-
-
[旧帖] [求助]文件自删除的困扰 0.00雪花
-
发表于: 2013-10-10 10:49
-
最近在研究一种可靠的文件自删除技术,在研究了几种之后发现Gary Nebbett写的那种经典的文件自删除方法比较符合我的需求,以下是此方法的实现:
int main(int argc, char *argv[])
{
HMODULE module = GetModuleHandle(0);
CHAR buf[MAX_PATH];
GetModuleFileName(module, buf, sizeof buf);
CloseHandle(HANDLE(4));
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
}
return 0;
}
此种方式可以跟预期的一样先关掉image的文件句柄,然后再取消image的文件映射,之后也可以顺利执行DeleteFile,只是DeleteFile返回失败,并且返回错误码5(访问拒绝),而此时用unlocker查看文件也是处于未锁定状态,就是删除不了,有可能是文件还在某些地方引用,求大神们多指点指点
int main(int argc, char *argv[])
{
HMODULE module = GetModuleHandle(0);
CHAR buf[MAX_PATH];
GetModuleFileName(module, buf, sizeof buf);
CloseHandle(HANDLE(4));
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
}
return 0;
}
此种方式可以跟预期的一样先关掉image的文件句柄,然后再取消image的文件映射,之后也可以顺利执行DeleteFile,只是DeleteFile返回失败,并且返回错误码5(访问拒绝),而此时用unlocker查看文件也是处于未锁定状态,就是删除不了,有可能是文件还在某些地方引用,求大神们多指点指点
[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦!!!
|
|
|---|---|
|
|
你这是在做强删文件
,强删正在运行的exe,除了关句柄还像还要改一个东西.
|
|
|
|
|
|
|
|
|
好要把文件映射的句柄关了。我又上网查了相关资料,说这种方法只有在XP之前(不包括XP)的系统上可行,为什么在XP之后的系统上不行?昨天问了一个大神,说是内存中还有模块链存在,貌似解链还有点麻烦,不知道解链之后可以不,还需要进一步研究。
|
