一个简单的自杀代码-编程技术-看雪-安全社区|安全招聘|kanxue.com

一个简单的自杀代码

2005-12-30 11:59 9111

一个简单的自杀代码

鸡蛋壳

2005-12-30 11:59

9111

////////////////////////////////////////////////////////

#include <windows.h>
#include <shlobj.h>

BOOL SelfDelete()
{
  SHELLEXECUTEINFO sei;

  TCHAR szModule [MAX_PATH],
      szComspec[MAX_PATH],
      szParams [MAX_PATH];

  // get file path names:
  if((GetModuleFileName(0,szModule,MAX_PATH)!=0) &&
   (GetShortPathName(szModule,szModule,MAX_PATH)!=0) &&
   (GetEnvironmentVariable("COMSPEC",szComspec,MAX_PATH)!=0))
  {
// set command shell parameters
lstrcpy(szParams,"/c del ");
lstrcat(szParams, szModule);
lstrcat(szParams, " > nul");

// set struct members
sei.cbSize    = sizeof(sei);
sei.hwnd       = 0;
sei.lpVerb    = "Open";
sei.lpFile    = szComspec;
sei.lpParameters = szParams;
sei.lpDirectory  = 0;
sei.nShow       = SW_HIDE;
sei.fMask       = SEE_MASK_NOCLOSEPROCESS;

// increase resource allocation to program
SetPriorityClass(GetCurrentProcess(),
                  REALTIME_PRIORITY_CLASS);
SetThreadPriority(GetCurrentThread(),
                  THREAD_PRIORITY_TIME_CRITICAL);

// invoke command shell
if(ShellExecuteEx(&sei))
{
   // suppress command shell process until program exits
   SetPriorityClass(sei.hProcess,IDLE_PRIORITY_CLASS);
   SetProcessPriorityBoost(sei.hProcess,TRUE);

   // notify explorer shell of deletion
   SHChangeNotify(SHCNE_DELETE,SHCNF_PATH,szModule,0);
   return TRUE;
}
else // if error, normalize allocation
{
   SetPriorityClass(GetCurrentProcess(),
                     NORMAL_PRIORITY_CLASS);
   SetThreadPriority(GetCurrentThread(),
                     THREAD_PRIORITY_NORMAL);
}
  }
  return FALSE;
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・6

