删除应用程序自身的可执行文件
来源:互联网 发布:北京seo 排名 编辑:程序博客网 时间:2024/05/22 06:51
下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码.
这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了.
int main(int argc, char *argv[]){HMODULE module = GetModuleHandle(0);CHAR buf[MAX_PATH];GetModuleFileName(module, buf, sizeof buf);CloseHandle(HANDLE(4));__asm {lea eax, bufpush 0push 0push eaxpush ExitProcesspush modulepush DeleteFilepush UnmapViewOfFileret}return 0;}
现在,我们先看一下堆栈中的东西
偏移 内容
24 020 016 offset buf12 address of ExitProcess8 module4 address of DeleteFile0 address of UnmapViewOfFile
调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module, buf, sizeof buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回.
这段代码的精妙之处在于:
1.如果有文件的HANDLE打开,文件删除就会失败,所以,CloseHandle(HANDLE(4));是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄.
2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码.
3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.)
- 删除应用程序自身的可执行文件
- 删除应用程序自身的可执行文件
- 删除应用程序自身的可执行文件
- 删除进程自身可执行文件的另一种方法
- 删除进程自身可执行文件的另一种方法
- 删除进程自身可执行文件的另一种方法
- 删除进程自身可执行文件的另一种方法
- 删除进程自身可执行文件的另一种方法
- 删除自身的程序代码
- 删除自身的文件
- 可执行文件的自删除
- 删除可执行文件的图标
- IOS应用程序自身的本地化
- IOS应用程序自身的本地化
- 删除自身的shell脚本
- 卸载Windows应用程序后,延迟删除自身文件,以及一些卸载过程中暂时无法删除的文件
- 自身删除自身
- 删除自身
- C#创建、保存Excel正常执行要点补疑
- win下oracle安装启动时,...error:cannot create c:/DOCUME~1...../oui/Autorun.inf错误
- 10个用于设计网页线框图的优秀工具
- 预编译头文件
- ShellExecute
- 删除应用程序自身的可执行文件
- SQL常用语句总结
- jquery判断子元素是否存在
- hadoop系统介绍
- objective-c中的本地化操作(序列化,归档)
- VC调试技巧
- vim 颜色和中文支持设置
- 不用if比较两个数大小
- 给Android开发者的一封信