本文介绍了一段由GaryNebbett编写的代码,它能在进程运行时删除该进程对应的EXE文件。通过关闭文件句柄并解除内存映射,确保了文件成功删除的同时,进程继续运行直到主动退出。
下面的代码由 Gary Nebbett 写就。Gary Nebbett 乃是 WINDOWS NT/2000 NATIVE API REFERENCE 的作者,NT 系统一等一的高手。下面就分析一些他的这段代码。
这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了。
现在,我们先看一下堆栈中的东西
偏移 内容
24 0
20 0
16 offset buf
12 address of ExitProcess
8 module
4 address of DeleteFile
0 address of UnmapViewOfFile
调用 RET 返回到了 UnmapViewOfFile,也就是栈里的偏移0所指的地方。当进入UnmapViewOfFile的流程时,栈里见到的是返回地址 DeleteFile 和 HMODUL module,也就是说调用完毕后返回到了 DeleteFile 的入口地址。当返回到 DeleteFile 时,看到了 ExitProcess 的地址,也就是返回地址。和参数 EAX,而 EAX 则是 buffer,buffer 存的是 EXE 的文件名,由 GetModuleFileName ( module, buf, sizeof(buf) ) 返回得到,执行了 DeleteFile 后,就返回到了 ExitProcess 的函数入口,并且参数为 0 而返回地址也是 0。0 是个非法地址,若返回到地址 0 则会出错,而调用 ExitProcess 则应该不会返回。
这段代码的精妙之处在于:
1、如果有文件的 HANDLE 打开,文件删除就会失败,所以 CloseHandle ( HANDLE(4) ) 是十分巧妙的一手,HANDLE 4 是 OS 的硬编码,对应于 EXE 的 IMAGE,在缺省情况下,OS 假定没有任何调用会关闭 IMAGE SECTION 的 HANDLE,而现在,该 HANDLE 被关闭了,删除文件就解除了文件对应的一个句柄。
2、由于 UnmapViewOfFile 解除了另外一个对应 IMAGE 的 HANDLE,而且解除了 IMAGE 在内存的映射,所以,后面的任何代码都不可以引用 IMAGE 映射地址内的任何代码,否则就 OS 会报错。而现在的代码在 UnmapViewOfFile 后则刚好没有引用到任何IMAGE内的代码。
3、在 ExitProcess 之前,EXE 文件就被删除了,也就是说,进程尚在,而主线程所在的 EXE 文件已经没了。(WINNT/9X 都保护这些被映射到内存的 WIN32 IMAGE 不被删除)
扫一扫
3226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