点赞・7

打赏

最新回复 (14)
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 2005-12-30 14:42 2 楼 0 ,学习
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 2005-12-30 15:15 3 楼 0 http://www.cppblog.com/sandy/archive/2005/12/07/1580.aspx
kanxue 雪币： 32406 活跃值： (18795) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 487 关注私信	kanxue 8 2005-12-30 15:33 4 楼 0 最初由鸡蛋壳发布 //////////////////////////////////////////////////////// #include <windows.h> #include <shlobj.h> ........ 转帖请注明一下。不然别人还以为是你原创的。
tomtom 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	tomtom 2005-12-30 19:13 5 楼 0 不然别人还以为是你原创的。
qdijiale 雪币： 215 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	qdijiale 2005-12-30 22:49 6 楼 0 我真的还以为是他原创！
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-12-31 23:46 7 楼 0 大家把自杀代码共享下阿，好像有很多种
auser 雪币： 232 活跃值： (94) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 564 粉丝 1 关注私信	auser 2006-1-2 09:47 8 楼 0 测试过，有效！
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2271 粉丝 1 关注私信	快雪时晴 4 2006-1-2 12:15 9 楼 0 今天在C:\WINNT发现个_MSRSTRT.EXE,十分可疑反编译了一下，原来是个重启程序，会删除自身，代码很短： 00401000 >/$ >PUSH EBP 00401001 \|. >MOV EBP,ESP 00401003 \|. >SUB ESP,114 00401009 \|. >PUSH ESI 0040100A \|. >LEA EAX,DWORD PTR SS:[EBP-114] 00401010 \|. >PUSH 104 ; /BufSize = 104 (260.) 00401015 \|. >PUSH EAX ; \|PathBuffer 00401016 \|. >PUSH DWORD PTR SS:[EBP+8] ; \|hModule 00401019 \|. >CALL DWORD PTR DS:[<&KERNEL32.GetModuleF>; \GetModuleFileNameA 0040101F \|. >XOR ESI,ESI 00401021 \|. >TEST EAX,EAX 00401023 \|. >JE SHORT _MSRSTRT.00401035 00401025 \|. >PUSH 5 ; /Flags = REPLACE_EXISTING\|DELAY_UNTIL_REBOOT 00401027 \|. >LEA EAX,DWORD PTR SS:[EBP-114] ; \| 0040102D \|. >PUSH ESI ; \|NewName => NULL 0040102E \|. >PUSH EAX ; \|ExistingName 0040102F \|. >CALL DWORD PTR DS:[<&KERNEL32.MoveFileEx>; \MoveFileExA 00401035 \|> >LEA EAX,DWORD PTR SS:[EBP+8] 00401038 \|. >PUSH EAX ; /phToken 00401039 \|. >PUSH 28 ; \|DesiredAccess = TOKEN_QUERY\|TOKEN_ADJUST_PRIVILEGES 0040103B \|. >CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; \|[GetCurrentProcess 00401041 \|. >PUSH EAX ; \|hProcess 00401042 \|. >CALL DWORD PTR DS:[<&ADVAPI32.OpenProces>; \OpenProcessToken 00401048 \|. >TEST EAX,EAX 0040104A \|. >JE SHORT _MSRSTRT.00401088 0040104C \|. >LEA EAX,DWORD PTR SS:[EBP-C] 0040104F \|. >PUSH EAX ; /pLocalId 00401050 \|. >PUSH _MSRSTRT.00403000 ; \|Privilege = "SeShutdownPrivilege" 00401055 \|. >PUSH ESI ; \|SystemName 00401056 \|. >CALL DWORD PTR DS:[<&ADVAPI32.LookupPriv>; \LookupPrivilegeValueA 0040105C \|. >PUSH ESI ; /pRetLen 0040105D \|. >PUSH ESI ; \|pPrevState 0040105E \|. >LEA EAX,DWORD PTR SS:[EBP-10] ; \| 00401061 \|. >PUSH ESI ; \|PrevStateSize 00401062 \|. >PUSH EAX ; \|pNewState 00401063 \|. >PUSH ESI ; \|DisableAllPrivileges 00401064 \|. >PUSH DWORD PTR SS:[EBP+8] ; \|hToken 00401067 \|. >MOV DWORD PTR SS:[EBP-10],1 ; \| 0040106E \|. >MOV DWORD PTR SS:[EBP-4],2 ; \| 00401075 \|. >CALL DWORD PTR DS:[<&ADVAPI32.AdjustToke>; \AdjustTokenPrivileges 0040107B \|. >TEST EAX,EAX 0040107D \|. >JE SHORT _MSRSTRT.00401088 0040107F \|. >PUSH ESI ; /Reserved 00401080 \|. >PUSH 2 ; \|Options = EWX_REBOOT 00401082 \|. >CALL DWORD PTR DS:[<&USER32.ExitWindowsE>; \ExitWindowsEx 00401088 \|> >XOR EAX,EAX 0040108A \|. >POP ESI 0040108B \|. >LEAVE 0040108C \. >RETN 10 与楼主自杀代码很类似哦
datm 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 1 关注私信	datm 2006-1-3 01:10 10 楼 0 翻译成Delphi,没有成功，不过看原理就等同于写一个delme.bat的批处理。 Program Project1; Uses windows, shlobj, shellapi; Function SelfDelete: Boolean; Var sei: PShellExecuteInfo; szModule, szComspec, szParams: Array[0..MAX_PATH] Of char; // get file path names: Begin If ((GetModuleFileName(0, szModule, MAX_PATH) <> 0) And (GetShortPathName(szModule, szModule, MAX_PATH) <> 0) And (GetEnvironmentVariable('COMSPEC', szComspec, MAX_PATH) <> 0)) Then Begin // set command shell parameters lstrcpy(szParams, ' / c del'); lstrcat(szParams, szModule); lstrcat(szParams, ' > nul'); // set struct members New(sei); sei^.cbSize := SizeOf(TShellExecuteInfoA); sei^.Wnd := 0; sei^.lpVerb := 'Open'; sei^.lpFile := szComspec; sei^.lpParameters := szParams; sei^.lpDirectory := 0; sei^.nShow := SW_HIDE; sei^.fMask := SEE_MASK_NOCLOSEPROCESS; // increase resource allocation to program SetPriorityClass(GetCurrentProcess(), REALTIME_PRIORITY_CLASS); SetThreadPriority(GetCurrentThread(), THREAD_PRIORITY_TIME_CRITICAL); // invoke command shell If (ShellExecuteEx(sei)) Then Begin // suppress command shell process until program exits SetPriorityClass(sei^.hProcess, IDLE_PRIORITY_CLASS); SetProcessPriorityBoost(sei^.hProcess, True); // notify explorer shell of deletion SHChangeNotify(SHCNE_DELETE, SHCNF_PATH, @szModule, 0); Result := True; End End Else // if error, normalize allocation Begin SetPriorityClass(GetCurrentProcess(), NORMAL_PRIORITY_CLASS); SetThreadPriority(GetCurrentThread(), THREAD_PRIORITY_NORMAL); Result := False; End; End; Begin SelfDelete End.
渔夫雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	渔夫 2006-1-3 09:37 11 楼 0 谢谢，学习中。。。
hayate 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	hayate 2006-1-9 11:45 12 楼 0 这篇文章讲的很详细从历史角度回顾了很多经典的自删除程序 http://www.catch22.net/tuts/selfdel.asp 最后一个方法适用于9x NT 创建explorer进程并暂停插入删除代码到explorer的空间然后resume explorer进程于是自己被删除然后explorer马上结束呵呵
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 2006-2-1 15:59 13 楼 0 最初由 kanxue 发布转帖请注明一下。不然别人还以为是你原创的。老大，你不说我还以为是他原创！
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 76 回帖 1222 粉丝 9 关注私信	北极星2003 25 2006-2-1 18:20 14 楼 0 不错的代码
VC菜鸟雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	VC菜鸟 2006-2-5 12:47 15 楼 0 还不错吧是好方法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

