程序運行之后把自己刪除的方法

　　近日看到網(wǎng)友詢問如何實現(xiàn)程序運行之后把自己刪除的方法，不知大家對木馬甚么的興趣實在太濃,還是想要這樣的效果:用戶只要一運行程序,可執(zhí)行文件就沒有了,可是程序還是在跑,膽小的只怕要喊"鬼呀!","老婆,快出來看上帝"甚么的

　　。其實最典型的用法是寫反安裝程序. 閑來無事，Bear掰到一種還算巧妙的“刪除自己”的方法。

　　大家都知道，一般的程序運行的時候，可執(zhí)行文件本身是被操作系統(tǒng)保護的，不能用改寫的方式訪問，更別提在本身還在運行的時侯刪除自己了。在Lu0的主頁上看到一種UNDOCUMENT的方法，通過改變系統(tǒng)底層的文件訪問模式實現(xiàn)刪除自己，那是實在功夫。我看了很是佩服。但是有沒有一種用在MSDN上就能查到的函數(shù)實現(xiàn)呢?有!Jeffrey Richter給我們做了一個范例：

　　DeleteMe.CPP

　　Module name: DeleteMe.cpp

　　Written by: Jeffrey Richter

　　Description: Allows an EXEcutable file to delete itself

　　**************************************************/

　　#include

　　#include

　　#include

　　/////////////////////////////////////////////////

　　int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) {

　　// Is this the Original EXE or the clone EXE?

　　// If the command-line 1 argument, this is the Original EXE

　　// If the command-line >1 argument, this is the clone EXE

　　if (__argc == 1) {

　　// Original EXE: Spawn clone EXE to delete this EXE

　　// Copy this EXEcutable image into the user's temp directory

　　TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH];

　　GetModuleFileName(NULL, szPathOrig, _MAX_PATH);

　　GetTempPath(_MAX_PATH, szPathClone);

　　GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone);

　　CopyFile(szPathOrig, szPathClone, FALSE);

　　//***注意了***:

　　// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE

　　HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTI

　　NG, FILE_FLAG_DELETE_ON_CLOSE, NULL);

　　// Spawn the clone EXE passing it our EXE's process handle

　　// and the full path name to the Original EXE file.

　　TCHAR szCmdLine[512];

　　HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());[!--empirenews.page--]

　　wsprintf(szCmdLine, __TEXT("%s %d "%s""), szPathClone, hProcessOrig, szPat

　　hOrig);

　　STARTUPINFO si;

　　ZeroMemory(&si, sizeof(si));

　　si.cb = sizeof(si);

　　PROCESS_INFORMATION pi;

　　CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi);

　　CloseHandle(hProcessOrig);

　　CloseHandle(hfile);

　　// This original process can now terminate.

　　} else {

　　// Clone EXE: When original EXE terminates, delete it

　　HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]);

　　WaitForSingleObject(hProcessOrig, INFINITE);

　　CloseHandle(hProcessOrig);

　　DeleteFile(__targv[2]);

　　// Insert code here to remove the subdirectory too (if desired).

　　// The system will delete the clone EXE automatically

　　// because it was opened with FILE_FLAG_DELETE_ON_CLOSE

　　}

　　return(0);

　　}

　　看懂了嗎?

　　這一段程序思路很簡單：不是不能在運行時直接刪除本身嗎?好，那么程序先復(fù)制(CLONE)一個自己，用復(fù)制品起動另一個進程，然后自己結(jié)束運行，則原來的EXE文件不被系統(tǒng)保護.這時由新進程作為殺手刪除原來的EXE文件，并且繼續(xù)完成程序其他的功能。

　　新進程在運行結(jié)束后，復(fù)制品被自動刪除。這又是值得介紹的一個把戲了，注意：

　　// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE

　　HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTIN

　　G, FILE_FLAG_DELETE_ON_CLOSE, NULL);

　　這里面的FILE_FLAG_DELETE_ON_CLOSE標(biāo)志,這個標(biāo)志是告訴操作系統(tǒng)，當(dāng)和這個文件相關(guān)的所有句柄都被關(guān)閉之后(包括上面這個CREATEFILE創(chuàng)建的句炳)，就把這個文件刪除。幾乎所有的臨時文件在創(chuàng)建時，都指明了這個標(biāo)志。

　　另外要注意的是:在復(fù)制品進程對原始程序操刀之前,應(yīng)該等待原進程退出.在這里用的是進程同步技術(shù).用HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId());得到原進程句柄.SYNCHRONICE標(biāo)志在NT下有效,作用是使OpenProcess得到的句柄可以做為同步對象.復(fù)制品進程用WaitForSingleObject函數(shù)進行同步,然后一個DeleteFile,以及進行其它銷毀證據(jù)(Jeffrey說：比如刪目錄)的工作,打完收工!

　　程序是基于CONSOLE的，通過傳入的參數(shù)確定是原始的進程還是復(fù)制品新進程，并且得到需要操作的目標(biāo)文件的信息(主要是路徑)，復(fù)制品放在系統(tǒng)的TEMP目錄(GetTempPath得到)，你也可以隨便找個你認(rèn)為安全的地方(比如：WINDOWSSYSTEM32等等)。

　　這里面沒有甚么深的技術(shù).再看其他的一些實現(xiàn)刪除自己的例子,比如說在進程退出前,用fwrite等方法輸出一個.BAT文件,在里面寫幾句DEL,然后WINEXEC一下這個BAT文件即可.