删除一个正在运行的程序?

game_sage 2002-11-23 04:30:03
#include "windows.h"
int main(int argc, char* argv[])
{
char buf[MAX_PATH];
HMODULE module;

module = GetModuleHandle(0);
GetModuleFileName(module, buf, MAX_PATH);
CloseHandle((HANDLE)4);

__asm
{
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push UnmapViewOfFile
push DeleteFile
ret
}

return 0;
}
//我试了一下,不行,是什么原因?????
//WIN98+BCB6
...全文
117 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
Taiji02 2002-11-25
  • 打赏
  • 举报
 回复
先转载一篇文章,来自lu0。


下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API
REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码.
这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了.
int main(int argc, char *argv[])
{
HMODULE module = GetModuleHandle(0);
CHAR buf[MAX_PATH];
GetModuleFileName(module, buf, sizeof buf);
CloseHandle(HANDLE(4));
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
}
return 0;
}
现在,我们先看一下堆栈中的东西
偏移 内容
24 0
20 0
16 offset buf
12 address of ExitProcess
8 module
4 address of DeleteFile
0 address of UnmapViewOfFile
调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL
module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module,
buf, sizeof
buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回.

这段代码的精妙之处在于:
1.如果有文件的HANDLE打开,文件删除就会失败,所以,CloseHandle(HANDLE(4));是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄.
2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码.

3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.)
Gary Nebbett果然是WIN系列平台的顶尖高手之一.能写出如此代码.独辟蹊径啊:)

但是这段代码在C++Builder里不能通过编译,要做一下修改,如下。

#include <windows.h>

int main()
{
char buf[MAX_PATH];
HMODULE Hm1,Hm2;
HANDLE Ex,De,Un;
Hm2=GetModuleHandle(0);
GetModuleFileName(Hm2,buf,255);
Hm1=GetModuleHandle("Kernel32");
Ex=GetProcAddress(Hm1,"ExitProcess");
De=GetProcAddress(Hm1,"DeleteFileA");
Un=GetProcAddress(Hm1,"UnmapViewOfFile");
CloseHandle(HANDLE(4));
__asm {
LEA EAX,buf
PUSH 0
PUSH 0
PUSH EAX
PUSH Ex
PUSH Hm2
PUSH De
PUSH Un
RET
}
return 0;
}

以上是抄来的,后一种方法我没试,哪位仁兄有结果了请通知一声。
pzoon 2002-11-24
  • 打赏
  • 举报
 回复
sjd163(sjd163)
你的东西怎么样了
game_sage 2002-11-24
  • 打赏
  • 举报
 回复
程序是在别的的地方找来的,效果是运行之后,把自己删除,就是不知道原理!
IT-司马青衫 2002-11-23
  • 打赏
  • 举报
 回复
unit Unit1;//关于隐藏桌面

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms,
Registry,Dialogs, StdCtrls,tlhelp32 ;

type
TForm1 = class(TForm)
Button1: TButton;
procedure FormCreate(Sender: TObject);
procedure Button1Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;

var
Form1: TForm1;
AppPath:String;

implementation

{$R *.DFM}

procedure TForm1.FormCreate(Sender: TObject);
var
ShellPath,ShellPathBack:String;
SysDire :array[1..255] of char;
WinDire :array[1..255] of char;

rValue:boolean;
pID:DWORD;
lppe:ProcessEntry32;
hSnapshot,pHandle:Thandle;
RegF:TRegistry;
delresult:longint;
begin
RegF:=TRegistry.Create;
RegF.RootKey := HKEY_LOCAL_MACHINE;
RegF.OpenKey('SOFTWARE\Microsoft\Windows\CurrentVersion\Run', true);
RegF.WriteString('多媒体智能终端', Application.ExeName);
RegF.CloseKey;

RegF.Free;

GetWindowsDirectory(WinDire,255);
ShellPath:=WinDire;
ShellPath:=ShellPath+'\explorer.exe';

GetSystemDirectory(SysDire,255);
ShellPathBack:=SysDire;
ShellPathBack:=ShellPathBack+'\dllcache'+'\explorer.exe';
AppPath:=ExtractFilePath(Application.ExeName)+'explorer.exe';

if (FileExists(ShellPath)) then
begin
hSnapshot:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //因为桌面程序先运行其他程序之前
lppe.dwSize:= sizeof(lppe); //必须看看它是否在运行中
rValue:=Process32First(hSnapshot,@lppe);
while rValue=true do
begin
if(ExtractFilePath(lppe.szExeFile)='explorer.exe') then
begin
pID:=lppe.th32ProcessID; //如果在运行中就杀了它
pHandle:=OpenProcess(PROCESS_TERMINATE,false,pID);
delresult:=TerminateProcess(pHandle,9);

CopyFile(ShellPath.c_str(),AppPath.c_str(),1); //保存在ICT程序身边并灭了它
DeleteFile(ShellPath);
rValue:=false;
end
rValue:=Process32Next(hSnapshot,@lppe);
end
CloseHandle(hSnapshot);
end;

if (FileExists(ShellPathBack)) then
DeleteFile(ShellPathBack);
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
ShellExecute(Handle,'Open',pchar(AppPath) ,0,0,SW_SHOW);
Application.Terminate;
end;

