近日看到网友询问如何实现程序运行之后把自己删除的方法,不知大家对木马甚么的兴趣实在太浓,还是想要这样的效果:用户只要一运行程序,可执行文件就没有了,可是程序还是在跑,胆小的只怕要喊"鬼呀!","老婆,快出来看上帝"甚么的。其实最典型的用法是写反安装程序. 闲来无事,Bear掰到一种还算巧妙的“删除自己”的方法。 大家都知道,一般的程序运行的时候,可执行文件本身是被操作系统保护的,不能用改写的方式访问,更别提在本身还在运行的时侯删除自己了。在Lu0的主页上看到一种UNDOCUMENT的方法,通过改变系统底层的文件访问模式实现删除自己,那是实在功夫。我看了很是佩服。但是有没有一种用在MSDN上就能查到的函数实现呢?有!Jeffrey Richter给我们做了一个范例: DeleteMe.CPP Module name: DeleteMe.cpp Written by: Jeffrey Richter Description: Allows an EXEcutable file to delete itself ********************************************************************/ #include <Windows.h> #include <stdlib.h> #include <tchar.h> ///////////////////////////////////////////////////////////////////// int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) { // Is this the Original EXE or the clone EXE? // If the command-line 1 argument, this is the Original EXE // If the command-line >1 argument, this is the clone EXE if (__argc == 1) { // Original EXE: Spawn clone EXE to delete this EXE // Copy this EXEcutable image into the user's temp directory TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH]; GetModuleFileName(NULL, szPathOrig, _MAX_PATH); GetTempPath(_MAX_PATH, szPathClone); GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone); CopyFile(szPathOrig, szPathClone, FALSE); //***注意了***: // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL); // Spawn the clone EXE passing it our EXE's process handle // and the full path name to the Original EXE file. TCHAR szCmdLine[512]; HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId()); wsprintf(szCmdLine, __TEXT("%s %d \"%s\""), szPathClone, hProcessOrig, szPathOrig); STARTUPINFO si; ZeroMemory(&si, sizeof(si)); si.cb = sizeof(si); PROCESS_INFORMATION pi; CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi); CloseHandle(hProcessOrig); CloseHandle(hfile); // This original process can now terminate. } else { // Clone EXE: When original EXE terminates, delete it HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]); WaitForSingleObject(hProcessOrig, INFINITE); CloseHandle(hProcessOrig); DeleteFile(__targv[2]); // Insert code here to remove the subdirectory too (if desired). // The system will delete the clone EXE automatically // because it was opened with FILE_FLAG_DELETE_ON_CLOSE } return(0); } 看懂了吗? 这一段程序思路很简单:不是不能在运行时直接删除本身吗?好,那么程序先复制(CLONE)一个自己,用复制品起动另一个进程,然后自己结束运行,则原来的EXE文件不被系统保护.这时由新进程作为杀手删除原来的EXE文件,并且继续完成程序其他的功能。 新进程在运行结束后,复制品被自动删除。这又是值得介绍的一个把戏了,注意: // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL); 这里面的FILE_FLAG_DELETE_ON_CLOSE标志,这个标志是告诉操作系统,当和这个文件相关的所有句柄都被关闭之后(包括上面这个CREATEFILE创建的句炳),就把这个文件删除。几乎所有的临时文件在创建时,都指明了这个标志。 另外要注意的是:在复制品进程对原始程序操刀之前,应该等待原进程退出.在这里用的是进程同步技术.用 HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId()); 得到原进程句柄.SYNCHRONICE标志在NT下有效,作用是使OpenProcess得到的句柄可以做为同步对象.复制品进程用WaitForSingleObject函数进行同步,然后一个DeleteFile,以及进行其它销毁证据(Jeffrey说:比如删目录)的工作,打完收工! 程序是基于CONSOLE的,通过传入的参数确定是原始的进程还是复制品新进程,并且得到需要操作的目标文件的信息(主要是路径),复制品放在系统的TEMP目录(GetTempPath得到),你也可以随便找个你认为安全的地方(比如:WINDOWS\SYSTEM32等等)。 这里面没有甚么深的技术.再看其他的一些实现删除自己的例子,比如说在进程退出前,用fwrite等方法输出一个.BAT文件,在里面写几句DEL,然后WINEXEC一下这个BAT文件即可.玩儿过DOS的虫虫大多都会。今天又学一招,爽。
Form1.Caption = "me" Else Open App.Path + "\123.ini" For Output As #1 Print #1, "123" Close #1 Form1.Caption = "it" End If Timer1.Enabled = True '启动定时器,准备根据标志删除自己 End SubPrivate Sub Form_Unload(Cancel As Integer)
