强制删除一个文件

最新推荐文章于 2024-02-07 08:59:20 发布
最新推荐文章于 2024-02-07 08:59:20 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: windows 驱动开发 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90535569
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏


注意点

关于打开文件,很可能这类操作被hook了,尽量用更底层的函数去打开,比如IoCreateFile相对zw低一些。

关于被其他程序独占,遍历系统句柄表,尝试去找到这个句柄表zwQuerySystemInformation,然后把他独占这个文件的进程,句柄关掉。但是这种对于硬链接占坑的方法失效,值能使用xcb方法或者磁盘填零法。对于句柄表,怎么确定是我们要删除的文件,就是通过句柄表内核对象,然后查询内核对象的名字,然后匹配。

关于关闭句柄使用的是ZwDuplicateObject ,这个函数是导出但未文档化的,通过这个函数把要关掉的句柄拷贝到当前进程空间中来,同时加上DUPLICATE_CLOSE_SOURCE标志,就是同时关掉。

关于解决正在运行中的程序,因为操作系统会判断某些文件内核对象的比如SectionObjcetPointer成员是否为0,所以可以伪造。

防止方法

xcb思想

自己实现Nt系列操作文件的功能,重新加载内核。

对于硬链接关句柄无效

硬链接:mklink /h link.txt gb.txt link.txt是对gb.txt的一个alias,链接计数(删除减1),相当于别名,同一个空间,所以不能跨卷。

所以关句柄对硬链接无效,因为硬链接的文件根本没有句柄。

xcb可以对付硬链接。

xcb法的思路:以特权方式无法打开文件,就以低权限打开文件,然后获得FileObject;

pSCB=FileObject->FsContext

pCCB=FileObject->FsContext2;

伪造句柄完全被关闭,CleanUpCount针对于一个文件被打开句柄数,我们打开文件后这个值就是2,如果伪造成1,我们关闭自己适合,就变成零了

scb->CleanUpCount=1;

fcb->CleanUpCount=1;

ccb->CleanUpCount=1;

修改CleanUpCount之后,调用NtClose关闭句柄,这样在NtClose下次调用NtfsRemoveLink移除硬链接,然后NtfsDecrementCleanupCounts()将CleanupCount减1,这样引用计数降为0,释放所有关联SCB。然后调用IoRemoveShareAccess()将ShareAccess.OpenCount清零,解锁。

磁盘填0

 

 

 

kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言无驱动强制删除文件
07-21
易语言无驱动强制删除文件源码,无驱动强制删除文件,强制删除文件,CreateDirectoryA,MoveFileA,DeleteFileA
强制删除一个文件的驱动程序
12-12
可以强制删除一个正在运行的文件的驱动程序,已经调试通过。适合初学者
易语言-易语言驱动级暴力删除文件模块
06-29
通过调用API实现了驱动级暴力删除文件。 自学编程网
易语言-解锁文件占用和暴力删除文件
06-29
之前项目用到,要删除网页的缓存文件,但是浏览器窗口没有关闭,无法直接删除。于是就每次结束浏览器进程,然后再创建。 后来打算做个强制删除的,但是很麻烦就偷个懒,直接调用第三方工具了,简单实用!
file--DeleteFileDemo-删除一个文件
biu_biubiubiu的博客
01-30 264
package file; import java.io.File; /** 删除一个文件 @author W */ public class DeleteFileDemo { public static void main(String[] args) { /* *删除当前目录下的test.txt */ File file = new File("./test.txt"); ...
强制删除bat文件(包括命令)
01-03
描述中指出,这个解压后的"拖进来就能删除.bat"文件一个批处理脚本,用户可以通过拖放的方式将无法删除文件文件夹放到这个脚本上,从而实现强制删除。这种方式特别适用于那些常规右键删除无法解决的情况,比如...
windows强制删除文件
11-12
通常,当我们尝试删除一个占用文件时,Windows会提示我们“文件正在被另一个程序使用”,这时候就需要采用一些特殊的方法来强制删除。 在这个压缩包中包含了一个名为"强制删除.bat"的批处理文件,这是一种基于...
文件强制删除工具.zip
05-30
免费的右键扩充工具,使用者在安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个文件或目录无法删除时,程序马上就会显示出是哪一些程序占用了该目录或文件,这个文件强制删除工具就能够为你的文件解套。...
强制删除不能删除文件 vc源代码
03-19
总的来说,"强制删除不能删除文件 vc源代码"是一个实用的编程示例,它展示了如何利用Windows API解决文件删除问题。开发者可以通过学习和理解这个源代码,进一步了解系统进程和文件操作的底层机制,同时也可以根据...
易语言驱动级暴力删除文件模块
07-18
易语言驱动级暴力删除文件模块源码,驱动级暴力删除文件模块,LoadMemLibrary,FreeMemLibrary,GetMemProcAddress,Asm_Call,Asm_取地址_字节集,SyserLoadDriver,SyserRemoveDriver,CTL_CODE,Control,转换Ascii转Unicode,加载驱动,暴力删除文件,普通删除文件,Enum
Unlocker(强制删除文件 顽固文件删除工具 解锁)V1.9.2x64位
01-06
 Unlocker是一款非常强力的强制删除文件的工具软件,当你重命名或删除一个文件/文件夹时,Windows 弹出对话框提示你“无法删除 xxx:它正在被其它用户/程序使用!”,怎么办? 使用Unlocker ,你就可以轻松、方便、有效地解决这个虽小但很烦人的问题! 同类的工具中,综合易用性、功能强度,此款是目前较好的!
推荐几款文件强制删除工具(彻底摆脱无法删除文件的烦恼
12-20
推荐几款文件强制删除工具(彻底摆脱无法删除文件的烦恼
易语言彻底删除文件夹与文件夹下所有文件
08-26
今天小编就为大家分享一篇关于易语言彻底删除文件夹与文件夹下所有文件,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
无驱动强制删除文件易语言源码
06-05
无驱动强制删除文件易语言源码。@资源源码站。
VC 强行删除运行中的文件源代码
01-18
VC 强行删除运行中的文件源代码 VC 强行删除运行中的文件源代码 VC 强行删除运行中的文件源代码 VC 强行删除运行中的文件源代码 VC 强行删除运行中的文件源代码
windows c++强删一个正在运行的文件
隐身博客
02-07 507
5.在弹出的窗口中,选择你的用户名,勾选“替换所有者子容器和对象的权限项”选项,点击“确定”。为了安全起见,不建议强制删除正在运行的文件。7.在弹出的窗口中,选择你的用户名,勾选“完全控制”选项,点击“确定”。4.在高级安全设置窗口中,选择“所有者”选项卡,点击“编辑”按钮。1.打开任务管理器,找到正在运行该文件的进程,结束该进程。6.回到属性窗口中,选择“安全”选项卡,点击“编辑”按钮。2.在资源管理器中找到该文件,右键点击并选择“属性”。3.在属性窗口中选择“安全”选项卡,点击“高级”按钮。
强制删除文件 强制删除文件
welcomeem的专栏
10-22 1846
<br />在桌面新建一个txt文本 打开这个txt文本,输入下面两行内容:<br />del /f /s/q //?/%1<br />rd  /s /q //?/%1<br />然后文件->另存为 <br />重新命名文件名为 del.bat ,并选择文件类型为“所以文件”,最后保存文件  <br />一定要记着文件的位置了 把要删除文件拖到这个批处理del.bat上 文件就静悄悄的删除了 ^-^
驱动开发:内核解锁与强删文件
热门推荐
CSDN
06-15 1万+
在某些时候我们的系统中会出现一些无法被正常删除文件,如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉,而所谓的解锁其实就是释放掉文件描述符(句柄表)占用文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态,然后在调用`ZwClose`将其文件关闭,强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除,虽此类代码较为普遍,但作为揭秘ARK工具来说也必须要将其分析并
【C/C++系列】C语言中实现删除指定文件
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
01-26 8531
###Date: 2018-1-26 ### Author :SoaringLee =========================优雅的分割线============================== C语言中文件删除操作可以通过remove()函数实现。 【头文件】 #include remove()函数用于删除指定的文件,其原型如下: int
cmd 强制删除文件
最新发布
03-21
在Windows系统中,可以使用命令提示符(cmd)来强制删除文件。以下是一种常用的方法: 1. 打开命令提示符:按下Win键+R,输入"cmd",然后按下回车键,即可打开命令提示符窗口。 2. 切换到要删除文件所在的目录:使用cd命令切换到文件所在的目录。例如,如果文件位于D盘的test文件夹中,可以输入以下命令: ``` cd D:\test ``` 3. 使用del命令删除文件:输入以下命令来删除文件: ``` del /f 文件名 ``` 其中,/f参数表示强制删除文件文件名是要删除文件的名称。 请注意,使用强制删除命令时要小心,因为被删除文件将无法恢复。确保你要删除的是正确的文件,并且谨慎操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值