如何"借他人之手"实现可执行文件的自我删除

最新推荐文章于 2007-06-21 13:59:00 发布
最新推荐文章于 2007-06-21 13:59:00 发布
阅读量949 收藏 1
点赞数
分类专栏: 编程技术 文章标签: command null shell path windows class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pll621/article/details/427641
版权

可执行文件即EXE文件在运行过程中,由系统管理其打开的句柄。此时对该文件的一些操作是被系统禁止的,比如删除操作。然而在某些场合,可能须要程序有自我删除的功能,也就是程序运行结束后删除自身。基于这个想法,可以有一种很简单的方法来实现这个基本功能。

       本方法基于两点来实现删除功能。一是利用windowscommand program的删除文件操作;再者就是启动新的进程来执行这个删除操作。下面就仔细说明。

       Windows中的command program是一个系统的shell program. windows95/98/Me中,其文件名为command.com,而在NT/2000/XP中则是cmd.exe。我们可以通过环境变量COMSPEC得到其全路径名。

       假定目前我们所使用的是XP,在命令行中输入:

       cmd.exe /?

       即得到command shell的使用方法;其中 /c 的含义是:执行字符串指定的命令然后终断,这正是我们所须要的。这样利用command shell删除一个文件的命令如下:

       cmd.exe /c del mypro.exe

       这里要注意一点,文件名应该是短文件名(文件名不得超过8个字符,后缀不超过3个字符)。如果实际文件是长文件句,那么程序中我们可以用GetShortPathName这个API函数来转换。

       接下来我们要做是如何在一新的进程中成功的执行这一指令。起来一个新进程的命令主要有ShellExecuteCreateProcess

       先使用ShellExecute为例。在程序的结束处使用如下语句:

       ShellExecute(NULL, "open","cmd.exe", "/c del mypro.exe ", NULL, SW_HIDE);

    编译后运行文件发现执行成功,文件运行完后被删除。但是后面做多次实验后,发现有时文件执行完后并不会被删除。通过分析,认为在删除操作执行时,可执行文件还未关闭。也就是说只有在执行文件的进程关闭后,执行删除操作的进程才能完成操作。这样就有了一个问题,系统负责进程和线程的调度执行,我们无法人为规定进程或线程以某种秩序执行。

    对此我的解决办法是,建立执行删除操作的进程时设定其为挂起状态,从而为其的设定一个低优先级别,同时提高执行文件的进程级别,然后才正式起动新进程。这样基本可以保证两个进程的先后执行。这样新的解决方法就是用CreateProcessCREATE_SUSPEND标志来建立新进程,然后用SetPriorityClass来设定相应的优先级,主进程的优先级是HIGH_PRIORITY_CLASS,而执行删除操作的进程的优先级是IDLE_PRIORITY_CLASS。经过数百次的测试,删除操作都是成功的。

    下面是一个封装了删除操作的函数,函数内起动一个进程执行command shelldel命令。在程序最后结束处调用它,就可以简单的实现程序的自删除功能。

 

#include <windows.h>

#include <shellapi.h>

#include <stdio.h>

 

int DeleteMyExe()

{

    TCHAR tcsExename[MAX_PATH];

    TCHAR tcsParam[MAX_PATH * 2];

    TCHAR tcsCmd[MAX_PATH];

    HANDLE hProcess = NULL;

 

    // get exe filename and command shell program

    if( 0 == GetModuleFileName(NULL, tcsExename, MAX_PATH)

        ||  0 == GetEnvironmentVariable(_T("COMSPEC"), tcsCmd, MAX_PATH))

        FAILRET;

 

    // get short filename for command shell program

    if( 0 == GetShortPathName(tcsExename, tcsExename, MAX_PATH))

        FAILRET;

   

    // create a command process, set its priority, then start it.

