[原创]一个简洁的“删除自身后，进程还存活的例子”-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一个简洁的“删除自身后，进程还存活的例子”

发表于: 2013-10-18 01:13 26667

[原创]一个简洁的“删除自身后，进程还存活的例子”

toofunny

2013-10-18 01:13

26667

由于争议过多，请勿回贴。谢谢合作。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・5

免费・0

支持

最新回复 (23)
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 2 楼忘了给出一个简洁的结束进程的方法。按下 win + r 复制粘贴下面这句 TASKKILL /F /IM wscript.exe 回车，即可杀死该进程 2013-10-18 01:21 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 3 楼 vbs..汗..你怎么不写个删除wscript.exe然后进程wscript.exe还存在的 2013-10-18 08:43 0
邋遢鬼雪币： 31 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 527 粉丝 0 关注私信	邋遢鬼 4 楼楼主在2楼已经杀死wcript进程了。 2013-10-18 08:59 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 5 楼 0.0.....这、、、、Pro你上世纪来的吧。。 2013-10-18 09:03 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 6 楼 wscript.exe是微软Microsoft Windows操作系统脚本相关支持程序。你能把系统删了，还能运行系统吗？楼主的程序，以做到运行一次及删除自身程序的目的，是一个防文件破解的好办法。 2013-10-18 09:24 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 7 楼嗯？啥意思？ 2013-10-18 09:31 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 8 楼各位发帖之前麻烦先看清楚我前面的说明。我只是想用最简单的方式说明某些问题，你说的这个也并非不能实现。 C/C++的自删除在这里 http://bbs.pediy.com/showthread.php?t=179950&highlight= 2013-10-18 09:38 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 9 楼他的意思是这东西老土到不能再老土了。其实我的本意根本就不是要show vbs。我也是很多年前用的vbs。 2013-10-18 09:40 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 10 楼终于遇到个知音了。我的本意是希望能实现反调试、防虚拟机及隐藏自身等功能。 C/C++的自删除可以用另外的方法，原理是一样的。 http://bbs.pediy.com/showthread.php?t=179950&highlight= 2013-10-18 09:44 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 11 楼一个DeleteFile就是防文件破解的好办法了？你这句话要是20年前说还有人赞同.. 现在的自删除除了清理残留的垃圾没有任何意义 .. 现在就算你随便用QQ传给别人一个文件可能都被某卫士某什么的上传到云服务器了 .. 2013-10-18 09:50 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 12 楼好吧，大家不要争了。我也说过是老技术了。另外，有没有意义也不是几句话决定的。 2013-10-18 10:02 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 13 楼自删除的比较好的办法是将自己的EXE移动到别处。然后加重启删除。。 2013-10-18 11:07 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 14 楼 VBA不是一个PE结构的可自行程序吧，它只是一段脚本，只要被解释器加载到内存，就可以解释运行了，此时删除脚本，可能是没事的，因为解释器是以只读的方式读取整个文件，读完内容之后就关闭文件，所以可以删除。如果是PE格式程序，执行原理和VBA是否有很大区别？在运行时，这个程序文件是否没有关闭，所以你说的执行时，删除文件，可能是做不到的 2013-10-29 18:46 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 15 楼这年头，做木马是不是越来越难了啊？现在木马作者是不是都被卫士赶尽杀绝或者被招安了呢？ 2013-10-29 18:56 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 16 楼无论用什么方式，都是要先找到宿主，把代码交托给宿主后就可以删除自身了。无论脚本还是PE还是ELF，都可以做到的。 2013-10-29 22:34 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 17 楼正想要 ... 2013-10-29 23:38 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 18 楼运行exe的时候，exe还没退出是无法删除的吧，如果你说可以，给段代码吧 2013-10-30 02:11 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 19 楼下面这个帖子讨论了exe的自删除，你可以看看 http://bbs.pediy.com/showthread.php?t=179950&highlight= 2013-10-30 08:19 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 20 楼人家好像说没退出的时候，你这代码加个死循环还行不？ 2013-10-30 08:40 0
zhczf 雪币： 11086 活跃值： (17612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 402 粉丝 0 关注私信	zhczf 21 楼过来看一看这些代码，多学习一点经验 2013-10-30 10:26 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 22 楼稍作改动就可以了。你可以看看该帖子后面的回复。 2013-10-30 15:28 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 23 楼注意是不退出，而不是强制杀死 2013-10-30 17:03 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 24 楼无聊啊。我为啥要发这样的帖子。天杀我也。 2013-10-30 23:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

