抑制文件产生,高手来看一下。(100分)

抑制文件产生,高手来看一下。
就是像费尔木马强力清除助手中一样，
删除某个木马文件，防止它再生成！
给点提示也好！

如何在NT/2000中删除一个正在使用的文件

先锋 2001-11-1 21:53:10




<> MoveFileEx <>
这个函数允许我们对一个指定的文件或目录改名。但是如果我们在dwFlags中指定为TMOVEFILE_DELAY_UNTIL_REBOOT（仅对NT/2000有效），那么这次更动会在重启之后生效，系统会在重启之后删除或改改我们指定的文件。

用法：
MoveFileEx(ExistingFN, NewFN, MOVEFILE_REPLACE_EXISTING)
MoveFileEx(ExistingFN, NewFN, MOVEFILE_DELAY_UNTIL_REBOOT)

其中：
ExistingFN 为指定的文件或目录的路径。
NewFN 为新的文件或目录名。

标志 MOVEFILE_REPLACE_EXISTING 告诉函数如果文件或目录存在则改写它的名称。
如果 NewFN 设为 nil，那么则将其删除

例子：

移动文件：
MoveFileEx('c:/winnt/system32/kernel32.dll', 'd:/winnt.bak/system32/kernel32.dll',MOVEFILE_REPLACE_EXISTING);
MoveFileEx('c:/winnt/system32/kernel32.dll', 'd:/winnt.bak/system32/kernel32.dll',MOVEFILE_DELAY_UNTIL_REBOOT);

删除文件：
MoveFileEx('c:winnt/system32/kernel32.dll', nil,MOVEFILE_REPLACE_EXISTING);
MoveFileEx('c:winnt/system32/kernel32.dll', nil,MOVEFILE_DELAY_UNTIL_REBOOT);

以前收藏的资料，不知道有没有用！

谢谢weiliu
但只完成了删除文件，还有一个功能没有，未答到要求。
就是抑制文件再次生成。
如：一个木马在c:/windows/xxx.inc
删了以后，并且防止以后再也不能生成xxx.inc在c:/windows下.

那就列张不允许再生的文件表,放个timer,定时清除.

用定时器，发现有这种文件就清除就是了，间隔设置的时间根据你的需要，这么简单还问。

要知道费尔木马助手，删除并抑制文件产生后是退出了的，但是以后也是无法生成被抑制文件的，这就不是一个timer控件的问题，老大们啊。

费尔木马助手有后台程序在运行

erase 某个固定的文件不行吗

hook zwCreatefile这个API