    STARTUPINFO si;

    PROCESS_INFORMATION pi;

 

    ZeroMemory( &si, sizeof(si) );

    si.cb          = sizeof(si);

    si.dwFlags     = STARTF_USESHOWWINDOW;

    si.wShowWindow = SW_HIDE;

    ZeroMemory( &pi, sizeof(pi) );

 

    _stprintf(tcsParam, _T("%s /c del %s"), tcsCmd, tcsExename);

    if(!CreateProcess(NULL,

                      tcsParam,

                      NULL,

                      NULL,

                      FALSE,

                      CREATE_SUSPENDED,

                      NULL,

                      NULL,

                      &si,

                      &pi))

    {

        return GetLastError();

    }

 

    // heigthen priority of the current process

    SetPriorityClass(GetCurrentProcess(), HIGH_PRIORITY_CLASS);   

 

    // set file attribute to normal

    SetFileAttributes(tcsExename, FILE_ATTRIBUTE_NORMAL);

 

    // depress priority of command process, then start it

    SetPriorityClass(pi.hProcess, IDLE_PRIORITY_CLASS);

    ResumeThread(pi.hThread);

    return 0;

}

 

pll621
关注
专栏目录
VB远程DLL注入、卸载及自我删除
05-07
在执行自我删除之前,需要注意确保程序的所有操作已经完成,且没有其他部分依赖于这个文件。 6. **安全性与合法性**:DLL注入和自我删除技术可以被用于合法的系统维护或调试,但同样可能被滥用进行恶意活动。因此,...
文件比较器
05-31
2. **二进制文件对比**:对于非文本文件(如图片、音频、视频或可执行文件),文件比较器能检测字节级别的差异。 3. **合并冲突**:在版本控制系统中,当两个用户同时修改同一文件时,文件比较器可以帮助解决合并...
PiN Board_文件管理器_V1.1.7z
最新发布
10-08
在数字化时代,文件管理成为日常工作和生活中不可或缺的一部分。PiN Board 文件管理器 V1.1 是一款高效、便捷的文件管理工具,旨在优化用户的文件组织、查找和操作体验。这款应用通过其简洁的界面和强大的功能,使得...
超级兔子清理王单文件
10-18
"单文件"是指该程序被打包成一个独立的可执行文件,无需安装即可运行,方便用户随身携带和使用。这样的设计使得超级兔子清理王可以在任何装有相同操作系统的电脑上快速启动,无需担心依赖性问题或在不同机器间迁移时...
期末作业之仿资源管理器_C#
01-06
在【压缩包子文件的文件名称列表】中,仅有一个文件名"期末作业之仿资源管理器",这可能是一个包含源代码、编译后的可执行文件或者相关资源的文件夹。如果是一个文件夹,通常会包括`.cs`源代码文件(C#语言),`....
获取句柄的详细信息:(原代码)
老裴
05-31 4250
一、驱动部分extern "C"{#include }#include "ScSysInfo.h"extern "C"{#include "native.h"#include "../TestHandle/ob.h"}#if 1#define dprintf DbgPrint#else#define dprintf#endif#define kprintf DbgPrint#define NT_D
捆绑exe文件
老裴
12-11 2662
启动前先启动 Calc.exe, 改一下, 用 Explorer.exe 也可以。 代码:--------------------------------------------------------------------------------#define UNICODE#define _UNICODE                          #include #include
RLE压缩及优化
老裴
06-28 1836
简单的说RLE压缩就是将一串连续的相同数据转化为特定的格式达到压缩的目的。下面都对byte流压缩。如输入数据LPBTE pByte={1,1,1,1,1,1};压缩的数据为6,1压缩了4个字符。但是在数据流里面不能直接这么替换,而应该使用特殊的控制字符,否则无法解压。比如pByte={6,1,0,1,1,1,1,1,1};这样有两个6,1无法判断是原有的6,1还是{1,1,1,1,1,1}压缩后的
写个自己的调试器
老裴
07-18 1671
对于写了一段时间的程序员来说,了解一些debugger的实质无疑对于技术的提高是有很大帮助的。而debugging自身也是一门非常细节化,比较复杂的技术。好的Debug工具如SoftICE,也是技术稍深一些的程序员必备的技术之一。这篇随笔并不会去讨论Debug技术的实质,而只是利用Platform SDK和最新的DbgHelp.dll提供的API作为引擎写一个自己的debugger,也即是写一个实
Code Inject的新技术
老裴
06-21 1646
