Удаление самого себя во время исполнения

@ziqp · Регистрация: 03.09.2015

Author24 — интернет-сервис помощи студентам

Всем привет.
Как программа может удалить саму себя во время исполнения без закрытия?

Как я думаю (теоретически), можно затереть место на жестком диске, где находится программа без стандартных команд удаления, где есть условия, что файл должен быть "свободен".
С этим мне в ассемблер?

Добавлено через 54 минуты
Или на c++ есть альтернатива?

@SatanaXIII · 30.05.2017, 16:47

Сообщение от ziqp

насильно удалить exe в то время, когда он уже запущен

Если каким-то сторонними, неподвластными операционной системе, чудесами вам удастся переформатировать ту область диска, где была размещена загруженная в данный момент программа, то, пока она не попытается к своей области на диске, ничего не произойдет скорее всего. А коли попытается, то выскочит какое-нибудь IOException и если программа не ожидала такого поворота, то просто вылетит и все.

@ziqp · 30.05.2017, 19:00 **[ТС]**

Спасибо. Пойду рыться в explorer'е через отладчик. Эх, глядишь и до ядра доберусь

Добавлено через 7 минут
Кстати, вроде такой же эксперимент можно провести с флешкой. Вставьте флешку, запустите с неё программу, вытащите флешку. Программа работает и не выдает никаких ошибок

Да то же самое работало с дисками, когда программа просила вставить второй диск, в это время не завершаясь (если конечно не копировала себя на жесткий диск заранее)

@karaulov6 · 30.05.2017, 22:24

Ну это нужно лезть в файловую систему и каким-то образом удалить оттуда запись о файле, и все

@ziqp · 31.05.2017, 12:02 **[ТС]**

Есть информация, какая dll отвечает за удаление файлов в системе?

IGPIGP · 02.06.2017, 08:22

Сообщение от ziqp

насильно удалить exe в то время, когда он уже запущен

плохо не потому, что это дурной тон или чревато неприятностями. Это просто трудно сделать не ломая OS. Тут Вам вряд ли кто поможет. Владение хаком, это преимущество до тех пор, пока он не общедоступен. Иначе разрабы OS залатают дырку и всё.
Ну, то есть. это как на стену наплевать, если хочется пройти сквозь неё.
Вот набор, удаляющий папку запуска. Это на C++/Cli (.NET)
Тут деисталятор перед завершением запускает скрипт, который удаляет папку. Только на самом скрипте .vbs не кликайте (от греха). Там легко разобраться и сделать, что-то для себя.
Выкладываю, потому-как, помню - долго искал по кусочкам.

ps и речь идёт о том, что права не нарушаются. В моём случае это папка в CurrentUser

@ziqp · 25.01.2018, 16:48 **[ТС]**

И все-таки я нашел решение. Называется process hollowing (исходники на гитхабе).
После анмапа exe образ не числится как задействованный, поэтому можно удалять

Добавлено через 13 часов 41 минуту

Сообщение от IGPIGP

Владение хаком, это преимущество до тех пор, пока он не общедоступен. Иначе разрабы OS залатают дырку и всё.

Это не хак. Обычное владение winapi командами, представление peb, работа с заголовками файлов. Этому методу уже сотня лет

IGPIGP · 25.01.2018, 20:59

ziqp, я высказал своё мнение, а то что системы не бывают герметичны это просто правда. MSWindows это мягко говоря не лидер безопасности. Пока кроме борьбы с антивирусами сторонних производителей (не эффективной слава богу) они мало что предпринимают. Но по поводу данного вопроса вот это может быть интересно тоже:
https://www.bleepingcomputer.c... m-bombing/

@SatanaXIII Почетный модератор 5850 / 2861 / 392 Регистрация: 01.11.2011 Сообщений: 6,907
	30.05.2017, 16:47	21
	Сообщение от ziqp насильно удалить exe в то время, когда он уже запущен Если каким-то сторонними, неподвластными операционной системе, чудесами вам удастся переформатировать ту область диска, где была размещена загруженная в данный момент программа, то, пока она не попытается к своей области на диске, ничего не произойдет скорее всего. А коли попытается, то выскочит какое-нибудь IOException и если программа не ожидала такого поворота, то просто вылетит и все. 0

@karaulov6 23 / 23 / 6 Регистрация: 23.03.2013 Сообщений: 245
	30.05.2017, 22:24	23
	Ну это нужно лезть в файловую систему и каким-то образом удалить оттуда запись о файле, и все 0

@ziqp 129 / 65 / 16 Регистрация: 03.09.2015 Сообщений: 832
	25.01.2018, 16:48 [ТС]	26
	И все-таки я нашел решение. Называется process hollowing (исходники на гитхабе). После анмапа exe образ не числится как задействованный, поэтому можно удалять Добавлено через 13 часов 41 минуту Сообщение от IGPIGP Владение хаком, это преимущество до тех пор, пока он не общедоступен. Иначе разрабы OS залатают дырку и всё. Это не хак. Обычное владение winapi командами, представление peb, работа с заголовками файлов. Этому методу уже сотня лет 2

IGPIGP Комп_Оратор) $Эксперт по математике/физике$ 8949 / 4703 / 629 Регистрация: 04.12.2011 Сообщений: 13,999 Записей в блоге: 16
	25.01.2018, 20:59	27
	ziqp, я высказал своё мнение, а то что системы не бывают герметичны это просто правда. MSWindows это мягко говоря не лидер безопасности. Пока кроме борьбы с антивирусами сторонних производителей (не эффективной слава богу) они мало что предпринимают. Но по поводу данного вопроса вот это может быть интересно тоже: https://www.bleepingcomputer.c... m-bombing/ 0

@ziqp 129 / 65 / 16 Регистрация: 03.09.2015 Сообщений: 832
	30.05.2017, 19:00 [ТС]	22
	Спасибо. Пойду рыться в explorer'е через отладчик. Эх, глядишь и до ядра доберусь Добавлено через 7 минут Кстати, вроде такой же эксперимент можно провести с флешкой. Вставьте флешку, запустите с неё программу, вытащите флешку. Программа работает и не выдает никаких ошибок Да то же самое работало с дисками, когда программа просила вставить второй диск, в это время не завершаясь (если конечно не копировала себя на жесткий диск заранее) 0

@ziqp 129 / 65 / 16 Регистрация: 03.09.2015 Сообщений: 832
	31.05.2017, 12:02 [ТС]	24
	Есть информация, какая dll отвечает за удаление файлов в системе? 0