一种巧妙的删除措施本身的要领

副标题#e#

克日看到网友询问如何实现措施运行之后把本身删除的要领，不知各人对木马甚么的乐趣实在太浓,照旧想要这样的结果:用户只要一运行措施,可执行文件就没有了,但是措施照旧在跑,胆小的只怕要喊"鬼呀!","妻子,快出来看上帝"甚么的

。其实最典范的用法是写反安装措施. 闲来无事，Bear掰到一种还算巧妙的“删除本身”的要领。

各人都知道，一般的措施运行的时候，可执行文件自己是被操纵系统掩护的，不能用改写的方法会见，更别提在自己还在运行的时侯删除本身了。在Lu0的主页上看到一种UNDOCUMENT的要领，通过改变系统底层的文件会见模式实现删除本身，那是实在工夫。我看了极端服气。可是有没有一种用在MSDN上就能查到的函数实现呢？有!Jeffrey Richter给我们做了一个典型：

DeleteMe.CPP
Module name: DeleteMe.cpp
Written by: Jeffrey Richter
Description: Allows an EXEcutable file to delete itself
**************************************************/
#include <Windows.h>
#include <stdlib.h>
#include <tchar.h>
/////////////////////////////////////////////////
int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) {
// Is this the Original EXE or the clone EXE?
// If the command-line 1 argument, this is the Original EXE
// If the command-line >1 argument, this is the clone EXE
if (__argc == 1) {
// Original EXE: Spawn clone EXE to delete this EXE
// Copy this EXEcutable image into the user's temp directory
TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH];
GetModuleFileName(NULL, szPathOrig, _MAX_PATH);
GetTempPath(_MAX_PATH, szPathClone);
GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone);
CopyFile(szPathOrig, szPathClone, FALSE);
//***留意了***:
// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE
HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTI
NG, FILE_FLAG_DELETE_ON_CLOSE, NULL);
// Spawn the clone EXE passing it our EXE's process handle
// and the full path name to the Original EXE file.
TCHAR szCmdLine[512];
HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());
wsprintf(szCmdLine, __TEXT("%s %d \"%s\""), szPathClone, hProcessOrig, szPat
hOrig);
STARTUPINFO si;
ZeroMemory(&si, sizeof(si));
si.cb = sizeof(si);
PROCESS_INFORMATION pi;
CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi);
CloseHandle(hProcessOrig);
CloseHandle(hfile);
// This original process can now terminate.
} else {
// Clone EXE: When original EXE terminates, delete it
HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]);
WaitForSingleObject(hProcessOrig, INFINITE);
CloseHandle(hProcessOrig);
DeleteFile(__targv[2]);
// Insert code here to remove the subdirectory too (if desired).
// The system will delete the clone EXE automatically
// because it was opened with FILE_FLAG_DELETE_ON_CLOSE
}
return(0);
}

#p#副标题#e#

看懂了吗？

这一段措施思路很简朴：不是不能在运行时直接删除自己吗？好，那么措施先复制（CLONE）一个本身，用复成品起动另一个历程，然后本身竣事运行，则本来的EXE文件不被系统掩护.这时由新历程作为杀手删除本来的EXE文件，而且继承完成措施其他的成果。

新历程在运行竣事后，复成品被自动删除。这又是值得先容的一个花招了，留意：

// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE

HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTIN

G, FILE_FLAG_DELETE_ON_CLOSE, NULL);

这内里的FILE_FLAG_DELETE_ON_CLOSE符号,这个符号是汇报操纵系统，当和这个文件相关的所有句柄都被封锁之后(包罗上面这个CREATEFILE建设的句炳)，就把这个文件删除。险些所有的姑且文件在建设时，都指明白这个符号。

别的要留意的是:在复成品历程对原始措施操刀之前,应该期待原历程退出.在这里用的是历程同步技能.用HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId());获得原历程句柄.SYNCHRONICE符号在NT下有效,浸染是使OpenProcess获得的句柄可以做为同步工具.复成品历程用WaitForSingleObject函数举办同步,然后一个DeleteFile,以及举办其它销毁证据（Jeffrey说：好比删目次）的事情,打完收工！

措施是基于CONSOLE的，通过传入的参数确定是原始的历程照旧复成品新历程，而且获得需要操纵的方针文件的信息（主要是路径），复成品放在系统的TEMP目次（GetTempPath获得），你也可以随便找个你认为安详的处所（好比：WINDOWS\SYSTEM32等等）。

#p#分页标题#e#

这内里没有甚么深的技能.再看其他的一些实现删除本身的例子,好比说在历程退出前,用fwrite等要领输出一个.BAT文件,在内里写几句DEL,然后WINEXEC一下这个BAT文件即可.

玩儿过DOS的虫虫大多城市。本日又学一招，爽。