顾名思义,批处理就是对某对象进行批量的处理,通常被认为是一种简化的脚本语言,它应用于DOS和Windows系统中。批处理文件的扩展名为bat。比较常见的批处理包含两类:DOS批处理和PS批处理。而这类批处理语言也大多提供把一系列操作录制为批处理文件的功能,这样用户不必写程式就能得到批处理程序。实现过程批处理方式这里有一个注意的点,一种是使用choice命令进行延迟,另一种则使用ping命令进行延迟。WindowsXP版本比Windows2003版本低,所以不支持choice命令。
这里首先说一下程序自删除实现的思路:程序创建一个批处理文件,并创建进程执行,然后程序结束进程;批处理所做的功能便是延时5秒后,删除指定程序然后再自删除。这样,程序自删除功能便实现了。
自删除的实现主要可以使用两种方法,一种是利用批处理技术,另外一种则是调用windows提供的api进行实现
首先说一下批处理技术。批处理(Batch),也称为批处理脚本。顾名思义,批处理就是对某对象进行批量的处理,通常被认为是一种简化的脚本语言,它应用于DOS和Windows系统中。批处理文件的扩展名为bat 。比较常见的批处理包含两类:DOS批处理和PS批处理。PS批处理是基于微软的强大的PowerShell的,用来批量处理一些任务的脚本;而DOS批处理则是基于DOS命令的,用来自动地批量地执行DOS命令以实现特定操作的脚本。更复杂的情况,需要使用if、for、goto等命令控制程式的运行过程,如同C、Basic等高级语言一样。如果需要实现更复杂的应用,利用外部程式是必要的,这包括系统本身提供的外部命令和第三方提供的工具或者软件。批处理程序虽然是在命令行环境中运行,但不仅仅能使用命令行软件,任何当前系统下可运行的程序都可以放在批处理文件中运行。
有些人认为批处理语言的含义要比上面的描述更广泛,还包括许多软件自带的批处理语言,如 Microsoft Office、Visual Studio、Adobe Photoshop 所内置的批处理语言的功能,用户可通过它们让相应的软件执行自动化操作(例如调整某个资料夹所有 PSD 图档的解析度)。 而这类批处理语言也大多提供把一系列操作录制为批处理文件的功能,这样用户不必写程式就能得到批处理程序。
在这个地方其实批处理也是一种特殊的语言,比如说我们要在cmd里面执行一些命令,就可以把他写成一个bat文件。这里能够使用批处理实现自删除有一个前提就是,批处理提供了自己删除自己的命令,如下所示
del %0
在批处理文件执行这个命令之后会直接对文件进行删除,而不是放入回收站,那么我们就可以先执行我们想要执行的程序,然后在sleep过后使用del %0删除自身即可。
实现过程批处理方式这里有一个注意的点,一种是使用 choice 命令进行延迟,另一种则使用 ping 命令进行延迟。要注意的是,choice 这个命令是从 Windows 2003开始才有这个命令。也就是说,Windows 2003版本或者以上版本才支持这个命令,对于低于Windows 2003的版本是不支持的。Windows XP 版本比Windows 2003版本低,所以不支持 choice 命令。
那么我们首先进行choice命令的实现,bat的代码如下
@echo offchoice /t 10 /d y /n >nuldel *.exedel %0
我们整理下思路,要想实现自删除首先需要知道程序所在的目录,然后生成批处理文件并生成进程来执行批处理文件,主要用到的是GetModuleFileName这个api
GetModuleFileName
检索包含指定模块的文件的完全限定路径。
DWORD GetModuleFileNameA([in, optional] HMODULE hModule,[out]LPSTRlpFilename,[in] DWORDnSize);
那么我们首先要写一个函数进行批处理文件的自动生成,这里直接用wsprintf写入即可
::wsprintf(szBat, "@echo off\nchoice /t %d /d y /n >nul\ndel *.exe\ndel %%0\n", time);
然后使用fopen_s、fwrite生成批处理文件
FILE *fp = NULL;fopen_s(&fp, pszBatName, "w ");fwrite(szBat, (1::lstrlen(szBat)), 1, fp);
完整代码如下
BOOL CreateBat(char *pszBatFileName){int time = 5;char szBat[MAX_PATH] = { 0 };::wsprintf(szBat, "@echo off\nchoice /t %d /d y /n >nul\ndel *.exe\ndel %%0\n", time);FILE *fp = NULL;fopen_s(&fp, pszBatFileName, "w ");if (NULL == fp){return FALSE;}fwrite(szBat, (1::lstrlen(szBat)), 1, fp);fclose(fp);return TRUE;}
然后我们首先获取程序所在的目录
::GetModuleFileName(NULL, szPath, MAX_PATH);
然后把批处理文件跟程序放到同一目录下
::wsprintf(szBat, "%s\\test.bat", szPath);
然后调用cmd命令行
::wsprintf(szCmd, "cmd /c call \"%s\"", szBat);