toofunny

发帖

239

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 2 楼忘了给出一个简洁的结束进程的方法。按下 win + r 复制粘贴下面这句 TASKKILL /F /IM wscript.exe 回车，即可杀死该进程 2013-10-18 01:21 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 3 楼 vbs..汗..你怎么不写个删除wscript.exe然后进程wscript.exe还存在的 2013-10-18 08:43 0
邋遢鬼雪币： 31 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 527 粉丝 0 关注私信	邋遢鬼 4 楼楼主在2楼已经杀死wcript进程了。 2013-10-18 08:59 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 5 楼 0.0.....这、、、、Pro你上世纪来的吧。。 2013-10-18 09:03 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 6 楼 wscript.exe是微软Microsoft Windows操作系统脚本相关支持程序。你能把系统删了，还能运行系统吗？楼主的程序，以做到运行一次及删除自身程序的目的，是一个防文件破解的好办法。 2013-10-18 09:24 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 7 楼嗯？啥意思？ 2013-10-18 09:31 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 8 楼各位发帖之前麻烦先看清楚我前面的说明。我只是想用最简单的方式说明某些问题，你说的这个也并非不能实现。 C/C++的自删除在这里 http://bbs.pediy.com/showthread.php?t=179950&highlight= 2013-10-18 09:38 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 9 楼他的意思是这东西老土到不能再老土了。其实我的本意根本就不是要show vbs。我也是很多年前用的vbs。 2013-10-18 09:40 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 10 楼终于遇到个知音了。我的本意是希望能实现反调试、防虚拟机及隐藏自身等功能。 C/C++的自删除可以用另外的方法，原理是一样的。 http://bbs.pediy.com/showthread.php?t=179950&highlight= 2013-10-18 09:44 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 11 楼一个DeleteFile就是防文件破解的好办法了？你这句话要是20年前说还有人赞同.. 现在的自删除除了清理残留的垃圾没有任何意义 .. 现在就算你随便用QQ传给别人一个文件可能都被某卫士某什么的上传到云服务器了 .. 2013-10-18 09:50 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 12 楼好吧，大家不要争了。我也说过是老技术了。另外，有没有意义也不是几句话决定的。 2013-10-18 10:02 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 13 楼自删除的比较好的办法是将自己的EXE移动到别处。然后加重启删除。。 2013-10-18 11:07 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 14 楼 VBA不是一个PE结构的可自行程序吧，它只是一段脚本，只要被解释器加载到内存，就可以解释运行了，此时删除脚本，可能是没事的，因为解释器是以只读的方式读取整个文件，读完内容之后就关闭文件，所以可以删除。如果是PE格式程序，执行原理和VBA是否有很大区别？在运行时，这个程序文件是否没有关闭，所以你说的执行时，删除文件，可能是做不到的 2013-10-29 18:46 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 15 楼这年头，做木马是不是越来越难了啊？现在木马作者是不是都被卫士赶尽杀绝或者被招安了呢？ 2013-10-29 18:56 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 16 楼无论用什么方式，都是要先找到宿主，把代码交托给宿主后就可以删除自身了。无论脚本还是PE还是ELF，都可以做到的。 2013-10-29 22:34 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 17 楼正想要 ... 2013-10-29 23:38 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 18 楼运行exe的时候，exe还没退出是无法删除的吧，如果你说可以，给段代码吧 2013-10-30 02:11 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 19 楼下面这个帖子讨论了exe的自删除，你可以看看 http://bbs.pediy.com/showthread.php?t=179950&highlight= 2013-10-30 08:19 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 20 楼人家好像说没退出的时候，你这代码加个死循环还行不？ 2013-10-30 08:40 0
zhczf 雪币： 11086 活跃值： (17612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 402 粉丝 0 关注私信	zhczf 21 楼过来看一看这些代码，多学习一点经验 2013-10-30 10:26 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 22 楼稍作改动就可以了。你可以看看该帖子后面的回复。 2013-10-30 15:28 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 23 楼注意是不退出，而不是强制杀死 2013-10-30 17:03 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 24 楼无聊啊。我为啥要发这样的帖子。天杀我也。 2013-10-30 23:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复