browser icon
You are using an insecure version of your web browser. Please update your browser!
Using an outdated browser makes your computer unsafe. For a safer, faster, more enjoyable user experience, please update your browser today or try a newer browser.

用远线程实现文件自删除

Posted by on 2007 年 11 月 23 日

你可以任意转载本文,但请在转载后的文章中注明作者和原始链接。
媒体约稿请联系 titilima_AT_163.com(把“_AT_”换成“@”)。

实现文件自删除不是一个特别新的话题了,不过貌似一直没有特别完美的解决方式。从早先Gary Nebbett的堆栈溢出版本到后来的批处理、临时文件等方式,无不存在着各样瑕疵:如堆栈溢出不支持XP,临时文件(批处理)不够优雅等等。
当然,还有用驱动发IRP的方式,不过这只是一个自删除,杀鸡焉用牛刀?于是这个方案在我这儿亦不讨论。
李马讨论的,只是一个2005年的老调重提:远线程注入。2005年李马提到的DLL远程注入技术只是远线程的最简单应用,局限很多,能做的事情很少;下面的自删除示例,则是如何让远线程能够做更多的事,也可以说是一个补充材料,不必记入原创文档了吧就。
言归正传。首先,我们假定这个线程函数是这样的:

1
2
3
4
5
6
DWORD WINAPI DelProc(LPVOID lpParam)
{
    Sleep(50);
    DeleteFileA((LPCSTR)lpParam);
    return 0;
}

解释一下,先用Sleep等待要删除的程序结束,之后调用DeleteFile删除目标文件。
现在,你可以在VC的Project Settings->C/C++->Category: Listing Files->Listing file type中,设置输出文件的类型为“Assembly, Machine Code, and Source”或“Assembly with Machine Code”,这样就会在编译完成后生成带有汇编代码和指令机器码的附属文件供你下一步对照。——当然,如果你极熟悉汇编,这一步可以跳过。
在查看附属文件后,我们可以提取出对我们有用的汇编代码:

1
2
3
4
5
6
7
push 50
call Sleep
 
mov  eax, [esp + 4]
push eax
call DeleteFileA
ret  4

之后,对照着对应的机器码,构造下面的结构:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#pragma pack(push, 1)
typedef struct _tagDeleteStruct {
    BYTE  byPush;
    DWORD dwTime;
    BYTE  wCall1;
    DWORD dwSleep;
    DWORD dwMov;
    BYTE  byPushEax;
    BYTE  wCall2;
    DWORD dwDeleteFileA;
    BYTE  byRet;
    WORD  w4;
    CHAR  szFile[1];
} DELETESTRUCT, *PDELETESTRUCT;
#pragma pack(pop)

最后的szFile域,就是用来放置文件名的。其余的就不解释了,因为下面就要填充它了。远线程函数还是很模式化的代码,改造自两年前我的RemoteLoadLibrary:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
BOOL RemoteDel(DWORD dwProcessID, LPCSTR lpszFileName, DWORD dwTime)
{
    // 打开目标进程
    HANDLE hProcess = OpenProcess(
        PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE,
        dwProcessID);
    if (NULL == hProcess)
        return FALSE;
 
    // 向目标进程地址空间写入删除信息
    DWORD         dwSize = sizeof(DELETESTRUCT) + lstrlenA(lpszFileName);
    PDELETESTRUCT pDel   = (PDELETESTRUCT)GlobalAlloc(GPTR, dwSize);
 
    HMODULE hKernel32 = GetModuleHandle(_T("kernel32.dll"));
    // push dwTime
    pDel->byPush = 0x68;
    pDel->dwTime = dwTime;
    // call Sleep
    pDel->wCall1  = 0xe8;
    pDel->dwSleep = (DWORD)GetProcAddress(hKernel32, "Sleep");
    // mov  eax, [esp + 4]
    pDel->dwMov = 0x0424448b;
    // push eax
    pDel->byPushEax = 0x50;
    // call DeleteFileA
    pDel->wCall2        = 0xe8;
    pDel->dwDeleteFileA = (DWORD)GetProcAddress(hKernel32, "DeleteFileA");
    // ret  4
    pDel->byRet = 0xc2;
    pDel->w4    = 0x0004;
    lstrcpyA(pDel->szFile, lpszFileName);
 