再调用之前编写的CreateBat创建批处理文件
bRet = CreateBat(szBat);
最后就是使用CreateProcess创建进程,但是这里有一个比较特殊的地方,就是我们需要隐蔽执行,那么我们就可以使用不显示执行程序窗口的模式,这个参数在CreateProcess的第九个参数,首先看一下CreateProcess的结构
BOOL CreateProcessA([in, optional]LPCSTRlpApplicationName,[in, out, optional] LPSTRlpCommandLine,[in, optional]LPSECURITY_ATTRIBUTES lpProcessAttributes,[in, optional]LPSECURITY_ATTRIBUTES lpThreadAttributes,[in]BOOLbInheritHandles,[in]DWORDdwCreationFlags,[in, optional]LPVOIDlpEnvironment,[in, optional]LPCSTRlpCurrentDirectory,[in]LPSTARTUPINFOAlpStartupInfo,[out]LPPROCESS_INFORMATION lpProcessInformation);
就是LPSTARTUPINFOA这个参数,这个参数决定了新进程的主窗体如何显示的STARTUPINFO结构体,我们继续跟到STARTUPINFO结构体里面
typedef struct _STARTUPINFOA {DWORDcb;LPSTRlpReserved;LPSTRlpDesktop;LPSTRlpTitle;DWORDdwX;DWORDdwY;DWORDdwXSize;DWORDdwYSize;DWORDdwXCountChars;DWORDdwYCountChars;DWORDdwFillAttribute;DWORDdwFlags;WORDwShowWindow;WORDcbReserved2;LPBYTE lpReserved2;HANDLE hStdInput;HANDLE hStdOutput;HANDLE hStdError;} STARTUPINFOA, *LPSTARTUPINFOA;
若要隐藏窗口,则dwFlags的值需要设置为STARTF_USESHOWWINDOW,wShowWindow的值设置为false即可
STARTUPINFO si = { 0 };si.dwFlags = STARTF_USESHOWWINDOW;si.wShowWindow = FALSE;
然后调用CreateProcess启动进程
BOOL bRet = CreateProcess(NULL,szCmd, NULL, NULL, FALSE, CREATE_NEW_CONSOLE, NULL,NULL, &si, &pi);
这里编译一下看看效果,这里直接退出了,什么也没有,证明是对的,因为我们隐藏了cmd的窗口
这里我们把wShowWindow的值改为TRUE再查看一下效果
这里看起来效果还是不明显,我们再换种方式,直接运行exe,发现在同目录下生成了test.bat
10s过后发现exe跟bat都已经删除,证明我们的自删除成功
上面提到,在xp是没有choice的命令的,那么可以用ping命令代替,bat的代码如下
@echo offping 127.0.0.1 -n 10del *.exedel %0
与choice相似,这里就不细说了,直接改一下代码就可以
BOOL CreateBat(char *pszBatFileName){int time = 5;char szBat[MAX_PATH] = { 0 };::wsprintf(szBat, "@echo off\nping 127.0.0.1 -n %d\ndel *.exe\ndel %%0\n", time);FILE *fp = NULL;fopen_s(&fp, pszBatFileName, "w ");if (NULL == fp){return FALSE;}fwrite(szBat, (1::lstrlen(szBat)), 1, fp);fclose(fp);return TRUE;}
这里再提一个小tips,这里我们实现的是cmd.exe的自启动与删除,那么在实战过程中能否写成cs的上线exe的自删除呢?答案是肯定的,这里就不拓展了。
MoveFileEx方式我们首先看一下MoveFileEx这个api
BOOL MoveFileExA([in] LPCSTR lpExistingFileName,[in, optional] LPCSTR lpNewFileName,[in] DWORDdwFlags);
dwFlags:设置移动标志,指明要怎样操作文件或者目录。
MOVEFILE_COPY_ALLOWED:当需要移动文件到不同的盘符时需要指定此值,不然会失败,这个值不能和MOVEFILE_DELAY_UNTIL_REBOOT一起用
MOVEFILE_DELAY_UNTIL_REBOOT:文件并不立即移动,当下一次机器重启时文件才执行移动 ,不能和MOVEFILE_COPY_ALLOWED同时用
MOVEFILE_FAIL_IF_NOT_TRACKABLE:当源文件是连接资源时会移动失败。
MOVEFILE_REPLACE_EXISTING:当目的文件已经存在时,要将lpExistingFileName的内容替换掉以前的内容,此时要检查ACL权限,可能会失败