end.
sjd163 2002-11-23
  • 打赏
  • 举报
 回复
例如你坐车正在跑,把车去掉。你怎么办。控制交给谁?
myy 2002-11-23
  • 打赏
  • 举报
 回复
98不清楚,2k中运行中的程序可以改名,但不能直接删除。
程序作为服务运行(instsrv.exe srvany.exe)
for free~~~ 内附srvany.exe,instsrv.exe,让程序作为服务运行.txt 介绍如下: 让程序作为服务运行 想让一个程序在启动系统的时候自动运行,你有什么好办法?添加到启动组?那如果别人删除掉就不管用了。如果你使用了Windows NT/2000/XP,就可以试试把这个程序添加为一个服务,这样只有拥有权限的人才可以更改服务,只要你设置好权限,就不用担心会被别人删除了。 要把应用程序添加为服务,你需要两个小软件:Instsrv.exe和Srvany.exe。Instsrv.exe可以给系统安装和删除服务,Srvany.exe可以让程序以服务的方式运行。这两个软件都包含在Windows NT Resource Kit里,如果你没有,也可以点击这里下载。 把这两个程序保存在一个方便的位置,例如C盘根目录下。我们举例来说明,把OE作为一个服务添加进Windows XP Professional操作系统中,并把这个服务命名为“Mail”。在运行中输入“CMD”,回车,打开命令行窗口,在提示符后面直接输入:“c:\instsrv.exe Mail c:\srvany.exe”然后回车,其中的“c:\instsrv.exe”和“c:\srvany.exe”表示这两个程序保存的位置,而Mail则是你想添加的服务名称。 运行Regedit打开注册表编辑器,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下,找到刚才添加的Mail,点击右键,新建一个键,命名为“Parameters”,点击新建的Parameters,并再次新建一个名称为“Application”的子键,数据类型为“REG_SZ”,数值为希望作为服务运行程序的所在位置,如果你的Windows系统安装在C盘下,那么OE的程序位置就是C:\Program Files\Outlook Express\msimn.exe ,把这个路径添入数值中。到现在,这个服务已经成功的添加并且设置好了。如果你希望做的更加专业,可以在Mail服务下建立一个名为Description的子键,数据类型同样为REG_SZ,数值可以写一些你对这个服务的描述,这个我们在后面可以看到。 接下来需要对服务做一些额外的设置,在运行中输入“Services.msc”并回车,在列表中找到我们刚添加的Mail服务,双击打开,来做详细的设置。在“General”选项卡上,我们需要设置这个服务的运行方式,在图二中可以看见,作为一个服务,有“自动(Automatic)”,“手动(Manual)”和“禁止(Disabled)”三种启动类型,按照需要,我们一般设置成自动就可以了。而在“Logon”选项卡下可以设置以什么身份运行这个服务,一般可以不用理会,按照默认的设置。“Recovery”选项卡下则是进行恢复设置的,你可以指定,在服务第一次,第二次和第三次出错之后分别采取什么措施。“Dependencies”则显示了服务之间的依存关系,可以让你察看这个服务的运行依赖哪些其它服务,以及还有什么服务依赖于这个服务。这后面几个对我们一般用户没有什么意义。经过这些设置,你的服务已经完全可以正常工作了。
VS2010彻底卸载工具
这是VS2010彻底卸载工具,可以将VS2010彻底地卸载,尽量少地留下软件的安装痕迹。
Windows 2003 iis6.0 IIS
本IIS安装程序适用于Windows 2003系统,IIS版本为6.0版。该自动安装程序最大程度简化了安装IIS的繁琐步骤,且无须操作系统光盘,直接双击即可自动完成安装,并自动注册asp.net运行环境(如果安装了.net),为基于IIS的软件开发和部署带来了极大的便利。 与IIS相关的常见问题: ●有没有用于其它操作系统的IIS全自动安装程序?   我们现已制作并提供了包括Windows 2000/XP/2003在内的多种操作系统所适用的IIS自动安装程序。 ●安装IIS时总是提示无法复制staxmem.dll、iisapp.vbs、convlog.exe等文件?   如果确定安装盘或安装文件没问题,在“运行”中执行:esentutl /p %windir%/security/database/secedit.sdb。然后再重新开始安装IIS。 ●安装IIS后访问网站下的页面时出现HTTP 500内部服务器错误?   请运行此文件夹中的IIS500.bat,之后再重新测试。 ●IIS(或IIS下的网站)无法启动?   目前已知的导致IIS不能启动的原因有:   1、安装了WEB迅雷。解决方法:卸载WEB迅雷,或先退出WEB迅雷再启动IIS,然后再启动WEB迅雷(如果需要);   2、其它软件占用了80端口。解决方法:修改其它网站的端口或IIS下的网站的端口,避免使用相同的端口。可以使用诸如TCPView或FPort等第三方工具来查找正在使用80端口的其它应用程序;   3、操作系统补丁所导致的。打开“添加删除程序”,勾选“显示更新”,在列表中找KB939373、 kB942830、KB942831这三个补丁,如果有,将其卸载,之后再启动IIS。 感谢"蓝点"
信心投票系统SQL版V1.0
  软件简介 工作忙,没法整理这个程序就提供下载了. 请先运行admin文件夹下的pollsetup.asp,完成后删除该文件及pollsetupsave.asp 本投票系统采用SQL数据库.但是制作时因为时间不够,也没有完全做好,一些功能还没法用. 不过作为一个投票系统已经是足够了.  
为什么Linux上可以删除正在运行程序呢?
在跑gem5时发现一个神奇的现象:当已经开始运行gem5跑仿真实验时,假设为仿真实验A,试验运行时间很长,当实验还没结束,此时如果再对源码修改并编译之后再跑别的实验(假设为仿真实验B)是不影响第一个仿真实验A的进行的。 (ps:实验环境 ubuntu 14.04) 为什么呢? 最最简单的理解,程序运行实验A时其代码以及数据已经被加载到内存中去了,所以此时重新编译gem5(也即覆盖掉实验A的...
Windows SDK/API

1,222

社区成员

8,135

社区内容

发帖
与我相关
我的任务
社区描述
C++ Builder Windows SDK/API
社区管理员
  • Windows SDK/API社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章