这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了.
int main(int argc, char *argv[])
{
HMODULE module = GetModuleHandle(0)
CHAR buf[MAX_PATH]
GetModuleFileName(module, buf, sizeof buf)
CloseHandle(HANDLE(4))
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
}
return 0
}
现在,我们先看一下堆栈中的东西
偏移 内容
24 0
20 0
16 offset buf
12 address of ExitProcess
8 module
4 address of DeleteFile
0 address of UnmapViewOfFile
调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module, buf, sizeof buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为咐做0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回.
这段代码的精妙之处在于:
1.如果有文件的HANDLE打开,文件衡冲衡删除就会失败,所以,CloseHandle(HANDLE(4))是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄.
2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的判塌代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码.
3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.)
使自己发出的漏橡文件等到了指定的期限自动失效或自毁:在WORD2003或WORD2007中,利用RMS权限来进行权限限制,WORD2003中,选择“文件”/“权限”,下载RMS客户端进行安装,然后孝搜森再对文档设置如失效时间,其他用户的权限,比如巧亩复制、打印之类的权限等等。del命令的用法是:DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
[] 内的参数可以加也可以不加,陵早姿也可以搭配使用。
各参数睁闷的具体含义
names 指定一个或多个文件或者目录列表。
通配符可用来删除多个文件。
如果指定了一个目录,该目录中的所有文件都会被删除。
/P删除每一个文件之前提示确认。
/F强制删除只读文件。
/S删除所有子目录中的指定的文件。
/Q安静模式。删除全局通配符时,不要求确认
/A根据属性选择要删除的文件
属性 R 只读文件 S 系统文件尺绝
H 隐藏文件 A 存档文件
I 无内容索引文件 L 重分析点
- 表示“否”的前缀
可以使用/f /q来删除那些“不该有”的文件...
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)