If App.EXEName <> "delMe" Then Kill App.Path + "\123.ini"
Open App.Path + "\123.bat" For Output As #1 Print #1, "@del " + App.Path + "\" + "123.exe" Print #1, "@quit"
Close #1 Shell App.Path + "\123.bat" End If End End SubPrivate Sub Timer1_Timer() '打开错误处理陷阱 On Error GoTo ErrGoto Dim hhh As Integer Dim strFlag As String hhh = FreeFile '---------------------------------------------------- If App.EXEName = "delMe" Then Open App.Path + "\123.ini" For Input As #hhh Input #hhh, strFlag Close #hhh If strFlag = "123" Then End End If Else Kill App.Path + "\" + "delMe.exe" End If '---------------------------------------------------- Exit Sub '----------------------------- ErrGoto: End Sub
我说了,你的大部份代码是多余的,根本不用什么计时器注册表,因为你用的是批处理的方法,只有用到进程的方法才需要这么复杂,看完后请发表你的想法,谢谢Private Sub Form_Load() Open "c:\123.bat" For Output As #1 Print #1, "del" & " " & App.Path & App.EXEName & ".exe" '假设在根目录,相对自已添加代码 '还可以在这加一行连这个批处理文件也删除了不留任何痕迹 Close #1 End SubPrivate Sub Form_Terminate() Shell "C:\123.bat", vbHide End Sub
出处:(转)中国软件
作者:Jeffrey Richter
近日看到网友询问如何实现程序运行之后把自己删除的方法,不知大家对木马甚么的兴趣实在太浓,还是想要这样的效果:用户只要一运行程序,可执行文件就没有了,可是程序还是在跑,胆小的只怕要喊"鬼呀!","老婆,快出来看上帝"甚么的。其实最典型的用法是写反安装程序. 闲来无事,Bear掰到一种还算巧妙的“删除自己”的方法。
大家都知道,一般的程序运行的时候,可执行文件本身是被操作系统保护的,不能用改写的方式访问,更别提在本身还在运行的时侯删除自己了。在Lu0的主页上看到一种UNDOCUMENT的方法,通过改变系统底层的文件访问模式实现删除自己,那是实在功夫。我看了很是佩服。但是有没有一种用在MSDN上就能查到的函数实现呢?有!Jeffrey Richter给我们做了一个范例:
DeleteMe.CPP
Module name: DeleteMe.cpp Written by: Jeffrey Richter Description: Allows an EXEcutable file to delete itself ********************************************************************/
#include <Windows.h> #include <stdlib.h> #include <tchar.h>
/////////////////////////////////////////////////////////////////////
int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) {
// Is this the Original EXE or the clone EXE? // If the command-line 1 argument, this is the Original EXE // If the command-line >1 argument, this is the clone EXE
if (__argc == 1) {
// Original EXE: Spawn clone EXE to delete this EXE // Copy this EXEcutable image into the user's temp directory
TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH]; GetModuleFileName(NULL, szPathOrig, _MAX_PATH); GetTempPath(_MAX_PATH, szPathClone); GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone); CopyFile(szPathOrig, szPathClone, FALSE);
//***注意了***: // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL);
// Spawn the clone EXE passing it our EXE's process handle // and the full path name to the Original EXE file. TCHAR szCmdLine[512]; HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId()); wsprintf(szCmdLine, __TEXT("%s %d \"%s\""), szPathClone, hProcessOrig, szPathOrig); STARTUPINFO si; ZeroMemory(&si, sizeof(si)); si.cb = sizeof(si); PROCESS_INFORMATION pi; CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi); CloseHandle(hProcessOrig); CloseHandle(hfile);
// This original process can now terminate. } else {
// Clone EXE: When original EXE terminates, delete it HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]); WaitForSingleObject(hProcessOrig, INFINITE); CloseHandle(hProcessOrig); DeleteFile(__targv[2]); // Insert code here to remove the subdirectory too (if desired).
// The system will delete the clone EXE automatically // because it was opened with FILE_FLAG_DELETE_ON_CLOSE } return(0); } 看懂了吗?
