自删除技术小记:Gary Nebbett

最新推荐文章于 2024-06-18 11:28:14 发布
最新推荐文章于 2024-06-18 11:28:14 发布
阅读量309 收藏
点赞数
分类专栏: Pwn & RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47565708/article/details/113405429
版权

以前看书的时候摘录的笔记,经典的自删除方法,可以当历史故事看看 :)

Gary Nebbett1曾提出一种方法,利用系统的一个特点来达到目的。

#include<windows.h>
int main(int argc,char *argv[])
{
    char buf[MAX_PATH];
    HMODULE module;
    module=GetModuleHandle(0);
    GetModuleFileName(module,buf,MAX_PATH);
    CloseHandle((HANDLE)4);
    _asm
    {
        lea eax,buf
            push 0
            push 0
            push eax
            push ExitProcess
            push module
            push DeleteFile
            push UnmapViewOfFile
            ret
    }
    return 0;
}

经典的自删除方法之一,不够通用,比如不支持Windows XP系统。

注释

程序的自删除已经不是什么新鲜的话题了,它广泛运用于木马、病毒中。当程序还在运行中(通常是完成了驻留、感染模块),它就自动地把自己从磁盘中删掉。

自删除(Self Deleting)最早的方法是由 Gary Nebbett 写的。

编译,运行,消失。

Gary Nebbett 钻了系统的一个漏洞,他的程序是关闭了 exe 文件的 IMAGE(硬编码为4),然后用 UnmapViewOfFile 解除了 exe 文件在内存中的映象,接着通过堆栈传递当前程序的路径名缓冲区指针给 DeleteFile() ,实现了程序的自删除。

  1. Gary Nebbett著有“Windows NT/2000 Native API Reference”,这里所说的“Native API”,实际上就是系统调用。显然,这是一本关于WinNT系统调用的参考手册。既然微软把系统调用界面藏在黑盒子里面,或者说藏在Win32 API后面,从来都不公开,那么这本参考手册的价值也就不言而喻了。看一下这本书,就可以知道实现Windows系统调用界面的工作量该有多大。
    http://download.eeworld.com.cn/detail/solarelec/455783 ↩︎

