[分享]发一块代码段（删除正在运行的程序文件）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]发一块代码段（删除正在运行的程序文件）

发表于: 2007-5-25 16:59 26121

[分享]发一块代码段（删除正在运行的程序文件）

老Y

2007-5-25 16:59

26121

先声明一下，本文的代码其实也是从别人的工具里A出来的（A＝逆向＋还原），所以也不敢称是原创，有同好的朋友自然知道是哪个工具里的：），另外，由于本人不太会写文章，看不明白的地方还请大家多多谅解。

回到正题，通过分析得知，删除正在运行的程序文件的关键在于hook MmFlushImageSection这个函数，该函数原型BOOLEAN MmFlushImageSection(
   PSECTION_OBJECT_POINTERS SectionObjectPointer,
   MMFLUSH_TYPE FlushType），其流程大概如下：
1.打开要删除的文件，如：调用IoCreateFile
2.把要删除的文件属性设为Normal
3.Hook ntfs和fatfast内的引入函数MmFlushImageSection
4.发送删除IRP

大概代码如下（比较简单的一个Demo）：

void ForceDeleteFile(PVOID ThreadContext)
{
int krResult = FALSE;
int krRetCode = FALSE;
//NTSTATUS rc;
HANDLE hFile = NULL, hFileSystem = NULL, SectionHandle = NULL;
CHAR *FileName = (CHAR*)ThreadContext;
CHAR szFileSystem[MAX_PATH_LEN];
PUCHAR pMap = NULL;
ULONG uMapSize = 0;
PVOID OrgFunc = NULL, OrgFunc_Ptr = NULL;
KFile ntfs, fastfat, del;

//UNICODE_STRING usFileName;
//PFILE_OBJECT pFileObject = NULL;
//OBJECT_ATTRIBUTES ob;
DEBUG_BREAK;
krRetCode = del.OpenFile(FileName, GENERIC_READ);
PROCESS_ERROR(krRetCode);
dprintf("Open %s successful.\n", FileName);
krResult = del.SetFileAttributeToNormal();
PROCESS_ERROR(krResult);
strcpy(szFileSystem, DRIVERS_PATH);
strcat(szFileSystem, "ntfs.sys");
krRetCode = ntfs.OpenFile(szFileSystem, GENERIC_READ);
PROCESS_ERROR(krRetCode);
g_Deleted = TRUE;
krRetCode = ntfs.MapFile(&pMap, &uMapSize);
PROCESS_ERROR(krRetCode);

krRetCode = HookIAT(
"MmFlushImageSection",
"ntfs.sys",
pMap,
uMapSize,
(PVOID)MmFlushImageSection_New,
(PVOID*)&_MmFlushImageSection,
&OrgFunc_Ptr
);
PROCESS_ERROR(krRetCode);

krRetCode = ntfs.UnMapFile();
PROCESS_ERROR(krRetCode);

strcpy(szFileSystem, DRIVERS_PATH);
strcat(szFileSystem, "fastfat.sys");
krRetCode = fastfat.OpenFile(szFileSystem, GENERIC_READ);
PROCESS_ERROR(hFileSystem);

krRetCode = fastfat.MapFile( &pMap, &uMapSize);
PROCESS_ERROR(krRetCode);

krRetCode = HookIAT(
"MmFlushImageSection",
"fastfat.sys",
pMap,
uMapSize,
(PVOID)MmFlushImageSection_New,
(PVOID*)&_MmFlushImageSection,
&OrgFunc_Ptr
);
PROCESS_ERROR(krRetCode);

krRetCode = ntfs.UnMapFile();
PROCESS_ERROR(krRetCode);

krResult = Rd_DeleteFile(del.GetFileHandle());
PROCESS_ERROR(krResult);

krResult = TRUE;
Exit0:
g_Deleted = FALSE;
if (OrgFunc && OrgFunc_Ptr)
{
UnHookIAT(_MmFlushImageSection, OrgFunc_Ptr);
}
ntfs.Close();
fastfat.Close();
del.Close();
return;
}