鸡蛋壳

456

发帖

3132

回帖

RANK

关注

私信

他的文章

[转帖]用多媒体学Visual C++ 2008 系统学习VC 2008必备教程

[下载]新壳 OSP软件平台功能说明

[讨论]微点不识英文？！

[转帖]R3隐藏硬盘分区

[推荐]内存清零KILL进程

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 2005-12-30 14:42 2 楼 0 ,学习
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 2005-12-30 15:15 3 楼 0 http://www.cppblog.com/sandy/archive/2005/12/07/1580.aspx
kanxue 雪币： 32406 活跃值： (18795) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 487 关注私信	kanxue 8 2005-12-30 15:33 4 楼 0 最初由鸡蛋壳发布 //////////////////////////////////////////////////////// #include <windows.h> #include <shlobj.h> ........ 转帖请注明一下。不然别人还以为是你原创的。
tomtom 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	tomtom 2005-12-30 19:13 5 楼 0 不然别人还以为是你原创的。
qdijiale 雪币： 215 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	qdijiale 2005-12-30 22:49 6 楼 0 我真的还以为是他原创！
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-12-31 23:46 7 楼 0 大家把自杀代码共享下阿，好像有很多种
auser 雪币： 232 活跃值： (94) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 564 粉丝 1 关注私信	auser 2006-1-2 09:47 8 楼 0 测试过，有效！
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2271 粉丝 1 关注私信	快雪时晴 4 2006-1-2 12:15 9 楼 0 今天在C:\WINNT发现个_MSRSTRT.EXE,十分可疑反编译了一下，原来是个重启程序，会删除自身，代码很短： 00401000 >/$ >PUSH EBP 00401001 \|. >MOV EBP,ESP 00401003 \|. >SUB ESP,114 00401009 \|. >PUSH ESI 0040100A \|. >LEA EAX,DWORD PTR SS:[EBP-114] 00401010 \|. >PUSH 104 ; /BufSize = 104 (260.) 00401015 \|. >PUSH EAX ; \|PathBuffer 00401016 \|. >PUSH DWORD PTR SS:[EBP+8] ; \|hModule 00401019 \|. >CALL DWORD PTR DS:[<&KERNEL32.GetModuleF>; \GetModuleFileNameA 0040101F \|. >XOR ESI,ESI 00401021 \|. >TEST EAX,EAX 00401023 \|. >JE SHORT _MSRSTRT.00401035 00401025 \|. >PUSH 5 ; /Flags = REPLACE_EXISTING\|DELAY_UNTIL_REBOOT 00401027 \|. >LEA EAX,DWORD PTR SS:[EBP-114] ; \| 0040102D \|. >PUSH ESI ; \|NewName => NULL 0040102E \|. >PUSH EAX ; \|ExistingName 0040102F \|. >CALL DWORD PTR DS:[<&KERNEL32.MoveFileEx>; \MoveFileExA 00401035 \|> >LEA EAX,DWORD PTR SS:[EBP+8] 00401038 \|. >PUSH EAX ; /phToken 00401039 \|. >PUSH 28 ; \|DesiredAccess = TOKEN_QUERY\|TOKEN_ADJUST_PRIVILEGES 0040103B \|. >CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; \|[GetCurrentProcess 00401041 \|. >PUSH EAX ; \|hProcess 00401042 \|. >CALL DWORD PTR DS:[<&ADVAPI32.OpenProces>; \OpenProcessToken 00401048 \|. >TEST EAX,EAX 0040104A \|. >JE SHORT _MSRSTRT.00401088 0040104C \|. >LEA EAX,DWORD PTR SS:[EBP-C] 0040104F \|. >PUSH EAX ; /pLocalId 00401050 \|. >PUSH _MSRSTRT.00403000 ; \|Privilege = "SeShutdownPrivilege" 00401055 \|. >PUSH ESI ; \|SystemName 00401056 \|. >CALL DWORD PTR DS:[<&ADVAPI32.LookupPriv>; \LookupPrivilegeValueA 0040105C \|. >PUSH ESI ; /pRetLen 0040105D \|. >PUSH ESI ; \|pPrevState 0040105E \|. >LEA EAX,DWORD PTR SS:[EBP-10] ; \| 00401061 \|. >PUSH ESI ; \|PrevStateSize 00401062 \|. >PUSH EAX ; \|pNewState 00401063 \|. >PUSH ESI ; \|DisableAllPrivileges 00401064 \|. >PUSH DWORD PTR SS:[EBP+8] ; \|hToken 00401067 \|. >MOV DWORD PTR SS:[EBP-10],1 ; \| 0040106E \|. >MOV DWORD PTR SS:[EBP-4],2 ; \| 00401075 \|. >CALL DWORD PTR DS:[<&ADVAPI32.AdjustToke>; \AdjustTokenPrivileges 0040107B \|. >TEST EAX,EAX 0040107D \|. >JE SHORT _MSRSTRT.00401088 0040107F \|. >PUSH ESI ; /Reserved 00401080 \|. >PUSH 2 ; \|Options = EWX_REBOOT 00401082 \|. >CALL DWORD PTR DS:[<&USER32.ExitWindowsE>; \ExitWindowsEx 00401088 \|> >XOR EAX,EAX 0040108A \|. >POP ESI 0040108B \|. >LEAVE 0040108C \. >RETN 10 与楼主自杀代码很类似哦
datm 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 1 关注私信	datm 2006-1-3 01:10 10 楼 0 翻译成Delphi,没有成功，不过看原理就等同于写一个delme.bat的批处理。 Program Project1; Uses windows, shlobj, shellapi; Function SelfDelete: Boolean; Var sei: PShellExecuteInfo; szModule, szComspec, szParams: Array[0..MAX_PATH] Of char; // get file path names: Begin If ((GetModuleFileName(0, szModule, MAX_PATH) <> 0) And (GetShortPathName(szModule, szModule, MAX_PATH) <> 0) And (GetEnvironmentVariable('COMSPEC', szComspec, MAX_PATH) <> 0)) Then Begin // set command shell parameters lstrcpy(szParams, ' / c del'); lstrcat(szParams, szModule); lstrcat(szParams, ' > nul'); // set struct members New(sei); sei^.cbSize := SizeOf(TShellExecuteInfoA); sei^.Wnd := 0; sei^.lpVerb := 'Open'; sei^.lpFile := szComspec; sei^.lpParameters := szParams; sei^.lpDirectory := 0; sei^.nShow := SW_HIDE; sei^.fMask := SEE_MASK_NOCLOSEPROCESS; // increase resource allocation to program SetPriorityClass(GetCurrentProcess(), REALTIME_PRIORITY_CLASS); SetThreadPriority(GetCurrentThread(), THREAD_PRIORITY_TIME_CRITICAL); // invoke command shell If (ShellExecuteEx(sei)) Then Begin // suppress command shell process until program exits SetPriorityClass(sei^.hProcess, IDLE_PRIORITY_CLASS); SetProcessPriorityBoost(sei^.hProcess, True); // notify explorer shell of deletion SHChangeNotify(SHCNE_DELETE, SHCNF_PATH, @szModule, 0); Result := True; End End Else // if error, normalize allocation Begin SetPriorityClass(GetCurrentProcess(), NORMAL_PRIORITY_CLASS); SetThreadPriority(GetCurrentThread(), THREAD_PRIORITY_NORMAL); Result := False; End; End; Begin SelfDelete End.
渔夫雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	渔夫 2006-1-3 09:37 11 楼 0 谢谢，学习中。。。
hayate 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	hayate 2006-1-9 11:45 12 楼 0 这篇文章讲的很详细从历史角度回顾了很多经典的自删除程序 http://www.catch22.net/tuts/selfdel.asp 最后一个方法适用于9x NT 创建explorer进程并暂停插入删除代码到explorer的空间然后resume explorer进程于是自己被删除然后explorer马上结束呵呵
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 2006-2-1 15:59 13 楼 0 最初由 kanxue 发布转帖请注明一下。不然别人还以为是你原创的。老大，你不说我还以为是他原创！
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 76 回帖 1222 粉丝 9 关注私信	北极星2003 25 2006-2-1 18:20 14 楼 0 不错的代码
VC菜鸟雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	VC菜鸟 2006-2-5 12:47 15 楼 0 还不错吧是好方法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复