在PROCESS没有结束前就将启动PROCESS的EXE文件删除
tlovexyj的专栏
02-12 1135
下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码. 这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了. int main(int argc, char *argv[]) {     HMODULE module = G
R1复现小记:在业务场景的两类NLP任务上有显著效果
最新发布
强化学习曾小健
03-28 677
任务一:封闭式语义判别(分类场景)纯RL效果显著:F1从0.3685提升至0.6211(+68.5%),但未出现推理长度与准确率同步增长现象SFT+RL稳定优化:在SFT已达0.7815基础上,RL微调带来0.5%的额外提升(至0.7867)微调优势明显:7B微调模型超越同规模蒸馏模型(+17.9%)和32B通用模型(+17.7%)任务二:开放式策略生成(主观分析场景)纯RL训练失败:评分从3.62骤降至1.24,伴随生成长度异常增加。
Gary Nebbet的经典自我删除代码的读后心得
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
10-24 1836
 对Gary Nebbet的经典自我删除代码的读后心得LionD8 随笔 2004-3-14 QQ:10415468以下是Gary Nebbet的经典源码#include "windows.h"void main(int argc, char *argv[]) { HMODULE module = GetModuleHandle(0); CHAR buf[MAX_P
Make your owner PE Protector Part 1: Your first EXE Protector
09-16 2157
PrefaceThis article was written to provide the better understanding to people who do not have any experience in this field. I am not going to describe about PE structure, so I think it was explain
再说程序运行后自删除的方法(C++源代码)
技术代码资料库
12-12 574
JohnChen分析了一下Gary Nebbett写的一段程序自删除的程序。是很精妙的一段代码,精妙之处在于其进程尚在,但可执行文件已经被删除了。 我前段时间也写了一段自删除代码,不过没有那么高深,只是利用了批处理的功能,在程序的最后调用我这个函数,就能够将自己删除。现在把函数代码贴出来。 void SelfDelete() {static char templ[] = ":Repeat\r\n"...
工作小记:企业微信 嵌H5页面 用户权限获取匹配.doc
07-13
### 工作小记:企业微信嵌H5页面用户权限获取匹配 #### 一、背景与目的 在当前数字化转型的大背景下,企业越来越多地利用移动互联网技术来提升工作效率和服务质量。其中,企业微信作为一种重要的办公协作平台,在...
我的日常小记:spring以及mybatis最终源码
06-24
在本项目中,"我的日常小记:spring以及mybatis最终源码" 是一个记录了开发者个人编程经验的项目,主要涉及两个核心框架——Spring和MyBatis。这两个框架是Java开发领域中非常流行的技术栈,广泛应用于企业级后端...
Kotlin 实战小记:No-Arg 引用解决 No constructor found的问题
yangchuang11的博客
06-18 720
no-arg:annotation=com.neusoft.collect.config.NoArg
Raki的读paper小记:Retentive Network: A Successor to Transformer for Large Language Models
Raki_J的博客
07-24 649
RetNet = linear attention + rope + 显式衰减(即 $\gamma$)
模块删除页代码
萌球球Q
10-10 632
include "../include/head.php"; include "../include/cn.php"; include"../include/fun.php"; $sql="delete from single_content where id=".$_GET["id"]; if (mysql_query($sql)) {  box("信息删除成功","manage.p
精妙代码 (转)
csd3176的博客
12-07 136
精妙代码 (转)[@more@]下面的代码由Gary Nebbett写就.Gary Nebbett乃是windows NT/2000 NATIVE api REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段...
程序自删除实现 可用的SDK的
冷风
08-21 1657
我找自删除的东西 一找一大片,结果一个能直接用的也没有, 我用下面这个倒是可以如果有必要可以试一下.这个代码是我从 草草的SEU_PEER中拿出来的BOOL SelfDelete()...{    TCHAR szModule [MAX_PATH],          szComspec[MAX_PATH],          szParams [MAX_PATH];    // get 
HttpModule 介绍
12-11 1254
导读:      引言   Http 请求处理流程和 Http Handler 介绍这两篇文章里,我们首先了解了Http请求在服务器端的处理流程,随后我们知道Http请求最终会由实现了IHttpHandler接口的类进行处理(应该记得Page类实现了IHttpHandler)。从 Http 请求处理流程一文的最后的一幅图中可以看到,在Http请求由IHttpHandler处理之前,它需要通过一系列
github.com/garyburd/redigo/redis. Redis--go
y果子
08-04 2355
rediogo 标准go redis 官方库 获取: go get github.com/garyburd/redigo/redis 连接redis package main import ( "fmt" "github.com/garyburd/redigo/redis" ) func main() { c, err := redis.Dial("tcp", "127...
VC实现程序自删除(三种方法)
Koma的主页
10-15 6305
1、Gary Nebbett的方法Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者。乃NT系统一等一的高手。下面就分析一些他的这段代码,这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了:#include int main(){ HMODULE module = GetModuleHandle
自删除技术 (网上收集加理解)
zhangmiaoping23的专栏
01-12 1818
<br />程序的自删除已经不是什么新鲜的话题了,它广泛运用于木马、病毒中。试想想,当你的程序还在运行中(通常是完成了驻留、感染模块),它就自动地把自己从磁盘中删掉,这样一来,就做到了神不知鬼不觉,呵呵,是不是很cool呢? <br />自删除(Self Deleting)最早的方法是由 Gary Nebbett 大虾写的,太经典了,不能不提。程序如下: <br /> <br />#include "windows.h" int main(int argc, char *argv[]) { c
进程退出前删除自身EXE
Python的专栏
01-27 2012
下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码. 这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了. int main(int argc, char *argv[]) { HMODULE module = GetModu
图片压缩技术与工具使用小记
图片缩放小记可能是一篇技术博客或文章,记录了图片缩放技术的实现方法、工具使用以及相关的源码分享。由于没有正文内容提供,以下是基于文件信息中所含标题、标签和文件名列表所能推断出的可能涉及的知识点。 ### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值