Форум АНТИЧАТ - Самоудаление *.exe

Может такая тема уже была, но ничего на ачате не нашел.
Имхо вопрос самоудаления исполняемых файлов в Винде достаточно интересен. Сам всю жизнь юзал достаточно простые способы с батником и MoveFileEx, и через реестр.
Но покопавшись в поиске нашел еще несколько способов, опишу здесь все. Сразу хочу отметить, что весь материал взят из статьи Ex`a с www.progz.ru
Так же хотелось бы в этой теме увидеть и другие варианты/способы о которых знаете ВЫ.
И так:

Системный реестр

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Записи в этом разделе указывают на имена файлов, которые должны выполниться один раз во время загрузки системы. Для удаления программы, нужно всего лишь добавить запись с именем файла, который удалит ее или командой del "имя файла".

MoveFileEx

Код:

BOOL MoveFileEx(LPCTSTR lpExistingFileName, LPCTSTR lpNewFileName, DWORD dwFlags);

Эта функция перемещает файл в новое место. Если вы передадите NULL в качестве второго параметра, то файл не будет перемещен, а фактически будет удален. Если указать флаг MOVEFILE_DELAY_UNTIL_REBOOT в dwFlags, то Windows удалить или переместит файл при перезагрузке. У этого метода есть несколько недостатков. Первый: вы не можете удалить каталог, в котором находиться исполняемый файл. Второй: Файл будет удален только после перезагрузки системы. Третий недостаток, в том, что функция MoveFileEx не поддерживается в Windows 9x/ME.

Wininit.ini

Код:

[Rename]

NUL=c:\dir\myapp.exe

c:\dir\new.exe=c:\dir\old.exe

В Windows 9x/ME при каждой загрузке системы выполняется приложение wininit.exe. Это приложение ищет на диске файл wininit.ini, если файл существует, то ищется секция [Rename]. Каждая строка в этой секции указывает на файл который должен быть переименован или удален. Этот метод похож на MoveFileEx, описанный выше. Имя файла с лева от знака “=” указывает на новый путь к файлу, название справа указывает на текущий путь. Если в качестве нового имени файла указан NUL, wininit.exe удалит его.

Batch File
Этот метод работает во всех версиях Windows. Он основан на том, что bat файлы способны удалять сами себя. Что бы проверить данный метод создайте небольшой bat файл (назовите его test.bat) содержащий единственную команду:

Код:

del test.bat

После запуска, bat файл удалит себя и выйдет с сообщением об ошибке “the batch file cannot be found”, это всего лишь сообщение и его можно спокойно игнорировать. Для самоудаления программа должна создать и выполнить bat файл (назовем его delus.bat) со следующим содержанием:

Код:

:Repeat

del "C:\MYDIR\MYPROG.EXE"

if exist "MYPROG.EXE" goto Repeat

rmdir "C:\MYDIR"

del "\delus.bat"

После запуска bat файл будет пытаться удалить указанную программу и после успешного удаления уничтожит себя.

COMSPEC

Код:

BOOL SelfDelete()

{

  TCHAR szFile[MAX_PATH], szCmd[MAX_PATH];



  if((GetModuleFileName(0,szFile,MAX_PATH)!=0) &&

   (GetShortPathName(szFile,szFile,MAX_PATH)!=0))

  {

    lstrcpy(szCmd,"/c del ");

    lstrcat(szCmd,szFile);

    lstrcat(szCmd," >> NUL");



  if((GetEnvironmentVariable("ComSpec",szFile,MAX_PATH)!=0) &&

   ((INT)ShellExecute(0,0,szFile,szCmd,0,SW_HIDE)>32))

  return TRUE;

}



  return FALSE;

}

Этот способ похож на способ Batch File, но немного аккуратнее в реализации и работает под всеми 32-разрядными версиями Windows, где определена переменная среда COMSPEC. Она всегда определена по умолчанию и содержит полный путь к командному интерпретатору (для Windows 9x – это “command.exe”, для Windows NT – “cmd.exe”). Функция будет работать, только если программа не запущена, так что важно после запуска функции немедленно выйти из программы. Это функция порождает копию программного интерпретатора и выполняет следующий код:

Код:

del <путь к программе> >> NUL

Этот код удаляет текущую программу и направляет вывод к NUL. Shell process создается со скрытым окном и поэтому весь процесс удаления незаметен.