Rd_DeleteFile代码如下：

int Rd_DeleteFile(HANDLE hFile)
{
int krResult = FALSE;
DEVICE_OBJECT *pRealObject = NULL;
DEVICE_OBJECT *pDeviceObject = NULL;
PIRP irp;
NTSTATUS rc;
KEVENT event;
PIO_STACK_LOCATION irpSp;
IO_STATUS_BLOCK localIoStatus;
PFILE_OBJECT pFileObject = NULL;
FILE_DISPOSITION_INFORMATION disp;
ULONG Length = sizeof(FILE_DISPOSITION_INFORMATION);

disp.DeleteFile = TRUE;

rc = ObReferenceObjectByHandle(
hFile,
0,
*IoFileObjectType,
0,
(PVOID*)&pFileObject,
0);

PROCESS_DDK_ERROR(rc);

pDeviceObject = GetRealDeviceObject(pFileObject, &pRealObject);
PROCESS_ERROR(pDeviceObject);

KeInitializeEvent(&event, SynchronizationEvent, FALSE);

irp = IoAllocateIrp(pDeviceObject->StackSize, 0);

if (!irp)
{
goto Exit0;
}

irp->UserEvent = &event;
irp->UserIosb = &localIoStatus;
irp->Overlay.AsynchronousParameters.UserApcRoutine= (PIO_APC_ROUTINE) NULL;
irp->RequestorMode = 0;
irp->Tail.Overlay.Thread = PsGetCurrentThread();
irp->Tail.Overlay.OriginalFileObject = pFileObject;
irp->Flags = IRP_BUFFERED_IO;

irpSp = IoGetNextIrpStackLocation( irp );
irpSp->MajorFunction = IRP_MJ_SET_INFORMATION;
irpSp->FileObject = pFileObject;
irpSp->DeviceObject = pDeviceObject;

irp->UserBuffer = NULL;
irp->AssociatedIrp.SystemBuffer = NULL;
irp->MdlAddress = (PMDL) NULL;

__try {

      irp->AssociatedIrp.SystemBuffer = ExAllocatePoolWithQuota( NonPagedPool,
                                                               Length );
      RtlCopyMemory( irp->AssociatedIrp.SystemBuffer,
                     &disp,
                     Length );

}
__except(EXCEPTION_EXECUTE_HANDLER)
{

      //
      // An exception was incurred while allocating the intermediary
      // system buffer or while copying the caller's data into the
      // buffer. Cleanup and return an appropriate error status code.
      //

      IopExceptionCleanup( pFileObject,
                           irp,
                           (PKEVENT) NULL,
                           &event );

      return GetExceptionCode();

}

irp->Flags |= IRP_BUFFERED_IO | IRP_DEALLOCATE_BUFFER | IRP_DEFER_IO_COMPLETION;

irpSp->Parameters.SetFile.DeleteHandle = hFile;
irpSp->Parameters.SetFile.Length = Length;
irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation;

irpSp->Control = 0xE0;
irpSp->CompletionRoutine = (PIO_COMPLETION_ROUTINE)Io_Completion_Routine;

if (rc == STATUS_PENDING)
{
rc = KeWaitForSingleObject(
&event,
Executive,
0,
1,
0);

}

krResult = TRUE;
Exit0:
return krResult;
}

原理：
该IRP最后会调用Ntfs内的NtfsSetDispositionInfo函数或Fastfat内的FatSetPositionInfo函数（这区别于你的硬盘分区是什么文件系统），而这两个函数都会调用Ntoskrnl内的MmFlushImageSection函数，由于我们 hook了这两驱动内的MmFlushImageSection调用，所以当它自己发送IRP时，Hook_MmFlushImageSection就能截获请求，然后在该函数内判断SectionObjectPointer参数是否等于需要删除文件的SectionObjectPointer，如果相等则调用原来的MmFlushImageSection并返回True（返回True表示正在被操作的FileObject的Section不存在或没有被Map进内存），如果不相等，则返回原来的MmFlushImageSection的调用结果。

后记：
自己构造IRP直接与FSD通信已经是老生常谈的话题了，有兴趣的朋友可以网上找找。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・32