    LPVOID lpBuf = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT,
        PAGE_READWRITE);
    if (NULL == lpBuf)
    {
        GlobalFree((HGLOBAL)pDel);
        CloseHandle(hProcess);
        return FALSE;
    }
 
    // 修正近调用
    pDel->dwSleep       -= (DWORD)lpBuf + offsetof(DELETESTRUCT, dwMov);
    pDel->dwDeleteFileA -= (DWORD)lpBuf + offsetof(DELETESTRUCT, byRet);
    DWORD dwWritten;
    WriteProcessMemory(hProcess, lpBuf, (LPVOID)pDel, dwSize, &dwWritten);
 
    // 创建线程,远程删除!
    DWORD dwID;
    HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
        (LPTHREAD_START_ROUTINE)lpBuf,
        (LPVOID)((DWORD)lpBuf + offsetof(DELETESTRUCT, szFile)), 0, &dwID);
 
    GlobalFree((HGLOBAL)pDel);
    CloseHandle(hThread);
    CloseHandle(hProcess);
    return TRUE;
}

至于为什么最后不用VirtualFreeEx释放资源,那是因为注入的远程代码在执行的时候目标exe就已经消失了,所以这里的寄主程序肯定存在着内存泄露,真是造孽啊。
最后说三点。第一,RemoteDel是要挑选一个寄主程序的,这个程序应该始终运行并存在于当前的系统中,我在示例中挑选的是explorer.exe;并且,打开这个进程是需要调试权限的,提权的代码也一并加入在示例代码中,算是弥补了2005年的缺失。第二,为了方便定位,我修改了远程代码中的调用,也就是call ds:xxx(FF 15 xxx)改为了call near xxx(E8 xxx)。第三,自己手写机器码的做法的确不如纯汇编代码重定位来的优雅,但是我认为这里填充并定位Sleep和DeleteFile的片断也是纯汇编的办法无法比拟的。

附件:deleteme.zip

订阅本站

6 Comments

  • At 2007.12.01 09:28, said:

    李大哥终于写文章了,我顶!
    小弟期待中。。。
    希望李大哥多写一点技术性方章,让小弟们也能够像大哥一样。。。

    • At 2008.06.12 10:39, redfox said:

      pDel->dwSleep = (DWORD)GetProcAddress(hKernel32, \”Sleep\”);

      ---------
      如果目標進程的基址與自己進程的基址不一樣時,這樣的方法可以嗎?或說目標進程的 Kernel32 的地址與自己進程的 Kernel32 地址有沒有可能不一樣呢?

      • At 2008.06.12 11:03, 李马 said:

        [quote=redfox]pDel->dwSleep = (DWORD)GetProcAddress(hKernel32, \”Sleep\”);
        ---------
        如果目標進程的基址與自己進程的基址不一樣時,這樣的方法可以嗎?或說目標進程的 Kernel32 的地址與自己進程的 Kernel32 地址有沒有可能不一樣呢?[/quote]
        一般来说,kernel32.dll的加载位置是不变的,至少对于explorer.exe是这样的。
        如果这里你拿捏不准的话,可以取自身进程和目标进程的kernel32做基址比较,并对dwSleep做偏移处理。

        • At 2008.06.21 20:12, free2000fly said:

          这么搞, 就不会内存泄漏了
          //==============================================================================

          PUCHAR FindDWordFromBuffer(PUCHAR lpBuffer, UINT cchMax, DWORD dwValue)
          {
          PUCHAR pResult = NULL;
          UINT nIter = 0;
          for (nIter=0; nIter cchMax) {
          return FALSE;
          }

          memcpy((void *)lpCode, (void *) &_DelProc, nCodeLen);

