微信扫一扫1.6w+
社区成员
新官上任~送大家点东西(之一,删除自己的代码)
//98,2000下通过
//nt/2000下面的删除代码方法来自陆麟(lu0)的文章,再此表示感谢
#pragma optimize( "", off )
/*NOTE fun_AfterDelSelf MUST BE memory allocate by HeapAlloc or VirtualAlloc,and you should free it your self.
,can't use normal callback function(which data on diskdrive,and can't access it after we delete ourself
*/
int DeleteSelf(void * fun_AfterDelSelf)//
{
typedef int (WINAPI *PFClose)(LPVOID);
OSVERSIONINFO os_info;
os_info.dwOSVersionInfoSize=sizeof(os_info);
LPVOID pBuffer=NULL;
PFClose pClose;
PFClose pDelete;
char fn[4096];
HINSTANCE hins=GetModuleHandle(NULL);
GetModuleFileName(NULL,fn,4096);
if(!GetVersionEx(&os_info))
return false;
switch(os_info.dwPlatformId)
{
case VER_PLATFORM_WIN32_NT:
__try{
while(CloseHandle((HANDLE)4));
}__except(1){
}
CloseHandle((HANDLE)4);
pClose=PFClose(UnmapViewOfFile);
break;
case VER_PLATFORM_WIN32_WINDOWS:
pClose=PFClose(FreeLibrary);
break;
default:
return false;
}
pDelete=PFClose(DeleteFile);
pBuffer=VirtualAlloc(NULL,4096,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
__asm{
call _delete_end
}
__asm{
_test_close:
push hins
call [pClose]
or eax,eax
jz _test_close
lea eax,fn
push eax
call [pDelete]
mov eax,fun_AfterDelSelf
or eax,eax
jz _Exit_Process
call eax
_Exit_Process:
push 0
push MEM_RELEASE
push 0
push pBuffer
push ExitProcess
push VirtualFree
ret
}
_delete_end:
__asm{
pop ebx
push 128
push ebx
push [pBuffer]
call memcpy
jmp pBuffer
}
return 0;
}
#pragma optimize( "", on )
//nt/2000下面的删除代码方法来自陆麟(lu0)的文章,再此表示感谢
#pragma optimize( "", off )
/*NOTE fun_AfterDelSelf MUST BE memory allocate by HeapAlloc or VirtualAlloc,and you should free it your self.
,can't use normal callback function(which data on diskdrive,and can't access it after we delete ourself
*/
int DeleteSelf(void * fun_AfterDelSelf)//
{
typedef int (WINAPI *PFClose)(LPVOID);
OSVERSIONINFO os_info;
os_info.dwOSVersionInfoSize=sizeof(os_info);
LPVOID pBuffer=NULL;
PFClose pClose;
PFClose pDelete;
char fn[4096];
HINSTANCE hins=GetModuleHandle(NULL);
GetModuleFileName(NULL,fn,4096);
if(!GetVersionEx(&os_info))
return false;
switch(os_info.dwPlatformId)
{
case VER_PLATFORM_WIN32_NT:
__try{
while(CloseHandle((HANDLE)4));
}__except(1){
}
CloseHandle((HANDLE)4);
pClose=PFClose(UnmapViewOfFile);
break;
case VER_PLATFORM_WIN32_WINDOWS:
pClose=PFClose(FreeLibrary);
break;
default:
return false;
}
pDelete=PFClose(DeleteFile);
pBuffer=VirtualAlloc(NULL,4096,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
__asm{
call _delete_end
}
__asm{
_test_close:
push hins
call [pClose]
or eax,eax
jz _test_close
lea eax,fn
push eax
call [pDelete]
mov eax,fun_AfterDelSelf
or eax,eax
jz _Exit_Process
call eax
_Exit_Process:
push 0
push MEM_RELEASE
push 0
push pBuffer
push ExitProcess
push VirtualFree
ret
}
_delete_end:
__asm{
pop ebx
push 128
push ebx
push [pBuffer]
call memcpy
jmp pBuffer
}
return 0;
}
#pragma optimize( "", on )
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
MSVCer 2002-02-18
我祝贺的怎么没有了?
- 打赏
- 举报
zhanghanzhi 2001-10-07
那位大哥做个例子,我看不明白,自卑啊!!!
- 打赏
- 举报
Anaki 2001-08-20
bookmark
- 打赏
- 举报
NewComeMan 2001-08-08
有点意思,不过看不懂,占个位,以后慢慢看吧。
- 打赏
- 举报
Kevin_qing 2001-08-08
没有人看老~~~~~
结帐
结帐
- 打赏
- 举报
wjyasd 2001-08-03
gz and up!
