運行中程序刪除自己的方法

字號:

大家都知道,一般的程序運行的時候,可執(zhí)行文件本身是被操作系統(tǒng)保護的,不能用改寫的方式訪問,更別提在本身還在運行的時侯刪除自己了。在網(wǎng)上看到一種UNDOCUMENT的方法,通過改變系統(tǒng)底層的文件訪問模式實現(xiàn)刪除自己。但是有沒有一種用在MSDN上就能查到的函數(shù)實現(xiàn)呢?答案是肯定的。下面請看一個范例:
    DeleteMe.CPP
    Module name: DeleteMe.cpp
    Written by: Jeffrey Richter
    Description: Allows an EXEcutable file to delete itself
    **************************************************/
    #include
    #include
    #include
    /////////////////////////////////////////////////
    int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) {
    // Is this the Original EXE or the clone EXE?
    // If the command-line 1 argument, this is the Original EXE
    // If the command-line >1 argument, this is the clone EXE
    if (__argc == 1) {
    // Original EXE: Spawn clone EXE to delete this EXE
    // Copy this EXEcutable image into the user''s temp directory
    TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH];
    GetModuleFileName(NULL, szPathOrig, _MAX_PATH);
    GetTempPath(_MAX_PATH, szPathClone);
    GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone);
    CopyFile(szPathOrig, szPathClone, FALSE);
    //***注意了***:
    // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE
    HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTI
    NG, FILE_FLAG_DELETE_ON_CLOSE, NULL);
    // Spawn the clone EXE passing it our EXE''s process handle
    // and the full path name to the Original EXE file.
    TCHAR szCmdLine[512];
    HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());
    wsprintf(szCmdLine, __TEXT("%s %d \"%s\""), szPathClone, hProcessOrig, szPat
    hOrig);
    STARTUPINFO si;
    ZeroMemory(&si, sizeof(si));
    si.cb = sizeof(si);
    PROCESS_INFORMATION pi;
    CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi);
    CloseHandle(hProcessOrig);
    CloseHandle(hfile);
    // This original process can now terminate.
    } else {
    // Clone EXE: When original EXE terminates, delete it
    HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]);
    WaitForSingleObject(hProcessOrig, INFINITE);
    CloseHandle(hProcessOrig);
    DeleteFile(__targv[2]);
    // Insert code here to remove the subdirectory too (if desired).
    // The system will delete the clone EXE automatically
    // because it was opened with FILE_FLAG_DELETE_ON_CLOSE
    }
    return(0);
    } 
    這一段程序思路很簡單:不是不能在運行時直接刪除本身嗎?好,那么程序先復制(CLONE)一個自己,用復制品起動另一個進程,然后自己結(jié)束運行,則原來的EXE文件不被系統(tǒng)保護.這時由新進程作為殺手刪除原來的EXE文件,并且繼續(xù)完成程序其他的功能。
    新進程在運行結(jié)束后,復制品被自動刪除。這又是值得介紹的一個把戲了,注意:
    // Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE
    HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTIN
    G, FILE_FLAG_DELETE_ON_CLOSE, NULL);
    這里面的FILE_FLAG_DELETE_ON_CLOSE標志,這個標志是告訴操作系統(tǒng),當和這個文件相關(guān)的所有句柄都被關(guān)閉之后(包括上面這個CREATEFILE創(chuàng)建的句炳),就把這個文件刪除。幾乎所有的臨時文件在創(chuàng)建時,都指明了這個標志。另外要注意的是:在復制品進程對原始程序操刀之前,應(yīng)該等待原進程退出.在這里用的是進程同步技術(shù).用HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId());得到原進程句柄.SYNCHRONICE標志在NT下有效,作用是使OpenProcess得到的句柄可以做為同步對象.復制品進程用WaitForSingleObject函數(shù)進行同步,然后一個DeleteFile,以及進行其它銷毀證據(jù)(比如刪目錄)的工作,一切就完事了。
    程序是基于CONSOLE的,通過傳入的參數(shù)確定是原始的進程還是復制品新進程,并且得到需要操作的目標文件的信息(主要是路徑),復制品放在系統(tǒng)的TEMP目錄(GetTempPath得到),你也可以隨便找個你認為安全的地方(比如:Windows\SYSTEM32等等)。這里面沒有甚么深的技術(shù).再看其他的一些實現(xiàn)刪除自己的例子,比如說在進程退出前,用fwrite等方法輸出一個.BAT文件,在里面寫幾句DEL,然后WINEXEC一下這個BAT文件即可.玩兒過DOS的蟲蟲大多都會。