MOVEFILE_WRITE_THROUGH:只有当文件完全到达目的文件的时候函数才返回,缓冲区也不能有未留的数据
MoveFileEx这个函数调用的时候有几个需要的点,第一个就是当dwFlags为MOVEFILE_DELAY_UNTIL_REBOOT时,需要为system或administrartor权限才能执行,第二个点就是如果要移动目录需要保证目录不存在才可以,第三个点就是不能在不同的盘符下移动目录。
那么我们这里实现自删除的话,就是好需要设置dwFlags为MOVEFILE_DELAY_UNTIL_REBOOT,这里为什么要system或者administrator权限呢,是因为MoveFileEx是通过写入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations这个注册表路径来达到移动或删除的目的,我们可以看到这个键是位于HKEY_LOCAL_MACHINE的,而不是USER,所以必须要administrator权限进行修改
这里我们看一下这个键值,它的类型是REG_MULTI_SZ,那么意味着这个键值能够写入多个字符串
经过探究后发现,MoveFileEx这个api在执行删除操作写入File\0\0到PendingFileRenameOperations,而如果是执行移动操作则是把File\0OtherFile\0写入PendingFileRenameOperations
那么如何用MoveFileEx实现自删除呢,首先提两个概念,AUTOCHK和页面文件。
这里说下何为AUTOCHK:
在msdn的官方解释中,AUTOCHK的含义是:Runs when the computer is started and prior to Windows Server starting to verify the logical integrity of a file system.
也就是说AUTOCHK其实是用来验证文件系统的逻辑完整性的,那么再说说页面文件:
页面文件,是指操作系统反映构建并使用虚拟内存的硬盘空间大小而创建的文件。要整理页面文件,首先将页面文件从原先所在的驱动器移动到其他驱动器,然后对原来驱动器进行整理,最后再将页面文件移回到原驱动器上,此时页面文件就会存放在连续的磁盘空间中了。具体来说,在 windows操作系统下(Windows 2000/XP)pagefile.sys这个文件,它就是系统页面文件(也就是大家熟知的虚拟内存文件),它的大小取决于打开的程序多少和你原先设置页面文件的最小最大值,是不断变化的,有时可能只有几十MB,有时则达到几百甚至上千MB。
那么这两个概念有什么关联呢,有一个时间节点就是,用户在启动计算机时,执行了AUTOCHK,但是还没有创建页面文件,在这个时间节点下,可以说话用户是还没有完全进入操作系统的,那么这时候就可以删除在正常情况下删除不了的文件,我的理解是在没有创建页面文件的时候,其实操作系统是还没有启动完全的,所以这时候可执行文件其实是没有完全加载好的。
那么我们知道了原理,这里实现一下,其实代码相比于批处理方式少了很多,但是涉及到的知识点却是一点都不少。我们在前面发现在PendingFileRenameOperations键的数值数据中,路径前面都有\??\,但是这里并不是加上\??\,在MoveFileEx的函数定义中删除文件的路径开头需要加上\\?\
所以我们在缓冲区前面先加上\\?\
char szTemp[MAX_PATH] = "\\\\?\\";因为我们要把路径写在缓冲区后面,就要使用到lstrcat
::lstrcat(szTemp, szFileName);然后调用MoveFileEx实现自删除
BOOL bRet = ::MoveFileEx(szTemp, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);完整代码如下
BOOL MoveDel(char* szFileName){char szTemp[MAX_PATH] = "\\\\?\\";::lstrcatA(szTemp, szFileName);BOOL bRet = ::MoveFileExA(szTemp, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);if (bRet == NULL){printf("[!] MoveFileExA failed, error is : %d\n\n", GetLastError());return FALSE;}else{printf("[*] MoveFileExA successfully!\n\n");}return TRUE;}这里我们直接执行一下,发现报错5,对应GetLastError的报错属性是权限不够,这里我们之前提到过需要修改注册表,所以直接用user权限启动是拒绝访问的
这里我们改用administrator启动程序,可以看到已经执行成功
到PendingFileRenameOperations键值下查看已经添加成功,这里重启之后就会进行删除
后记我们对两种自删除的方式进行了实现,这个地方我们可以发现,MoveFileEx方式是需要重启电脑后才能够进行删除,而批处理则可以不用重启就可以删除,这里可以根据具体用途才用具体方法进行实现。
本文由Drunkmars原创发布转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/259050安全客 - 有思想的安全新媒体
,
