最新推荐文章于 2019-04-02 14:26:42 发布
最新推荐文章于 2019-04-02 14:26:42 发布
阅读量1.1k 收藏 2
点赞数
文章标签: null token file attributes access system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fegor/article/details/5117743
版权

exe文件占坑:

//

#include <windows.h>

//提权函数
void RaiseToDebugP()
{
HANDLE hToken;
HANDLE hProcess = GetCurrentProcess();
if ( OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) )
{
  TOKEN_PRIVILEGES tkp;
  if ( LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid) )
  {
   tkp.PrivilegeCount = 1;
   tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  
   BOOL bREt = AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, 0) ;
  }
  CloseHandle(hToken);
}   
}
  BOOL OccupyFile( LPCTSTR lpFileName )
  {
      BOOL    bRet;
      //提升自身权限
      RaiseToDebugP();
   //打开一个pid为4的进程,只要是存在的进程,都可以
   HANDLE hProcess = OpenProcess( PROCESS_DUP_HANDLE, FALSE, 4);    // 4为system进程号
  
      if ( hProcess == NULL )
      {         
    return FALSE;
      }
  
      HANDLE hFile;
      HANDLE hTargetHandle;
   //以独占模式打开目标文件
   hFile = CreateFile( lpFileName, GENERIC_READ, 0, NULL, OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);   
  
  
      if ( hFile == INVALID_HANDLE_VALUE )
      {
          CloseHandle( hProcess );
          return FALSE;
      }
  
   //把文件句柄复制到pid=4的进程中去,这样,只要pid=4的进程不退出,谁也动不了目标文件
  bRet = DuplicateHandle( GetCurrentProcess(), hFile, hProcess, &hTargetHandle,
          0, FALSE, DUPLICATE_SAME_ACCESS|DUPLICATE_CLOSE_SOURCE);
  
      CloseHandle( hProcess );
  
      return bRet;
  }
 
 
  //入口函数
  int main()
  {
      OccupyFile("D://Program Files//工具软件//任务管理.exe");
  
      return 0;
  }
/

任意文件占坑法,这要求C盘必须是NTFS的

http://hi.baidu.com/buaa_dep6/blog/item/46386b42e7ab71199313c607.html

#include<stdio.h>
#include <windows.h>
#include "StdAfx.h"
//raise to debug privilege
BOOL RaisePrivilege()
{
    BOOL bRet = FALSE;
    HANDLE hToken;
    if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,&hToken))
     {
         TOKEN_PRIVILEGES tkp;
        if(LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid))
         {
             tkp.PrivilegeCount = 1;
             tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

             bRet = AdjustTokenPrivileges(hToken,FALSE,&tkp,0,NULL,0);
         }

     }
     CloseHandle(hToken);
    return bRet;
}


//duplicate the file handle to process "system"
BOOL DuplicateFileHanlde(LPCTSTR lpFileName)
{
    HANDLE hFile,hTargetFile,hTargetProcess;
    BOOL bRet = FALSE;

    if(INVALID_HANDLE_VALUE == (hFile = CreateFile(lpFileName,GENERIC_READ,0,NULL,
         CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL)))
     {
         CloseHandle(hFile);
         printf("CreateFile failed,Errid %d/n",GetLastError());
        return bRet;
     }

    if(INVALID_HANDLE_VALUE == (hTargetProcess = OpenProcess(PROCESS_DUP_HANDLE,FALSE,4)))
     {
         CloseHandle(hFile);
         CloseHandle(hTargetProcess);
         printf("OpenProcess failed,Errid %d/n",GetLastError());
        return bRet;
     }

     bRet = DuplicateHandle(GetCurrentProcess(),hFile,hTargetProcess,&hTargetFile,0,
         FALSE,DUPLICATE_SAME_ACCESS | DUPLICATE_CLOSE_SOURCE);
   
     CloseHandle(hTargetProcess);
    return bRet;

   
}


//establish a hard link between 2 files
void HardLinkFile(LPCTSTR lpFileName,LPCTSTR lpExistingFileName)
{
    typedef BOOL (__stdcall *pCreateHardLink)
         (LPCTSTR lpFileName,
        LPCTSTR lpExistingFileName,
         LPSECURITY_ATTRIBUTES lpSecurityAttributes
         );
     pCreateHardLink myCreateHardLink = (pCreateHardLink)GetProcAddress(LoadLibrary("kernel32.dll"),"CreateHardLinkA");
    if(!myCreateHardLink(lpFileName,lpExistingFileName,NULL))
         printf("CreateHardLink failed Errid %d/n",GetLastError());
}

int main()
{
 
    HANDLE hFile = CreateFile("c://windows//system32//371.DLL",FILE_WRITE_DATA,
         FILE_SHARE_READ | FILE_SHARE_WRITE,NULL,CREATE_ALWAYS,0,0);
    if(hFile == INVALID_HANDLE_VALUE)
     {
         printf("CreateFile failed Errid %d/n",GetLastError());
         CloseHandle(hFile);
        return 0;
     }

