近日看到網友詢問如何?程式運行之後把自己刪除的方法,不知大家對木馬甚麼的興趣實在太濃,還是想要這樣的效果:使用者只要一運行程式,可執行檔就沒有了,可是程式還是在跑,膽小的只怕要喊"鬼呀!","老婆,快出來看上帝"甚麼的。其實最典型的用法是寫反安裝程式. 閑來無事,Bear掰到一種還算巧妙的“刪除自己”的方法。
大家都知道,一般的程式啟動並執行時候,可執行檔本身是被作業系統保護的,不能用改寫的方式訪問,更別提在本身還在啟動並執行時侯刪除自己了。在Lu0的首頁上看到一種UNDOCUMENT的方法,通過改變系統底層的檔案訪問模式實現刪除自己,那是實在功夫。我看了很是佩服。但是有沒有一種用在MSDN上就能查到的函數實現呢?有!Jeffrey Richter給我們做了一個範例:
DeleteMe.CPP
Module name: DeleteMe.cpp
Written by: Jeffrey Richter
Description: Allows an EXEcutable file to delete itself
**************************************************/
#include <Windows.h>
#include <stdlib.h>
#include <tchar.h>
/////////////////////////////////////////////////
int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) {
// Is this the Original EXE or the clone EXE?
// If the command-line 1 argument, this is the Original EXE
// If the command-line >1 argument, this is the clone EXE
if (__argc == 1) {
// Original EXE: Spawn clone EXE to delete this EXE
// Copy this EXEcutable image into the user's temp directory
TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH];
GetModuleFileName(NULL, szPathOrig, _MAX_PATH);
GetTempPath(_MAX_PATH, szPathClone);
GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone);
CopyFile(szPathOrig, szPathClone, FALSE);
//***注意了***:
// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE
HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL);
// Spawn the clone EXE passing it our EXE's process handle
// and the full path name to the Original EXE file.
TCHAR szCmdLine[512];
HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());
wsprintf(szCmdLine, __TEXT("%s %d "%s""), szPathClone, hProcessOrig, szPathOrig);
STARTUPINFO si;
ZeroMemory(&si, sizeof(si));
si.cb = sizeof(si);
PROCESS_INFORMATION pi;
CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi);
CloseHandle(hProcessOrig);
CloseHandle(hfile);
// This original process can now terminate.
} else {
// Clone EXE: When original EXE terminates, delete it
HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]);
WaitForSingleObject(hProcessOrig, INFINITE);
CloseHandle(hProcessOrig);
DeleteFile(__targv[2]);
// Insert code here to remove the subdirectory too (if desired).
// The system will delete the clone EXE automatically
// because it was opened with FILE_FLAG_DELETE_ON_CLOSE
}
return(0);
}
看懂了嗎?
這一段程式思路很簡單:不是不能在運行時直接刪除本身嗎?好,那麼程式先複製(CLONE)一個自己,用複製品起動另一個進程,然後自己結束運行,則原來的EXE檔案不被系統保護.這時由新進程作為殺手刪除原來的EXE檔案,並且繼續完成程式其他的功能。
新進程在運行結束後,複製品被自動刪除。這又是值得介紹的一個把戲了,注意:
// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE
HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL);
這裡面的FILE_FLAG_DELETE_ON_CLOSE標誌,這個標誌是告訴作業系統,當和這個檔案相關的所有控制代碼都被關閉之後(包括上面這個CREATEFILE建立的句炳),就把這個檔案刪除。幾乎所有的臨時檔案在建立時,都指明了這個標誌。
另外要注意的是:在複製品進程對原始程式操刀之前,應該等待原進程退出.在這裡用的是進程同步技術.用
HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId());
得到原進程控制代碼.SYNCHRONICE標誌在NT下有效,作用是使OpenProcess得到的控制代碼可以做為同步對象.複製品進程用WaitForSingleObject函數進行同步,然後一個DeleteFile,以及進行其它銷毀證據(Jeffrey說:比如刪目錄)的工作,打完收工!
程式是基於CONSOLE的,通過傳入的參數確定是原始的進程還是複製品新進程,並且得到需要操作的目標檔案的資訊(主要是路徑),複製品放在系統的TEMP目錄(GetTempPath得到),你也可以隨便找個你認為安全的地方(比如:WINDOWSSYSTEM32等等)。
這裡面沒有甚麼深的技術.再看其他的一些實現刪除自己的例子,比如說在進程退出前,用fwrite等方法輸出一個.BAT檔案,在裡面寫幾句DEL,然後WINEXEC一下這個BAT檔案即可.玩兒過DOS的蟲蟲大多都會。今天又學一招,爽。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