- 打赏
- 举报
panda_w 2001-08-03
To All & Kevin_qing :
请看此贴子:http://www.csdn.net/expert/topic/221/221019.shtm
请看此贴子:http://www.csdn.net/expert/topic/221/221019.shtm
- 打赏
- 举报
roadman 2001-08-03
两只斑竹都在, 做好笔记先。
Kevin_qing VS panda_w !!! :)
- 打赏
- 举报
lz_0618 2001-08-03
学习
- 打赏
- 举报
panda_w 2001-08-03
俺也整理了一些东东,但是没有试过:
下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码.
这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了.
int main(int argc, char *argv[])
{
HMODULE module = GetModuleHandle(0);
CHAR buf[MAX_PATH];
GetModuleFileName(module, buf, sizeof buf);
CloseHandle(HANDLE(4));
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
}
return 0;
}
现在,我们先看一下堆栈中的东西
偏移 内容
24 0
20 0
16 offset buf
12 address of ExitProcess
8 module
4 address of DeleteFile
0 address of UnmapViewOfFile
调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module, buf, sizeof buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回.
这段代码的精妙之处在于:
1.如果有文件的HANDLE打开,文件删除就会失败,所以,CloseHandle(HANDLE(4));是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄.
2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码.
3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.)
Gary Nebbett果然是WIN系列平台的顶尖高手之一.能写出如此代码.独辟蹊径啊:)
下面的代码由Gary Nebbett写就.Gary Nebbett乃是WINDOWS NT/2000 NATIVE API REFERENCE的作者.乃NT系统一等一的高手.下面就分析一些他的这段代码.
这段代码在PROCESS没有结束前就将启动PROCESS的EXE文件删除了.
int main(int argc, char *argv[])
{
HMODULE module = GetModuleHandle(0);
CHAR buf[MAX_PATH];
GetModuleFileName(module, buf, sizeof buf);
CloseHandle(HANDLE(4));
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
}
return 0;
}
现在,我们先看一下堆栈中的东西
偏移 内容
24 0
20 0
16 offset buf
12 address of ExitProcess
8 module
4 address of DeleteFile
0 address of UnmapViewOfFile
调用RET返回到了UnmapViewOfFile,也就是栈里的偏移0所指的地方.当进入UnmapViewOfFile的流程时,栈里见到的是返回地址DeleteFile和HMODUL module.也就是说调用完毕后返回到了DeleteFile的入口地址.当返回到DeleteFile时,看到了ExitProcess的地址,也就是返回地址.和参数EAX,而EAX则是buffer.buffer存的是EXE的文件名.由GetModuleFileName(module, buf, sizeof buf)返回得到.执行了DeleteFile后,就返回到了ExitProcess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用ExitProcess则应该不会返回.
这段代码的精妙之处在于:
1.如果有文件的HANDLE打开,文件删除就会失败,所以,CloseHandle(HANDLE(4));是十分巧妙的一手.HANDLE4是OS的硬编码,对应于EXE的IMAGE.在缺省情况下,OS假定没有任何调用会关闭IMAGE SECTION的HANDLE,而现在,该HANDLE被关闭了.删除文件就解除了文件对应的一个句柄.
2.由于UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,而且解除了IMAGE在内存的映射.所以,后面的任何代码都不可以引用IMAGE映射地址内的任何代码.否则就OS会报错.而现在的代码在UnmapViewOfFile后则刚好没有引用到任何IMAGE内的代码.
3.在ExitProcess之前,EXE文件就被删除了.也就是说,进程尚在,而主线程所在的EXE文件已经没了.(WINNT/9X都保护这些被映射到内存的WIN32 IMAGE不被删除.)
Gary Nebbett果然是WIN系列平台的顶尖高手之一.能写出如此代码.独辟蹊径啊:)
- 打赏
- 举报
ahr 2001-08-03
呵呵~~
- 打赏
- 举报
panda_w 2001-08-03
哇,嘿嘿!可惜
- 打赏
- 举报
xlqin 2001-08-03
不用来盆冷水吧
- 打赏
- 举报
m_leaner 2001-08-03
我也来了。做了新官,不要马上就腐败吗?代码收下。谢谢!
- 打赏
- 举报
xlqin 2001-08-03
我来凑热闹
- 打赏
- 举报
Kevin_qing 2001-08-03
要糖没有,杀虫剂要不要?
- 打赏
- 举报
bearyi 2001-08-03
push
- 打赏
- 举报
蝈蝈俊 2001-08-03
^&^
我是来讨糖的
我是来讨糖的
- 打赏
- 举报
jiagh 2001-08-03
收下了!
有了新官,总是有些好处的~~~~
有了新官,总是有些好处的~~~~
- 打赏
- 举报
seesi 2001-08-03
同感同感。
大家要不要起哄啊???
谁??~~~~………………??
?谁砸我???????
大家要不要起哄啊???
谁??~~~~………………??
?谁砸我???????
- 打赏
- 举报
加载更多回复(11)