inject的一般方法是:CreateRemoteThread;今天在Rootkit上看到一个新的方法,让我想起1年前我看到过的类似方法,大家一起看看这种方法吧:1) 1年前我所看到的方法    DWORD  dwResult;    HANDLE hThread;    HANDLE hProcess;    char   szDllName[] = "c://MyDll.dll";     i
boost_1_32_0在vc2003下的编译
老裴
05-31 1614
实际上很简单,三步搞定:1、进入vc2003命令行编译窗口,进入boost_1_32_0/tools/build/jam_src目录,打build,生成bjam,并COPY到boost_1_32/目录下面。2、假如要编译boost_python的话,设置python的目录3、在boost_1_32_0/目录下面打bjam然后就是漫长的waiting....
windows2000下简单的进程隐藏
老裴
12-11 1531
windows2000下简单的进程隐藏大家一看到这个题目,一定会说,这个也太简单了,用CreateRemoteThread不就行了吗,不过我这里并不讨论使用CreateRemoteThread的方法来实现,因为那样根本不是真正的隐藏。最近看了篇PJF写的文章,他的方法的确很好,不用进入ring0,利用直接读写物理内存的方法修改系统进程双向链表,但是这种方法通用性不是很好,在XP下我试了试,我的朋友
如何取得字符点阵数据(GetGlyphOutline函数简单应用)
老裴
06-29 1474
近日做的程序需要取得字符点阵数据的功能,研究了一下,费了点周折才成功,现将方法总结如下。       取得字符点阵主要用GetGlyphOutline函数:DWORD GetGlyphOutline( UINT nChar, UINT nFormat, LPGLYPHMETRICS lpgm, DWORD cbBuffer, LPVOID lpBuffer, const MAT2 FAR* lpm
演示如何在物理内存中如何获得所须的BIOS信息
老裴
07-18 1428
有时候VCKBASE常有人问到怎么去获一些细节系统信息。其实从BIOS中是可以获得大量系统的信息的。SMBios,即System Management BIOS以结构的方式保存了用于管理的系统信息。对于OS,BIOS的研究是须要先掌握大量相关知识的,不过方法也很重要。下面是我写的一个例子,在windows下(我用的XP)对物理内存进行访问,通过找到SMBIOS Structure Table En
市面上所有号称"虚拟机","防火墙"的实时监控杀毒软件无一不是使用的IFSHOOK技术.但是同时也有一些朋友不断写MAIL给我打听如何实现读写的监控.下面给出用VTOOLSD写的代码.也就是所有实时杀毒软件的奥秘.同时,很多拦截文件操作的软件,例如对目录加
老裴
12-11 1341
//============================================================================= // //By Lu Lin 2000.5.10 // Apply with VtoolsD 3.01 // DDK version is available if requested. //Abstract: // Install a I
赛门铁客防火墙D.o.s攻击代码
老裴
07-18 1335
作者:houseofdabus 名称:HOD-symantec-firewall-DoS-expl.c: 版本:Version 0.1 coded by houseofdabus 翻译:luoluo 漏洞发现:www.eEye.com 漏洞描述:http://www.eeye.com/html/Research/Advisories/AD20040512B.html * -------------
总结windows下堆溢出的三种利用方式
老裴
12-11 1284
1.利用RtlAllocHeap 这是ISNO提到的,看这个例子 main (int argc, char *argv[]) {  char *buf1, *buf2;  char s[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/x03/x00/x05/x00/x00/x01/x08/x00/x11/x11/x11/x11/x21/x21/x21/x21";  bu
在Win2000-XP上安静地替换正在使用的系统文件
老裴
12-11 1222
在Win2000-XP上安静地替换正在使用的系统文件     总是索而不敷总有些过意不去.另外在安焦上灌了两年水竟然安焦文档还找不到一个我的名字. 灌不出篇精华帖子还回复不到别人灌的精华贴. 也算得上是个奇迹了.   要安静地替换正在使用的系统文件要解决两个问题:   1. 替换正在使用的文件.   2. 在替换系统文件时不显示插CD的对话框.   微软有两个工具可以替换正在使用的文件,zap和i
用.NET开发MSN聊天机器人- -
老裴
06-05 1164
我不是开发人员,不是高手,就是自己比较爱玩。在技术上,没有什么喜欢摸索的精神,而是喜欢投机取巧。在这篇文章里,你也不能"少劳而获"地通过我的机器人修改出一个自己的机器人,因为自己觉得程序写的比较臭,所以不会open source。但是,如果你对.net或者C#有点了解的话,相信从这篇文章里,你可以找到一切所需的资源,来开发一个自己的,绝对可用的msn机器人。要和我的机器人聊天,可以加tbot01@
VisualBasic6.0初学者指南:生成可执行文件
在Visual Basic 6.0(VB6)中,生成可执行文件是一个简单的过程,这对于任何开发者来说都是至关重要的,因为它意味着你的程序已经准备好供他人运行。以下是生成可执行文件的具体步骤: 1. 首先,打开你的VB6工程。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值