浅析进程“伪隐藏”技术与实现两则

二：程序自删除（仅适用于NTFS硬盘分区格式)

     在NTFS分区下存在文件流早已不是什么秘密啦，但大家主要用它来隐藏文件，我在一次测试中却发现当我运行一个文件流程序时，这个文件流程序所在的宿主文件却是可以被删除的！进一步测试发现文件流程序运行时并无法直接删除这个文件流程序，只能删除宿主文件，从而来删除文件流程序。利用此特性，我们同样可以实现类似于上例的效果，且比其隐藏效果要好点。方法为：判断是否是NTFS格式分区，如果是则把自身复制为一个文件流，并运行复制的文件流，运行时检测到自己是存在于文件流中时就删除宿主文件。

     实现_blank>代码如下(MASM)：



;进程隐藏之文件流（只能用于NTFS分区格式）

.386

.model flat, stdcall

option casemap:none



include windows.inc

include kernel32.inc

includelib kernel32.lib

include user32.inc

includelib user32.lib

       .data?

selfname      db MAX_blank>_PATH dup(?)

szFileSystemName  db 10 dup(?)

       .data



delname db "`.`:icyfox.exe",0

;此处的"`.`:icyfox.exe"可以改为其他文件名如"cs.txt:cs.exe"

;我这里用"`.`"的目的是为了防止删除其他存在的文件



szErr db "我不在NTFS格式的分区内，退出!",0

szYes db "我在下面的流内，已被删除！",0

.code



main:

invoke GetModuleFileName,NULL,addr selfname,MAX_blank>_PATH

mov bl,byte ptr selfname+3

mov byte ptr selfname+3,0

xor eax,eax



;下面获取自身所在分区格式，并判断是否是NTFS格式

invoke  GetVolumeInformation,addr selfname,eax,eax,\

  eax,eax,eax,addr szFileSystemName, sizeof szFileSystemName

mov byte ptr selfname+3,bl

.if dword ptr szFileSystemName!='SFTN';NTFS

  invoke  MessageBox,NULL,offset szErr,NULL,MB_blank>_OK

  invoke ExitProcess, NULL

.endif



;下面判断自己是否在流（STREAM）中

;如果路径中含有两个:号，说明自己在文件流中

lea  esi,selfname

xor edx,edx

@@:

LODSB

or  al,al

jz  @F  ;遇到0结束

.if al==":"

  INC edx

.endif

.if edx==2

  mov byte ptr [esi-1],0

  invoke DeleteFile,addr selfname     ;删除宿主文件

  invoke  MessageBox,NULL,offset delname,offset szYes,MB_blank>_OK

  invoke ExitProcess, NULL

.endif

jmp  @B



;下面是当自身不在文件流中时，把自身复制到流中并运行

@@:

invoke CopyFile,addr selfname,addr delname,FALSE

invoke  WinExec,addr delname,NULL

invoke ExitProcess, NULL

end main

上一页  [1] [2]