免费・7

支持

最新回复 (28) 1 2 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼潜水的大牛出来了 2007-5-25 17:04 0
warcraft 雪币： 232 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 357 粉丝 0 关注私信	warcraft 3 楼不得不顶的精华向牛人致敬 2007-5-25 17:13 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼好文章，学习了。嘿楼主潜得也太深了！ 2007-5-25 17:20 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 5 楼各位兄弟的UP让我觉得脸红有时间再整理一些小碎块出来 2007-5-25 17:30 0
AZMC 雪币： 305 活跃值： (36) 能力值： ( LV12，RANK：250 ) 在线值：发帖 12 回帖 129 粉丝 0 关注私信	AZMC 6 6 楼弄个完整的可以不？ 2007-5-25 17:32 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 7 楼楼主的工具我一直在用呢 2007-5-25 17:35 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 8 楼 2007-5-25 20:35 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼 IceSword1.20？ 2007-5-25 21:25 0
yanjun 雪币： 225 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	yanjun 1 10 楼我等菜鸟还不知这等奥妙，只能收藏膜拜 2007-5-25 22:58 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 11 楼向大牛学习。。。。 2007-5-26 08:35 0
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 12 楼 360FileKill 2007-5-26 11:00 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 13 楼哈哈，这个代码极品啦。不要抢啊~~~~~~~~~ 黑客比较喜欢这东西原来是360 2007-5-26 11:12 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 14 楼越多越好, 2007-5-26 14:28 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 15 楼好东西，这下可以搞破坏了。 2007-5-27 01:19 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 16 楼没猜错的话搂主应该是dhl和xmy？ 2007-5-27 06:12 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 17 楼 360也是抄IceSword的不过估计IceSword没用IoCreateFile要强点. 2007-5-27 09:59 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 18 楼 2007-5-27 10:27 0
kagayaki 雪币： 227 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 19 楼好东西!!!!!!! 2007-5-28 22:06 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 20 楼既然是大牛就应多写点教程，供我等学习 2007-5-29 14:27 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 21 楼似乎没有必要搞这么复杂吧？发Irp之前把 pSectionObjectPointer->ImageSectionObject和pSectionObjectPointer->DataSectionObject清零就行了。俺这个也是360那里搞来的。 #include <ntddk.h> #define NT_DEVICE_NAME L"\\Device\\360SuperKill" #define DOS_DEVICE_NAME L"\\DosDevices\\360SuperKill" NTSTATUS NTAPI VfatBuildRequest (PDEVICE_OBJECT DeviceObject, PIRP Irp); VOID SKillUnloadDriver( IN PDRIVER_OBJECT DriverObject ) { PDEVICE_OBJECT deviceObject = DriverObject->DeviceObject; UNICODE_STRING uniSymLink; RtlInitUnicodeString(&uniSymLink, DOS_DEVICE_NAME); IoDeleteSymbolicLink(&uniSymLink); IoDeleteDevice(deviceObject); } HANDLE SkillIoOpenFile( IN PCWSTR FileName, IN ACCESS_MASK DesiredAccess, IN ULONG ShareAccess ) { NTSTATUS ntStatus; UNICODE_STRING uniFileName; OBJECT_ATTRIBUTES objectAttributes; HANDLE ntFileHandle; IO_STATUS_BLOCK ioStatus; if (KeGetCurrentIrql() > PASSIVE_LEVEL) { return 0; } RtlInitUnicodeString(&uniFileName, FileName); InitializeObjectAttributes(&objectAttributes, &uniFileName, OBJ_KERNEL_HANDLE \| OBJ_CASE_INSENSITIVE, NULL, NULL); ntStatus = IoCreateFile(&ntFileHandle, DesiredAccess, &objectAttributes, &ioStatus, 0, FILE_ATTRIBUTE_NORMAL, ShareAccess, FILE_OPEN, 0, NULL, 0, 0, NULL, IO_NO_PARAMETER_CHECKING); if (!NT_SUCCESS(ntStatus)) { return 0; } return ntFileHandle; } NTSTATUS SkillSetFileCompletion( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp, IN PVOID