程序自删除的一种实现方式2

最新推荐文章于 2018-12-28 09:37:47 发布
最新推荐文章于 2018-12-28 09:37:47 发布
阅读量289 收藏
点赞数
分类专栏: windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/50803126
版权 
#include <windows.h>
#include <tlhelp32.h>
#include <iostream>

__declspec(naked) DWORD WINAPI Start_(LPVOID lpThreadParameter)
{   
	__asm 
	{     
		call    $+5
		sub     [esp],5                 ; // _code_start_           
		mov     ebp,[esp+8]             ; // hHandle
		push    [ebp-4]
		push    INFINITE                
		push    [ebp-4]                 

		call    [ebp-8]                 ; // WaitForSingleObject
		call    [ebp-12]                ; // CloseHandle

		push    ebp                     ; // lpFileName
		call    [ebp-16]                ; // DeleteFileA           

		pop     eax
		push    EXIT_SUCCESS          
		sub     esp,4                   ; // nothing

		push    MEM_RELEASE             
		push    0  
		push    eax                     ; // _code_start_   

		push    [ebp-20]                ; // ExitThread
		mov     eax,[ebp-24]
		jmp     eax                     ; // VirtualFree        
	}
}

BYTE code[] ={
	232,0,0,0,0,128,44,36,5,139,108,36,8,255,117,
	252,106,255,255,117,252,255,85,248,255,85,244,
	85,255,85,240,88,106,0,131,236,4,104,0,
	128,0,0,106,0,80,255,117,236,139,69,232,255,224
};
#include <iostream>
void DeleteMe()
{
	HANDLE hToken;
	TOKEN_PRIVILEGES tp;
	ZeroMemory(&tp,sizeof tp);
	HANDLE hProcess = GetCurrentProcess();

	OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,&hToken);
	LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);

	tp.PrivilegeCount = 1;
	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES),NULL,NULL);
	CloseHandle(hToken);

	///

	CHAR szFileName[MAX_PATH] = {'\0'};
	GetModuleFileNameA(NULL, szFileName, MAX_PATH);

	DWORD  dwProcessID   = 0;
	PROCESSENTRY32W pe32 = { sizeof( PROCESSENTRY32W ) };
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	Process32FirstW(hSnapshot, &pe32);
	do
	{
		if (0 == lstrcmpiW(pe32.szExeFile, L"winlogon.exe"))
		{
			dwProcessID = pe32.th32ProcessID;
			break;
		}
	} while (Process32NextW(hSnapshot, &pe32));

	CloseHandle(hSnapshot);

	//

	HANDLE hTargetProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE,dwProcessID);
	HANDLE h= NULL;
	DuplicateHandle(hProcess,hProcess,hTargetProcess,&h,0,FALSE,DUPLICATE_SAME_ACCESS);
	const SIZE_T dwSize = 4096;
	const DWORD codeLen = dwSize - MAX_PATH - sizeof(HANDLE);


	PBYTE lpRemoteBuf = (PBYTE)VirtualAllocEx(hTargetProcess, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	PBYTE pLocalBuf =(PBYTE)VirtualAlloc(NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	HMODULE x =GetModuleHandleA("kernel32") ;
	memcpy(pLocalBuf,code,codeLen);
	*(PHANDLE(pLocalBuf+codeLen)) = h;
	*((FARPROC*)(pLocalBuf+codeLen- 4))  =GetProcAddress(x,"WaitForSingleObject");
	*((FARPROC*)(pLocalBuf+codeLen- 8))  =GetProcAddress(x,"CloseHandle");
	*((FARPROC*)(pLocalBuf+codeLen-12))  =GetProcAddress(x,"DeleteFileA");
	*((FARPROC*)(pLocalBuf+codeLen-16))  =GetProcAddress(x,"ExitThread");
	*((FARPROC*)(pLocalBuf+codeLen-20))  =GetProcAddress(x,"VirtualFree");
	memcpy(pLocalBuf+codeLen+4,szFileName,MAX_PATH);
	WriteProcessMemory(hTargetProcess, lpRemoteBuf, pLocalBuf,dwSize,0);
	VirtualFree(pLocalBuf, 0, MEM_RELEASE);

	HANDLE hThread = CreateRemoteThread(hTargetProcess, NULL, 0,
		(LPTHREAD_START_ROUTINE)lpRemoteBuf,
		(LPVOID)(lpRemoteBuf + codeLen + sizeof(HANDLE) ),0,0);

	CloseHandle(hThread);
	CloseHandle(hTargetProcess);

