一种巧妙的删除程序自己的方法

大家都知道，一般的程序运行的时候，可执行文件本身是被操作系统保护的，不能用改写的方式访问，更别提在本身还在运行的时侯删除自己了。在Lu0的主页上看到一种UNDOCUMENT的方法，通过改变系统底层的文件访问模式实现删除自己，那是实在功夫。我看 了很是佩服。但是有没有一种用在MSDN上就能查到的函数实现呢？有!Jeffrey Richter给我们做了一个范例：
　
DeleteMe.CPP
　
Module name: DeleteMe.cpp
Written by: Jeffrey Richter
Description: Allows an EXEcutable file to delete itself
**************************************************/
　
#include <windows.h><br>#include <stdlib.h><br>#include <tchar.h><br>　<br>/////////////////////////////////////////////////<br>　<br>int WINAPI WinMain(HINSTANCE h, HINSTANCE b, LPSTR psz, int n) {<br>　 <br>// Is this the Original EXE or the clone EXE?<br>// If the command-line 1 argument, this is the Original EXE<br>// If the command-line &gt;1 argument, this is the clone EXE<br>　<br>if (__argc == 1) {<br>　<br>// Original EXE: Spawn clone EXE to delete this EXE<br>// Copy this EXEcutable image into the user's temp directory<br>　<br>TCHAR szPathOrig[_MAX_PATH], szPathClone[_MAX_PATH];<br>GetModuleFileName(NULL, szPathOrig, _MAX_PATH);<br>GetTempPath(_MAX_PATH, szPathClone);<br>GetTempFileName(szPathClone, __TEXT("Del"), 0, szPathClone);<br>CopyFile(szPathOrig, szPathClone, FALSE);<br>　<br>//***注意了***:<br>// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE<br>HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL, OPEN_EXISTI<br>NG, FILE_FLAG_DELETE_ON_CLOSE, NULL);<br>　<br>// Spawn the clone EXE passing it our EXE's process handle<br>// and the full path name to the Original EXE file.<br>TCHAR szCmdLine[512];<br>HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());<br><br>wsprintf(szCmdLine, __TEXT("%s %d /"%s/""), szPathClone, hProcessOrig, szPat<br>hOrig);<br>STARTUPINFO si;<br>ZeroMemory(&amp;si, sizeof(si));<br>si.cb = sizeof(si);<br>PROCESS_INFORMATION pi;<br>CreateProcess(NULL, szCmdLine, NULL, NULL, TRUE, 0, NULL, NULL, &amp;si, &amp;pi);<br>CloseHandle(hProcessOrig);<br>CloseHandle(hfile);<br>　<br>// This original process can now terminate.<br>} else {<br>　<br>// Clone EXE: When original EXE terminates, delete it<br>HANDLE hProcessOrig = (HANDLE) _ttoi(__targv[1]);<br>WaitForSingleObject(hProcessOrig, INFINITE);<br>CloseHandle(hProcessOrig);<br>DeleteFile(__targv[2]);<br>// Insert code here to remove the subdirectory too (if desired).<br>　<br>// The system will delete the clone EXE automatically<br>// because it was opened with FILE_FLAG_DELETE_ON_CLOSE<br>}<br>return(0);<br>}<br>　<br>看懂了吗？<br>　<br>这一段程序思路很简单：不是不能在运行时直接删除本身吗？好，那么程序先复制（CLONE）一个自己，用复制品起动另一个进程，然后自己结束运行，则原来的EXE文件不被系统保护.这时由新进程作为杀手删除原来的EXE文件，并且继续完成程序其他的功能。<br><br>　<br>新进程在运行结束后，复制品被自动删除。这又是值得介绍的一个把戏了，注意： <br>// Open the clone EXE using FILE_FLAG_DELETE_ON_CLOSE<br>HANDLE hfile = CreateFile(szPathClone, 0, FILE_SHARE_READ, NULL,OPEN_EXISTIN<br>G, FILE_FLAG_DELETE_ON_CLOSE, NULL);<br>这里面的FILE_FLAG_DELETE_ON_CLOSE标志,这个标志是告诉操作系统，当和这个文件相关的所有句柄都被关闭之后(包括上面这个CREATEFILE创建的句炳)，就把这个文件删除。几乎所有的临时文件在创建时，都指明了这个标志。另外要注意的是:在复制品进程对原始程序操刀之前,应该等待原进程退出.在这里用的是进程同步技术.用HANDLE hProcessOrig = OpenProcess(SYNCHRONIZE, TRUE,GetCurrentProcessId());得到原进程句柄.SYNCHRONICE标志在NT下有效,作用是使OpenProcess得到的句柄可以做为同步对象.复制品进程用WaitForSingleObject函数进行同步,然后一个DeleteFile,以及进行其它销毁证据（Jeffrey说：比如删目录）的工作,打完收工！<br>　<br>程序是基于CONSOLE的，通过传入的参数确定是原始的进程还是复制品新进程，并且得到需要操作的目标文件的信息（主要是路径），复制品放在系统的TEMP目录（GetTempPath得到），你也可以随便找个你认为安全的地方（比如：WINDOWS/SYSTEM32等等）。这里面没有甚么深的技术.再看其他的一些实现删除自己的例子,比如说在进程退出前,用fwrite等方法输出一个.BAT文件,在里面写几句DEL,然后WINEXEC一下这个BAT文件即可.玩儿过DOS的虫虫大多都会。今天又学一招，爽。<br></tchar.h></stdlib.h></windows.h>