          {
          pIter = FindDWordFromBuffer(lpCode, nCodeLen, Sleep_addr);
          if (NULL == pIter) {
          return FALSE;
          }

          dwFnAddr = (DWORD) GetProcAddress(GetModuleHandle(_T(“kernel32.dll”)), “Sleep”);

          if (0 == dwFnAddr) {
          return FALSE;
          }
          *(DWORD *)pIter = dwFnAddr;
          }

          {
          pIter = FindDWordFromBuffer(lpCode, nCodeLen, DeleteFileA_addr);
          if (NULL == pIter) {
          return FALSE;
          }

          dwFnAddr = (DWORD) GetProcAddress(GetModuleHandle(_T(“kernel32.dll”)), “DeleteFileA”);
          if (0 == dwFnAddr) {
          return FALSE;
          }
          *(DWORD *)pIter = dwFnAddr;
          }

          {
          pIter = FindDWordFromBuffer(lpCode, nCodeLen, ExitThread_addr);
          if (NULL == pIter) {
          return FALSE;
          }

          dwFnAddr = (DWORD) GetProcAddress(GetModuleHandle(_T(“kernel32.dll”)), “ExitThread”);
          if (0 == dwFnAddr) {
          return FALSE;
          }
          *(DWORD *)pIter = dwFnAddr;
          }

          {
          pIter = FindDWordFromBuffer(lpCode, nCodeLen, VirtualFree_addr);
          if (NULL == pIter) {
          return FALSE;
          }

          dwFnAddr = (DWORD) GetProcAddress(GetModuleHandle(_T(“kernel32.dll”)), “VirtualFree”);
          if (0 == dwFnAddr) {
          return FALSE;
          }
          *(DWORD *)pIter = dwFnAddr;
          }

          {
          pIter = FindDWordFromBuffer(lpCode, nCodeLen, _DelProc_addr);
          if (NULL == pIter) {
          return FALSE;
          }

          dwFnAddr = (DWORD) dwRemoteBegin;
          if (0 == dwFnAddr) {
          return FALSE;
          }
          *(DWORD *)pIter = dwFnAddr;
          }

          return TRUE;
          }

          BOOL RemoteDel(DWORD dwProcessID, LPCSTR lpszFileName, DWORD dwTime)
          {
          // 打开目标进程
          HANDLE hProcess = OpenProcess(
          PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE,
          dwProcessID);
          if (NULL == hProcess)
          return FALSE;

          CHAR szFileName[MAX_PATH] = { 0 };
          GetModuleFileNameA(NULL, szFileName, MAX_PATH);
          DWORD dwCodeLen = (DWORD)&_DelProc_end – (DWORD)&_DelProc;

          DWORD dwSize = dwCodeLen + sizeof(szFileName);

          LPVOID lpRemoteBuf = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
          if (NULL == lpRemoteBuf)
          {
          CloseHandle(hProcess);
          return FALSE;
          }

          PUCHAR pBuff = new UCHAR[dwSize];

          memcpy(pBuff, &_DelProc, dwSize);

          BuildRemoteThreadCode(pBuff, dwCodeLen, (DWORD)lpRemoteBuf);
          memcpy(pBuff+dwCodeLen, szFileName, strlen(szFileName) + 1);

          DWORD dwWritten = 0;
          WriteProcessMemory(hProcess, lpRemoteBuf, (LPVOID)pBuff, dwSize, &dwWritten);

          DWORD dwID = 0;
          HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
          (LPTHREAD_START_ROUTINE)lpRemoteBuf,
          (LPVOID)((DWORD)lpRemoteBuf + dwCodeLen), 0, &dwID);

          CloseHandle(hThread);
          CloseHandle(hProcess);

          delete [] pBuff;

          return TRUE;
          }

          • At 2008.10.26 22:15, stainboy said:

            可以在注入代码中最后加入一句释放自己内存的代码。

            • At 2011.03.04 17:26, 远线程的调试 – 马说 said:

              […] 示例程序来自《用远线程实现文件自删除》:http://blog.titilima.com/show-216-1.html。 […]

              (Required)
              (Required, will not be published)