Context ) { Irp->UserIosb->Status = Irp->IoStatus.Status; Irp->UserIosb->Information = Irp->IoStatus.Information; KeSetEvent(Irp->UserEvent, IO_NO_INCREMENT, FALSE); IoFreeIrp(Irp); return STATUS_MORE_PROCESSING_REQUIRED; } BOOLEAN SKillDeleteFile( IN HANDLE FileHandle ) { NTSTATUS ntStatus = STATUS_SUCCESS; PFILE_OBJECT fileObject; PDEVICE_OBJECT DeviceObject; PIRP Irp; KEVENT event; FILE_DISPOSITION_INFORMATION FileInformation; IO_STATUS_BLOCK ioStatus; PIO_STACK_LOCATION irpSp; PSECTION_OBJECT_POINTERS pSectionObjectPointer; ntStatus = ObReferenceObjectByHandle(FileHandle, DELETE, *IoFileObjectType, KernelMode, &fileObject, NULL); if (!NT_SUCCESS(ntStatus)) { return FALSE; } DeviceObject = IoGetRelatedDeviceObject(fileObject); Irp = IoAllocateIrp(DeviceObject->StackSize, TRUE); if (Irp == NULL) { ObDereferenceObject(fileObject); return FALSE; } KeInitializeEvent(&event, SynchronizationEvent, FALSE); FileInformation.DeleteFile = TRUE; Irp->AssociatedIrp.SystemBuffer = &FileInformation; Irp->UserEvent = &event; Irp->UserIosb = &ioStatus; Irp->Tail.Overlay.OriginalFileObject = fileObject; Irp->Tail.Overlay.Thread = (PETHREAD)KeGetCurrentThread(); Irp->RequestorMode = KernelMode; irpSp = IoGetNextIrpStackLocation(Irp); irpSp->MajorFunction = IRP_MJ_SET_INFORMATION; irpSp->DeviceObject = DeviceObject; irpSp->FileObject = fileObject; irpSp->Parameters.SetFile.Length = sizeof(FILE_DISPOSITION_INFORMATION); irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation; irpSp->Parameters.SetFile.FileObject = fileObject; IoSetCompletionRoutine( Irp, SkillSetFileCompletion, &event, TRUE, TRUE, TRUE); pSectionObjectPointer = fileObject->SectionObjectPointer; pSectionObjectPointer->ImageSectionObject = 0; pSectionObjectPointer->DataSectionObject = 0; IoCallDriver(DeviceObject, Irp); KeWaitForSingleObject(&event, Executive, KernelMode, TRUE, NULL); ObDereferenceObject(fileObject); return TRUE; } NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { UNICODE_STRING uniDeviceName; UNICODE_STRING uniSymLink; NTSTATUS ntStatus; PDEVICE_OBJECT deviceObject = NULL; HANDLE hFileHandle; RtlInitUnicodeString(&uniDeviceName, NT_DEVICE_NAME); RtlInitUnicodeString(&uniSymLink, DOS_DEVICE_NAME); ntStatus = IoCreateDevice( DriverObject, 0, &uniDeviceName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &deviceObject); if (!NT_SUCCESS(ntStatus)) { return ntStatus; } ntStatus = IoCreateSymbolicLink(&uniSymLink, &uniDeviceName); if (!NT_SUCCESS(ntStatus)) { IoDeleteDevice(deviceObject); return ntStatus; } DriverObject->DriverUnload = SKillUnloadDriver; hFileHandle = SkillIoOpenFile(L"\\??\\c:\\calc.exe", FILE_READ_ATTRIBUTES, FILE_SHARE_DELETE); DbgPrint("hFileHandle:%08X/n",hFileHandle); if (hFileHandle!=NULL) { SKillDeleteFile(hFileHandle); ZwClose(hFileHandle); } return STATUS_SUCCESS; } 2007-11-2 15:26 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 22 楼 LZ给个完整源代码，也让菜鸟学习一下 2007-11-4 08:45 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 23 楼大大牛，拜一个 2007-11-4 09:28 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 24 楼 must be IceSword force delete 2007-11-10 12:21 0
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 25 楼现在还看不懂,以后再来学习下 2007-11-13 13:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