     HardLinkFile("c://pross","c://windows//system32//371.DLL");
     CloseHandle(hFile);

    if(RaisePrivilege())
        if(!DuplicateFileHanlde("c://pross"))
         {
             printf("DuplicateHandle failed,Errid %d/n",GetLastError());
            return 0;
         }
       
    return 0;
}

///

fegor
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FTP无法删除文件的分析
10-01
当一个文件正在被某个应用程序使用时,为了确保数据的一致性和安全性,操作系统会将其锁定,防止其他进程对其进行修改或删除。 2. **解决方法**: - **停止应用程序**:如果文件是被某个应用程序锁定的,最简单的...
操作系统文件管理大作业
06-16
实现目录结构管理需要设计和实现创建、删除、查找和移动目录及文件的系统调用,例如mkdir、rmdir、cd、ls等。同时,还需要处理硬链接和符号链接,它们分别允许多个文件名指向同一块磁盘空间,以及创建指向其他文件或...
文件占坑
weixin_34261739的博客
08-02 137
从DuplicateHandle函数学习到的知识。其实我们在使用函数GetCurrentProcess获得的句柄值是虚假的句柄值。如果我们需要在进程之间通信使用这些句柄的话,就需要将其转换。下边的是MSDN上面的解释:The pseudo handle need not be closed when it is no longer needed. Calling the Cl...
R3文件占坑大法
XboxMicro
02-26 1569
本文来自PEDIY   1 #include 2 #include 3 4 BOOL OccupyFile( LPCTSTR lpFileName ); 5 6 7 int main() 8 { 9 OccupyFile(L"C:\\1.txt"); 10 system("pause"); 11 return 0; 12 } 13
ring3文件占坑大法
05-08 1116
#include BOOL OccupyFile( LPCTSTR lpFileName );int main(){    OccupyFile("c://aaa111.txt");    return 0;}void RaiseToDebugP(){    HANDLE hToken;    HANDLE hProcess = GetCurrentProcess();    if ( OpenP
文件占坑大法
weixin_34185364的博客
08-23 134
#include <windows.h> BOOL OccupyFile( LPCTSTR lpFileName ); int main() { OccupyFile("c:\\aaa111.txt"); return 0; } void RaiseToDebugP() { HANDLE hToken; HANDLE hProcess = GetCurrentPro...
ring3层一种占用文件的方法(DuplicateHandle以后,把占用文件的句柄丢给系统进程,导致被占用)
dolphin98629的专栏
12-15 332
前段时间,一个测试工程师问我关于怎样长时间的占用一个文件,而使别的程序无法再访问这个文件,想起以前很多病毒木马经常劫持hosts文件不放,除非你找到占用文件的程序,并强行结束掉,否则怎么也访问不了hosts文件,病毒通过劫持这个文件来达到劫持你的域名的目的,很有可能你输入了www.baidu.com,访问的却是一个带颜色的网站,并稀里哗啦在后台下了上百个病毒,扯远了,呵呵。     其实sdk里...
VC++使用递推法删除目录的小例子
03-15
本文将详细讲解如何使用递推法在VC++中删除目录,这适用于那些想要深入理解文件系统操作的开发者。 首先,我们要知道递推法是一种解决问题的方法,它通过将大问题分解为小问题来解决,通常这些小问题与原问题具有...
最快的删除文件工具Directory.Eraser
10-15
《Directory.Eraser:快速高效的大文件删除利器》 在日常的计算机使用中,我们时常会遇到需要删除大量文件或大文件的情况。这些文件可能是不再需要的软件安装包、大型游戏文件、过期的备份数据等。传统的删除方法...
sc.rar_下载网站_文件的选择
最新发布
09-14
防止恶意文件上传,比如病毒或恶意代码,可以通过文件扫描和内容过滤实现。同时,要确保用户下载的是他们期望的文件,避免被篡改。 6. **性能优化**:对于高并发的下载需求,可以通过CDN(内容分发网络)来提高文件...
进程防杀hook openprocess[C]
06-01
进程防杀 hook openprocess hook openprocess
ring3层一种占用文件的方法
magictong的专栏
09-17 2285
前段时间,一个测试工程师问我关于怎样长时间的占用一个文件,而使别的程序无法再访问这个文件,想起以前很多病毒木马经常劫持hosts文件不放,除非你找到占用文件的程序,并强行结束掉,否则怎么也访问不了hosts文件,病毒通过劫持这个文件来达到劫持你的域名的目的,很有可能你输入了www.baidu.com,访问的却是一个带颜色的网站,并稀里哗啦在后台下了上百个病毒,扯远了,呵呵。    其实sdk里
占坑
夏至是个程序媛
04-02 145
占坑
阻止删除文件(文件占坑)+nevergone逆向代码一份
daiafei
03-25 3752
文章来源:http://forum.eviloctal.com/thread-32738-1-3.html 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 逆向作者:nevergone 作者:Written by 风泽(EvilHsu)[E.S.T] 真正的技术作者是DebugMan上《ring3文件占坑大法》的作者。 介绍: dhfile是参
强制删除文件(1)——直接发IRP到文件系统
zz_strive_2012的专栏
10-25 1304
这个程序比较简单,主要练习了两个点: (1)模拟发送IRP (2)使用内核事件对象同步IRP的执行 强制删除文件的思路很简单,把SECTION_OBJECT_POINTERS结构的DataSectionObject和ImageSectionObject两个域清空即可删除正在运行的文件。如果不清空就不能删除运行中的文件。正在运行的文件的这两个域值不为0而文件系统正在根据这两个域决定该文件
占坑补题。。最近占的坑有点多。。。
An55511的博客
04-03 124
先跟罗大神小白他们刷简单dp,刷完dp1再来补。。。 Codeforces 659G Fence Divercity【计数DP】 题目链接: http://codeforces.com/problemset/problem/659/G 题意: 分析: 转载于:https://www.cnblogs.com/Tuesday...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值