一个运行中的程序，怎样删除自己？(200分)

finger · 2002-07-07

这个问题在论坛中被提过多次了。但是回答我并不满意。 不过，我也看到较好的回答。比如： 来自：xf-wangyi, 时间：2002-7-3 21:20:00, ID：1187629 我没有试过，你试一下 这样取得的地址实际上是这个封装代码的，而这段代码又处于 UnmapViewOfMap 解除映像范围类，因此，到调用 DeleteFile 函数的时候就无法反问到这段代码了。 解决的办法是，用GetProcAddress动态取得这几个API的地址。 Delphi&CB代码如下： ////////////////////////////////////////////// procedure DeleteSelf; var   pExitProcess: Pointer;   pDeleteFile: Pointer;   pUnmapViewOfFile: Pointer;   hModule: THANDLE;   cBuf:array[0..MAX_PATH]of Char; begin   hModule := GetModuleHandle('kernel32');   if hModule <> 0 then   begin     pExitProcess := GetProcAddress(hModule, 'ExitProcess');     pDeleteFile := GetProcAddress(hModule, 'DeleteFileA');     pUnmapViewOfFile := GetProcAddress(hModule, 'UnmapViewOfFile');   end else   begin     pExitProcess := nil;     pDeleteFile := nil;     pUnmapViewOfFile := nil;   end;   hModule := GetModuleHandle(nil);   GetModuleFileName(hModule, cBuf, Sizeof(cBuf));   CloseHandle(THANDLE(4));   asm     XOR EAX, EAX;     PUSH EAX;     PUSH EAX;     LEA EAX, cBuf;     PUSH EAX;     MOV EAX, pExitProcess;    PUSH EAX;    MOV EAX, hModule;    PUSH EAX;    MOV EAX, pDeleteFile;     PUSH EAX;     MOV EAX, pUnmapViewOfFile;     PUSH EAX;     RET;   end; end; 但是，我在调试时发现它只是杀掉进程，大家用什么好方法吗？最好有源码。

kifo · 2002-07-07

这个你试试。 unit Unit1; interface uses Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls; type TForm1 = class(TForm) Button1: TButton; procedure My_DeleteMe; //自定义程序自杀过程 procedure Button1Click(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.DFM} procedure TForm1.Button1Click(Sender: TObject); begin My_DeleteMe; end; procedure TForm1.My_DeleteMe; //程序自杀 var BatchFile: TextFile; BatchFileName: string; ProcessInfo: TProcessInformation; StartUpInfo: TStartupInfo; begin {By Lovejingtao.http://Lovejingtao.126.com,Lovejingtao@21cn.com} BatchFileName := ExtractFilePath(ParamStr(0)) + '$$a.bat'; AssignFile(BatchFile, BatchFileName); Rewrite(BatchFile); Writeln(BatchFile, ':try'); Writeln(BatchFile, 'del "' + ParamStr(0) + '"'); Writeln(BatchFile, 'if exist "' + ParamStr(0) + '"' + ' goto try'); Writeln(BatchFile, 'del "' + BatchFileName + '"'); Writeln(BatchFile, 'cls'); CloseFile(BatchFile); FillChar(StartUpInfo, SizeOf(StartUpInfo), $00); StartUpInfo.dwFlags := STARTF_USESHOWWINDOW; StartUpInfo.wShowWindow := SW_HIDE; if CreateProcess(nil, PChar(BatchFileName), nil, nil, False, IDLE_PRIORITY_CLASS, nil, nil, StartUpInfo, ProcessInfo) then begin CloseHandle(ProcessInfo.hThread); CloseHandle(ProcessInfo.hProcess); end; //Application.Terminate;    原程序如此。后运行不畅改为close. close; end; end. //补充：1、上面的批处理的 del %0等同于 del a.bat，用del a.bat则批处理文件必须为a.bat,用del %0则可以随意。

xf-wangyi · 2002-07-07

这个也是我转贴来的，我并没有试过行不行，我来试试楼上这位的方法

finger · 2002-07-08

xf-wangyi:你的方法不错，再努力一下阿。 kifo：你的方法我知道。谢谢你了。其实，你的程序不是真重意义上的自己删自己。 我知道可以向CIH那样，取得RING0级控制。不过我不知用DELPHI的实现代码。

kifo · 2002-07-09

做到这一步就行了，你删得再好，别为运行前先备份你一下，还是能分析出来的。

finger · 2002-07-09

to kifo:我并不是真要做这样的删除程序。如果是这样，以前的帖子已经解决问题了。 我只是想知道直接控制的方法。例如如何取得RING0及控制。你的方法构思很巧妙，但实际上 严格地说不是庸庸程序本身删除了自己。   不过，谢谢你。我会给分给你的。

xf-wangyi · 2002-07-09

再转一贴，这个我还没有完全看懂 下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码. 这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了. int main(int argc, char *argv[]) {    HMODULE module = GetModuleHandle(0);    CHAR buf[MAX_PATH];    GetModuleFileName(module, buf, sizeof buf);    CloseHandle(HANDLE(4));    __asm {        lea     eax, buf        push    0        push    0        push    eax        push    ExitProcess        push    module        push    DeleteFile        push    UnmapViewOfFile        ret    }    return 0; } 现在,我们先看一下堆栈中的东西 偏移内容 24   0 20   0 16   offset buf 12   address of ExitProcess 8    module 4    address of DeleteFile 0    address of UnmapViewOfFile 调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module, buf, sizeof buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回. 这段代码的精妙之处在于: 1.如果有文件的HANDLE打开,文件删除就会失败,所以,CloseHandle(HANDLE(4));是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄. 2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码. 3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.) Gary Nebbett果然是WIN系列平台的顶尖高手之一.能写出如此代码.独辟蹊径啊

xf-wangyi · 2002-07-09

来源自 http://www.delphibbs.com/delphibbs/dispq.asp?lid=836219

一个运行中的程序，怎样删除自己？(200分)

finger

Unregistered / Unconfirmed

kifo

Unregistered / Unconfirmed

xf-wangyi

Unregistered / Unconfirmed

finger

Unregistered / Unconfirmed

kifo

Unregistered / Unconfirmed

finger

Unregistered / Unconfirmed

xf-wangyi

Unregistered / Unconfirmed

xf-wangyi

Unregistered / Unconfirmed

Similar threads