一种巧妙的删除程序自己的方法

提供者：lucy 张贴时间：2007-03-13 09:43:28.0 出处：newsmth.net 作者：不祥
标  题: [合集] 一种巧妙的删除程序自己的方法

发信站: 水木社区 (Wed Mar  7 03:55:42 2007), 站内

☆─────────────────────────────────────☆ 

  TJjerry (人不犯我，我不放人，人若犯我，我毙犯人) 于  (Mon Dec 25 18:59:10 200

                                                                               

近日看到网友询问如何实现程序运行之后把自己删除的方法，不知大家对木马甚么的兴趣实

在太浓,还是想要这样的效果:用户只要一运行程序,可执行文件就没有了,可是程序还是在跑

,胆小的只怕要喊"鬼呀!","老婆,快出来看上帝"甚么的。其实最典型的用法是写反安装程序

. 闲来无事，Bear掰到一种还算巧妙的"删除自己"的方法。

　

大家都知道，一般的程序运行的时候，可执行文件本身是被操作系统保护的，不能用改写的

方式访问，更别提在本身还在运行的时侯删除自己

了。在Lu0的主页上看到一种UNDOCUMENT的方法，通过改变系统底层的文件访问模式实现删

除自己，那是实在功夫。我看了很是佩服。但是有没

有一种用在MSDN上就能查到的函数实现呢？有!Jeffrey Richter给我们做了一个范例：

　

DeleteMe.CPP

　

Module name: DeleteMe.cpp

Written by: Jeffrey Richter

Description: Allows an EXEcutable file to delete itself

**************************************************/

　

#include <Windows.h>

#include <stdlib.h>

#include <tchar.h>

　

/////////////////////////////////////////////////

　

int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) {

　

// Is this the Original EXE or the clone EXE?

// If the command-line 1 argument, this is the Original EXE

// If the command-line >1 argument, this is the clone EXE

　

if (__argc == 1) {

　

// Original EXE: Spawn clone EXE to delete this EXE

// Copy this EXEcutable image into the user’s temp directory

　

TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH];

GetModuleFileName(NULL, szPathOrig, _MAX_PATH);

GetTempPath(_MAX_PATH, szPathClone);

GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone);

CopyFile(szPathOrig, szPathClone, FALSE);

　

//***注意了***:

// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE

HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTI

NG, FILE_FLAG_DELETE_ON_CLOSE, NULL);

　

// Spawn the clone EXE passing it our EXE’s process handle

// and the full path name to the Original EXE file.

TCHAR szCmdLine[512];

HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());

wsprintf(szCmdLine, __TEXT("%s %d /"%s/""), szPathClone, hProcessOrig, szPat

hOrig);

STARTUPINFO si;

ZeroMemory(&si, sizeof(si));

si.cb = sizeof(si);

PROCESS_INFORMATION pi;

CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi);

CloseHandle(hProcessOrig);

CloseHandle(hfile);

　

// This original process can now terminate.

} else {

　

// Clone EXE: When original EXE terminates, delete it

HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]);

WaitForSingleObject(hProcessOrig, INFINITE);

CloseHandle(hProcessOrig);

DeleteFile(__targv[2]);

// Insert code here to remove the subdirectory too (if desired).

　

// The system will delete the clone EXE automatically

// because it was opened with FILE_FLAG_DELETE_ON_CLOSE

}

return(0);

}

　

看懂了吗？

　

这一段程序思路很简单：不是不能在运行时直接删除本身吗？好，那么程序先复制（CLONE

）一个自己，用复制品起动另一个进程，然后自己结束

运行，则原来的EXE文件不被系统保护.这时由新进程作为杀手删除原来的EXE文件，并且继

续完成程序其他的功能。

　

新进程在运行结束后，复制品被自动删除。这又是值得介绍的一个把戏了，注意：

// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE

HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTIN

G, FILE_FLAG_DELETE_ON_CLOSE, NULL);

这里面的FILE_FLAG_DELETE_ON_CLOSE标志,这个标志是告诉操作系统，当和这个文件相关的

所有句柄都被关闭之后(包括上面这个CREATEFILE创建

的句炳)，就把这个文件删除。几乎所有的临时文件在创建时，都指明了这个标志。

另外要注意的是:在复制品进程对原始程序操刀之前,应该等待原进程退出.在这里用的是进

程同步技术.用HANDLE hProcessOrig = OpenProcess

(SYNCHRONIZE, TRUE,GetCurrentProcessId());得到原进程句柄.SYNCHRONICE标志在NT下有

效,作用是使OpenProcess得到的句柄可以做为同步对象.复

制品进程用WaitForSingleObject函数进行同步,然后一个DeleteFile,以及进行其它销毁证

据（Jeffrey说：比如删目录）的工作,打完收工！

　

程序是基于CONSOLE的，通过传入的参数确定是原始的进程还是复制品新进程，并且得到需

要操作的目标文件的信息（主要是路径），复制品放

在系统的TEMP目录（GetTempPath得到），你也可以随便找个你认为安全的地方（比如：

WINDOWS/SYSTEM32等等）。

这里面没有甚么深的技术.再看其他的一些实现删除自己的例子,比如说在进程退出前,用

fwrite等方法输出一个.BAT文件,在里面写几句DEL,然后

WINEXEC一下这个BAT文件即可.

玩儿过DOS的虫虫大多都会。

☆─────────────────────────────────────☆ 

  TJjerry (人不犯我，我不放人，人若犯我，我毙犯人) 于  (Mon Dec 25 19:00:19 200

                                                                               

我试了一下，临时文件没被删掉啊，系统win2003, 编译环境vc6。

有兴趣的试一下，看看如何能删除临时文件

【 在 TJjerry (人不犯我，我不放人，人若犯我，我毙犯人) 的大作中提到: 】       

: 近日看到网友询问如何实现程序运行之后把自己删除的方法，不知大家对木马甚么的兴趣

实在太浓,还是想要这样的效果:用户只要一运行程序,可执行文件就没有了,可是程序还是在

跑,胆小的只怕要喊"鬼呀!","老婆,快出来看上帝"甚么的。其实最典型的用法是写反安装程

序. 闲来无事                                                                   

: 　                                                                           

: 大家都知道，一般的程序运行的时候，可执行文件本身是被操作系统保护的，不能用改写

的方式访问，更别提在本身还在运行的时侯删除自己                                 

: ...................                                                         

                                                                               

☆─────────────────────────────────────☆ 

  UMU (小开) 于  (Mon Dec 25 19:16:15 2006)  提到:

如果临时文件一定会被删除,那么临时文件夹里就不会老是有那么多的文件了

看来系统有这个漏洞一直没被注意!

【 在 TJjerry (人不犯我，我不放人，人若犯我，我毙犯人) 的大作中提到: 】       

: 我试了一下，临时文件没被删掉啊，系统win2003, 编译环境vc6。                   

: 有兴趣的试一下，看看如何能删除临时文件                                       

                                                                               

                                                                               

                                                                               

                                                                               

☆─────────────────────────────────────☆ 

  TJjerry (人不犯我，我不放人，人若犯我，我毙犯人) 于  (Mon Dec 25 21:52:02 200

你说的这个临时文件意义不同，看来你没仔细看我转贴的文章。

【 在 UMU (小开) 的大作中提到: 】                                             

: 如果临时文件一定会被删除,那么临时文件夹里就不会老是有那么多的文件了         

: 看来系统有这个漏洞一直没被注意!