} 


int main()
{
	DeleteMe();
}

125096
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
智能小程序--四种方式快速实现上拉触底加载更多效果
03-29
在智能小程序的开发过程中,上拉加载是一种十分常见的加载效果,最近也收到了一些开发者在开发上拉加载时遇到的问题,今天的内容就为您介绍一下如果想实现下述效果的上拉加载,我们需要如何去做。 (此图片来源于网络...
程序删除源码
12-17
总之,程序删除一种实用的技术,通过DLL可以实现跨进程的资源共享和自管理。了解并掌握这一技术,对于开发更加高效和安全的软件具有重要意义。在实际应用中,还需要考虑用户交互、日志记录、错误处理等多个方面...
[源码和文档分享]3种方式实现程序删除
qq_38474647的博客
12-28 120
背景 写了很多小程序,也有很多小程序需要用到程序删除功能。所谓的自删除,就是程序能够自己删除自己。常见的自删除实现方式就有批处理方式还有使用MoveFileEx函数重启删除方式。 现在,我就对自己掌握的自删除方式进行总结。给出 3 种程序删除实现方式。其中,两种是批处理方式实现的,还有一种是使用MoveFileEx实现的。 ...
EXE程序的自删除实现
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
04-24 1445
程序的自删除已经不是什么新鲜的话题了,它广泛运用于木马、病毒中。试想想,当你的程序还在运行中(通常是完成了驻留、感染模块),它就自动地把自己从磁盘中删掉,这样一来,就做到了神不知鬼不觉,呵呵,是不是很cool呢? 自删除(Self Deleting)最早的方法是由 Gary Nebbett 大虾写的,太经典了,不能不提。程序如下:#include "windows.h"int main
程序实现自我删除的七种方法
关注互联网安全的小虾米一枚
08-14 9425
程序实现自我删除的七种方法
VC实现程序删除(三种方法)
Koma的主页
10-15 6204
1、Gary Nebbett的方法Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者。乃NT系统一等一的高手。下面就分析一些他的这段代码,这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了:#include int main(){ HMODULE module = GetModuleHandle
精选_3种方式实现程序删除_源码打包
03-07
在IT领域,程序删除一种常见的技术,尤其在临时性任务或者为了保护数据安全时非常有用。本资源“精选_3种方式实现程序删除_源码打包”提供了三种不同的方法来实现这一功能,这对于开发者来说是宝贵的参考资料...
一个程序自己删除自己的例子.zip_删除_自 删
09-22
总之,自删除程序一种巧妙的编程技巧,它结合了进程管理和文件操作的知识。通过理解这些基本概念和实现细节,开发者可以创建出更加高效且具有自清理功能程序。在这个例子中,我们可以从提供的压缩包文件中学到...
程序删除一种实现方式
125096
03-04 1167
/********************************************************************************** * 程序描述: 本程序为Windows7环境下,程序删除一种实现方式 * 运行环境: Win7 * 开发环境: VS2012 * 调用接口函数库类型: Windows API,标准C库函数 * 程序原理: Window
删除程序的研究及实现
panda1987的专栏
12-09 5318
Self Delete 自删除 CreateRemoteThread Invalid access to memory location FILE_FLAG_DELETE_ON_CLOSE Only part of a Read ProcessMemory or WriteProcessMemory request was completed
餐厅点餐系统springboot.zip
09-10
开发一个基于Spring Boot的餐厅点餐系统可以大大提高餐厅的服务效率和顾客体验。下面是一个简单的案例程序,展示了如何使用Spring Boot来构建这样一个系统。这个系统将包括用户管理、菜单管理、订单管理等基本功能。 1. 创建项目 首先,通过Spring Initializr(https://start.spring.io/)创建一个新的Spring Boot项目,并添加必要的依赖项,如Web、Thymeleaf、Spring Data JPA 和 MySQL Driver。
MATLAB_SIMULINK中的病毒传播模拟器.rar
09-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Sigrity-Sigrity MCP Specification.rar
最新发布
09-10
Sigrity-Sigrity MCP Specification.rar 当引脚名称映射失败时,通过坐标映射为替代引脚映射方法添加可选的引脚坐标(相对于元件原点)。 本文档描述了信号模型连接协议(MCP)。 MCP用于在管芯(芯片)、封装和PCB之间连接电路模型和/或物理布局。 MCP允许任何MCP型号的Sigrity产品内的自动模型和结构连接。 它还允许第三方工具将Sigrity模型与MCP集成或连接。 MCP使用简单的ASCII格式,支持模型连接的多个电路和引脚,并允许将物理引脚集中在电路模型中。 MCP具有可扩展性和向后兼容性。
智能优化算法-樽海鞘优化算法(SSA)
09-10
樽海鞘优化算法 (Salp Swarm Algorithm, SSA) 虽然名称中提到的是“樽海鞘”,但实际上这个算法是基于群体智能的一种元启发式优化算法,它模拟了樽海鞘(Salps)在海洋中的游动和觅食行为,用于解决复杂的优化问题。 SSA的工作机制主要包括以下几个方面: 链式游动:模拟樽海鞘在海洋中形成链状结构进行集体游动,用于探索解空间。 觅食行为:通过模拟樽海鞘的觅食行为,促进算法的局部搜索能力。 动态调整:根据当前搜索状态动态调整搜索策略,平衡全局搜索和局部搜索。 优点包括: 强大的探索能力:SSA能够有效地探索解空间的不同区域。 灵活性:适用于多种优化问题,包括连续和离散优化。 快速收敛:通常能够在较少迭代次数内找到较好的解。 易于实现:算法设计直观,易于编程实现
CNG油改气 150+155+2.0+调试软件
09-10
CNG油改气 150+155+2.0+调试软件
为什么消费者喜欢生成式人工智能(英)(1).pdf
09-10
为什么消费者喜欢生成式人工智能(英)(1).pdf
小红书教育行业月报(2023年7月).pdf
09-10
小红书教育行业月报(2023年7月)
使用汇编代码实现程序删除
"该资源提供了一种通过汇编语言实现删除程序的方法,代码示例展示了如何在程序运行时删除自身。" 自删除程序一种特殊类型的软件,它在执行完毕特定任务后会自动从文件系统中移除自身,通常用于临时性或一次性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值