FILE_FLAG_DELETE_ON_CLOSE

Функция CreateFile принимает несколько флагов, указывающих, как файл должен быть создан или открыт. Один из таких флагов, FILE_FLAG_DELETE_ON_CLOSE, указывает на то, что файл должен быть удален после закрытия последнего дескриптора. Для удаления программы вы должны выполнить программу с этим флагом, чтобы после завершения запускной файл удалился. Первым шагом должно быть создание пустого файла с указанным флагом FILE_FLAG_DELETE_ON_CLOSE. Потом содержимое запускного файла копируется в пустой файл и создается процесс из нового файла. Это приводит к тому, что дублируются дескрипторы файлов. Когда новый процесс создан, полный путь текущего процесса и его PID передается через командную строку. Дальше, текущая программа (которая хочет удалить себя), закрывает дескриптор файла, используемого для создания нового процесса, и завершается.

Это звучит немного сложно, но на самом деле все не так уж трудно.

Текущий процесс:
1. Создать новый файл с флагом FILE_FLAG_DELETE_ON_CLOSE.
2. Скопировать содержимое текущего файла в новый файл.
3. Создать новый процесс с дублированной программой.
4. Передать полный путь и PID текущей программы в вызове CreateFile.
5. Бездействовать некоторое время, чтобы новый процесс запустился.
6. Закрыть новый файл.
7. Выйти из текущего процесса.

Дублированный процесс:
8. Дождаться пока первый процесс завершится
9. Удалить файл указанный в командной строке.
10. Выйти из процесса дублера.

Есть несколько замечаний по этому способу. Первой, когда новый процесс запущен, “старый” должен бездействовать некоторое время, что бы дать время загрузчику Windows открыть файл и запустить процесс (таким образом увеличивается счетчик файла). Второе, новый процесс должен дождаться пока старый не завершится. Третье, когда дубликат программы создан, он должен иметь установленный флаг FILE_SHARE_DELETE, иначе CreateProcess потерпит неудачу, потому что, не сможет открыть файл, пока он имеет флаг DELETE_ON_CLOSE. Четвертое, программа должна быть написана таким образом чтобы смогла исполнить две задачи. И последенее, дублированный процесс должен знать, что это его задача удалить исходный файл.
Очевидно, этот метод требует осторожного кодирования, но работает очень хорошо. Альтернативный метод состоит в том, что бы написать маленькую программу, для которой единственной задачей являлось бы удаление файла указанного в командной строке.

совершенный для Windows NT/2000

Этот кусок встроенного ассемблера короток и прост.

Код:

#include



int main(int argc, char *argv[])

{

  char buf[MAX_PATH];

  HMODULE module;



  module = GetModuleHandle(0);

  GetModuleFileName(module, buf, MAX_PATH);

  CloseHandle((HANDLE)4);



  __asm

  {

    lea eax, buf

    push 0

    push 0

    push eax

    push ExitProcess

    push module

    push DeleteFile

    push UnmapViewOfFile

  ret

  }



  return 0;

}

Этот код работает только под Windows NT, но зато как работает! Как только вы компилируете и выполняете программу она исчезает с диска. Примечание: код работает под Windows NT/2000, но не работает под Windows XP и .NET Server.

совершенный для Windows 9x/ME

Код:

int main(int argc, char *argv[])

{

  char buf[MAX_PATH];

vHMODULE module;



  module = GetModuleHandle(0);

  GetModuleFileName(module, buf, MAX_PATH);



  __asm

  {

    lea eax, buf

    push 0

    push 0

    push eax

    push ExitProcess

    push module

    push DeleteFile

    push FreeLibrary

    ret

  }



  return 0;

}

совершенный, комбинированный для Windows NT и Windows 9x

Код:

void DeleteMyself()

{

  char buf[MAX_PATH];

  HMODULE module;

  DWORD fnFreeOrUnmap;



  module = GetModuleHandle(0);

  GetModuleFileName(module, buf, MAX_PATH);



  // Check for Win9x Kernel

  if(0x80000000 & GetVersion())

  {

    fnFreeOrUnmap = FreeLibrary;

  }

  // do for WinNT kernel

  else

  {

    fnFreeOrUnmap = UnmapViewOfFile;

    CloseHandle((HANDLE)4);

  }



  __asm

  {

    lea eax, buf

    push 0

    push 0

    push eax

    push ExitProcess

    push module

    push DeleteFile

    push fnFreeOrUnmap

    ret

  }

}

ЗЫ
Возможно кому-нидь пригодится, хочется увидеть и другие варианты и способы =)
Думаю тема не помешает в разделе, если в нее собирать различные способы...