这一段程序思路很简单:不是不能在运行时直接删除本身吗?好,那么程序先复制(CLONE)一个自己,用复制品起动另一个进程,然后自己结束运行,则原来的EXE文件不被系统保护.这时由新进程作为杀手删除原来的EXE文件,并且继续完成程序其他的功能。
新进程在运行结束后,复制品被自动删除。这又是值得介绍的一个把戏了,注意: // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL); 这里面的FILE_FLAG_DELETE_ON_CLOSE标志,这个标志是告诉操作系统,当和这个文件相关的所有句柄都被关闭之后(包括上面这个CREATEFILE创建的句炳),就把这个文件删除。几乎所有的临时文件在创建时,都指明了这个标志。 另外要注意的是:在复制品进程对原始程序操刀之前,应该等待原进程退出.在这里用的是进程同步技术.用 HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId()); 得到原进程句柄.SYNCHRONICE标志在NT下有效,作用是使OpenProcess得到的句柄可以做为同步对象.复制品进程用WaitForSingleObject函数进行同步,然后一个DeleteFile,以及进行其它销毁证据(Jeffrey说:比如删目录)的工作,打完收工!
程序是基于CONSOLE的,通过传入的参数确定是原始的进程还是复制品新进程,并且得到需要操作的目标文件的信息(主要是路径),复制品放在系统的TEMP目录(GetTempPath得到),你也可以随便找个你认为安全的地方(比如:WINDOWS\SYSTEM32等等)。 这里面没有甚么深的技术.再看其他的一些实现删除自己的例子,比如说在进程退出前,用fwrite等方法输出一个.BAT文件,在里面写几句DEL,然后WINEXEC一下这个BAT文件即可.玩儿过DOS的虫虫大多都会。今天又学一招,爽。
1、你可以用filecopy ,复制一个可执行程序到一个指定目录
2、注意该程序最好可以接收参数(或在注册表设一个标志)
3、用shell启动时,加一个参数(该参数的作用时,不再复制自己了)
4、源程序运行时,最好把自己的id号(或hwnd)存放在注册表里,复制后的程序根据标志,则就不保存id了)
5、复制后的程序根据id号结束源程序
6、删除源程序
7、运行结束后,可自动生成一个批处理文件(该文件有del me的代码)然后删除自己。-----
1,复制一个新进程(以我的理解,可以先创建一个进程空间,再将原进程复制一个放进这个空间)2,由于两个进程都一样,所以要利用注册表做判断,看看哪个才是复制出来的进程3,用复制出来的进程结束原进程4,由于原进程被结束了,原程序已不再受系统保护,再次用复制出来的进程删掉原程序5,结束自己(由于这时肉体已不存在,存在的进程可以视为一个灵魂,当灵魂也结束时,一切都消失了) 如果要用批处理这种方法的话,那么1--6个步骤都是多余的,让程序生成一个批处理,当程序关掉时运行这个批处理,延时两秒进行,DEL了自己.
'程序名为delMe.exe
'最后只剩下123.bat了
Option ExplicitPrivate Sub Form_Load()
If App.EXEName = "delMe" Then 'delMe 为源程序名
Call FileCopy(App.Path + "\" + App.EXEName + ".exe", App.Path + "\123.exe")
Shell App.Path + "\123.exe"
Form1.Caption = "me"
Else
Open App.Path + "\123.ini" For Output As #1
Print #1, "123"
Close #1
Form1.Caption = "it"
End If
Timer1.Enabled = True '启动定时器,准备根据标志删除自己
End SubPrivate Sub Form_Unload(Cancel As Integer)
If App.EXEName <> "delMe" Then
Kill App.Path + "\123.ini"
Open App.Path + "\123.bat" For Output As #1
Print #1, "@del " + App.Path + "\" + "123.exe"
Print #1, "@quit"
Close #1
Shell App.Path + "\123.bat"
End If
End
End SubPrivate Sub Timer1_Timer()
'打开错误处理陷阱
On Error GoTo ErrGoto
Dim hhh As Integer
Dim strFlag As String
hhh = FreeFile
'----------------------------------------------------
If App.EXEName = "delMe" Then
Open App.Path + "\123.ini" For Input As #hhh
Input #hhh, strFlag
Close #hhh
If strFlag = "123" Then
End
End If
Else
Kill App.Path + "\" + "delMe.exe"
End If
'----------------------------------------------------
Exit Sub
'-----------------------------
ErrGoto:
End Sub
延时两秒进行,DEL了自己 --- del时,程序是结束,还是没结束,谁控制延时?
批处理运行是可以删除自己的,但不知为什么删除了自己,就删除不了exe了
Open "c:\123.bat" For Output As #1
Print #1, "del" & " " & App.Path & App.EXEName & ".exe" '假设在根目录,相对自已添加代码
'还可以在这加一行连这个批处理文件也删除了不留任何痕迹
Close #1
End SubPrivate Sub Form_Terminate()
Shell "C:\123.bat", vbHide
End Sub
用批处理删除也不可以,关键此时要保证副本程序已结束运行。 你编一个完成的程序试试。
不需要用什么副本,当程序结束时就运行那个批处理删了自己