老Y

发帖

147

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼潜水的大牛出来了 2007-5-25 17:04 0
warcraft 雪币： 232 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 357 粉丝 0 关注私信	warcraft 3 楼不得不顶的精华向牛人致敬 2007-5-25 17:13 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼好文章，学习了。嘿楼主潜得也太深了！ 2007-5-25 17:20 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 5 楼各位兄弟的UP让我觉得脸红有时间再整理一些小碎块出来 2007-5-25 17:30 0
AZMC 雪币： 305 活跃值： (36) 能力值： ( LV12，RANK：250 ) 在线值：发帖 12 回帖 129 粉丝 0 关注私信	AZMC 6 6 楼弄个完整的可以不？ 2007-5-25 17:32 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 7 楼楼主的工具我一直在用呢 2007-5-25 17:35 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 8 楼 2007-5-25 20:35 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼 IceSword1.20？ 2007-5-25 21:25 0
yanjun 雪币： 225 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	yanjun 1 10 楼我等菜鸟还不知这等奥妙，只能收藏膜拜 2007-5-25 22:58 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 11 楼向大牛学习。。。。 2007-5-26 08:35 0
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 12 楼 360FileKill 2007-5-26 11:00 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 13 楼哈哈，这个代码极品啦。不要抢啊~~~~~~~~~ 黑客比较喜欢这东西原来是360 2007-5-26 11:12 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 14 楼越多越好, 2007-5-26 14:28 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 15 楼好东西，这下可以搞破坏了。 2007-5-27 01:19 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 16 楼没猜错的话搂主应该是dhl和xmy？ 2007-5-27 06:12 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 17 楼 360也是抄IceSword的不过估计IceSword没用IoCreateFile要强点. 2007-5-27 09:59 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 18 楼 2007-5-27 10:27 0
kagayaki 雪币： 227 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 19 楼好东西!!!!!!! 2007-5-28 22:06 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 20 楼既然是大牛就应多写点教程，供我等学习 2007-5-29 14:27 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 21 楼似乎没有必要搞这么复杂吧？发Irp之前把 pSectionObjectPointer->ImageSectionObject和pSectionObjectPointer->DataSectionObject清零就行了。俺这个也是360那里搞来的。 #include <ntddk.h> #define NT_DEVICE_NAME L"\\Device\\360SuperKill" #define DOS_DEVICE_NAME L"\\DosDevices\\360SuperKill" NTSTATUS NTAPI VfatBuildRequest (PDEVICE_OBJECT DeviceObject, PIRP Irp); VOID SKillUnloadDriver( IN PDRIVER_OBJECT DriverObject ) { PDEVICE_OBJECT deviceObject = DriverObject->DeviceObject; UNICODE_STRING uniSymLink; RtlInitUnicodeString(&uniSymLink, DOS_DEVICE_NAME); IoDeleteSymbolicLink(&uniSymLink); IoDeleteDevice(deviceObject); } HANDLE SkillIoOpenFile( IN PCWSTR FileName, IN ACCESS_MASK DesiredAccess, IN ULONG ShareAccess ) { NTSTATUS ntStatus; UNICODE_STRING uniFileName; OBJECT_ATTRIBUTES objectAttributes; HANDLE ntFileHandle; IO_STATUS_BLOCK ioStatus; if (KeGetCurrentIrql() > PASSIVE_LEVEL) { return 0; } RtlInitUnicodeString(&uniFileName, FileName); InitializeObjectAttributes(&objectAttributes, &uniFileName, OBJ_KERNEL_HANDLE \| OBJ_CASE_INSENSITIVE, NULL, NULL); ntStatus = IoCreateFile(&ntFileHandle, DesiredAccess, &objectAttributes, &ioStatus, 0, FILE_ATTRIBUTE_NORMAL, ShareAccess, FILE_OPEN, 0, NULL, 0, 0, NULL, IO_NO_PARAMETER_CHECKING); if (!NT_SUCCESS(ntStatus)) { return 0; } return ntFileHandle; } NTSTATUS SkillSetFileCompletion( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp, IN PVOID Context ) { Irp->UserIosb->Status = Irp->IoStatus.Status; Irp->UserIosb->Information = Irp->IoStatus.Information; KeSetEvent(Irp->UserEvent, IO_NO_INCREMENT, FALSE); IoFreeIrp(Irp); return STATUS_MORE_PROCESSING_REQUIRED; } BOOLEAN SKillDeleteFile( IN HANDLE FileHandle ) { NTSTATUS ntStatus = STATUS_SUCCESS; PFILE_OBJECT fileObject; PDEVICE_OBJECT DeviceObject; PIRP Irp; KEVENT event; FILE_DISPOSITION_INFORMATION FileInformation; IO_STATUS_BLOCK ioStatus; PIO_STACK_LOCATION irpSp; PSECTION_OBJECT_POINTERS pSectionObjectPointer; ntStatus = ObReferenceObjectByHandle(FileHandle, DELETE, *IoFileObjectType, KernelMode, &fileObject, NULL); if (!NT_SUCCESS(ntStatus)) { return FALSE; } DeviceObject = IoGetRelatedDeviceObject(fileObject); Irp = IoAllocateIrp(DeviceObject->StackSize, TRUE); if (Irp == NULL) { ObDereferenceObject(fileObject); return FALSE; } KeInitializeEvent(&event, SynchronizationEvent, FALSE); FileInformation.DeleteFile = TRUE; Irp->AssociatedIrp.SystemBuffer = &FileInformation; Irp->UserEvent = &event; Irp->UserIosb = &ioStatus; Irp->Tail.Overlay.OriginalFileObject = fileObject; Irp->Tail.Overlay.Thread = (PETHREAD)KeGetCurrentThread(); Irp->RequestorMode = KernelMode; irpSp = IoGetNextIrpStackLocation(Irp); irpSp->MajorFunction = IRP_MJ_SET_INFORMATION; irpSp->DeviceObject = DeviceObject; irpSp->FileObject = fileObject; irpSp->Parameters.SetFile.Length = sizeof(FILE_DISPOSITION_INFORMATION); irpSp->Parameters.SetFile.FileInformationClass = FileDispositionInformation; irpSp->Parameters.SetFile.FileObject = fileObject; IoSetCompletionRoutine( Irp, SkillSetFileCompletion, &event, TRUE, TRUE, TRUE); pSectionObjectPointer = fileObject->SectionObjectPointer; pSectionObjectPointer->ImageSectionObject = 0; pSectionObjectPointer->DataSectionObject = 0; IoCallDriver(DeviceObject, Irp); KeWaitForSingleObject(&event, Executive, KernelMode, TRUE, NULL); ObDereferenceObject(fileObject); return TRUE; } NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { UNICODE_STRING uniDeviceName; UNICODE_STRING uniSymLink; NTSTATUS ntStatus; PDEVICE_OBJECT deviceObject = NULL; HANDLE hFileHandle; RtlInitUnicodeString(&uniDeviceName, NT_DEVICE_NAME); RtlInitUnicodeString(&uniSymLink, DOS_DEVICE_NAME); ntStatus = IoCreateDevice( DriverObject, 0, &uniDeviceName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &deviceObject); if (!NT_SUCCESS(ntStatus)) { return ntStatus; } ntStatus = IoCreateSymbolicLink(&uniSymLink, &uniDeviceName); if (!NT_SUCCESS(ntStatus)) { IoDeleteDevice(deviceObject); return ntStatus; } DriverObject->DriverUnload = SKillUnloadDriver; hFileHandle = SkillIoOpenFile(L"\\??\\c:\\calc.exe", FILE_READ_ATTRIBUTES, FILE_SHARE_DELETE); DbgPrint("hFileHandle:%08X/n",hFileHandle); if (hFileHandle!=NULL) { SKillDeleteFile(hFileHandle); ZwClose(hFileHandle); } return STATUS_SUCCESS; } 2007-11-2 15:26 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 22 楼 LZ给个完整源代码，也让菜鸟学习一下 2007-11-4 08:45 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 23 楼大大牛，拜一个 2007-11-4 09:28 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 24 楼 must be IceSword force delete 2007-11-10 12:21 0
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 25 楼现在还看不懂,以后再来学习下 2007-11-13 13:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复