fish - 2006/1/22 20:17:00
或许有很多人都在郁闷怎样删除正在运行的exe文件,
今天就写了个这样的程序,可能对付木马有点帮助的
[URL=upload/KFCFile8325_DeleteFile.rar]上传文件8325[/URL]
神羽¢凛舞 - 2006/1/22 20:25:00
这玩意有什么用?
mysteryboy - 2006/1/22 20:27:00
好厉害,好佩服!
ps:连左上角的图标都是鱼呀-_-
tczzya - 2006/1/22 20:41:00
支持楼主了先……但,中了木马,最好还是用杀毒软件~~
还有,正在运行的exe真能删除么?
Rinrin - 2006/1/22 20:53:00
老兄
你是把它移到临时目录里了吧
要是能解除运行中的文件的映射就好了
fish - 2006/1/22 21:05:00
以下引用Rinrin在2006-1-22 20:53:02的发言:
老兄
你是把它移到临时目录里了吧
要是能解除运行中的文件的映射就好了 |
不是移动过去.
在临时目录里面创建的都是空文件(0字节的)
EXE本体已经被删除的了
EXE的文件映射是不能被解除的,除非该进程被kill掉
kourin - 2006/1/22 21:17:00
删个进程不是很简单么?怎么还需要别的.
Rinrin - 2006/1/22 23:48:00
以下引用fish在2006-1-22 21:05:23的发言:
不是移动过去.
在临时目录里面创建的都是空文件(0字节的)
EXE本体已经被删除的了
EXE的文件映射是不能被解除的,除非该进程被kill掉 |
不清楚
我看删掉后Temp目录下多了一个相同大小的文件
而且删不掉
文件映射的解除
把程序自删除的方法套用上来行不行呢?
54044338 - 2006/1/23 0:03:00
以下引用fish在2006-1-22 21:05:23的发言:
不是移动过去.
在临时目录里面创建的都是空文件(0字节的)
EXE本体已经被删除的了
EXE的文件映射是不能被解除的,除非该进程被kill掉 |
直接关掉进程不可以了?
进程关了EXE也不就关了?
scegg - 2006/1/23 9:32:00
貌似不同的系统,效果不一样。
KEY的心情 - 2006/1/23 10:11:00
那就修改WINDOWS的源代码吧~~~~~(众:你做得到就做啊!)
某KEY:55555555~~~~~我才刚学C啊~~~~
cheong00 - 2006/1/23 20:09:00
以下引用fish在2006-1-22 21:05:23的发言:
不是移动过去.
在临时目录里面创建的都是空文件(0字节的)
EXE本体已经被删除的了
EXE的文件映射是不能被解除的,除非该进程被kill掉 |
似乎用Sysinternals的
Process Explorer找出要關閉的Handle來Close會比較安全... (當然, 不爽那Process的時候直接kill掉也沒有關係... XD)
Rinrin - 2006/1/23 22:41:00
以下引用cheong00在2006-1-23 20:09:42的发言:
似乎用Sysinternals的Process Explorer找出要關閉的Handle來Close會比較安全... (當然, 不爽那Process的時候直接kill掉也沒有關係... XD) |
这个比较爽啊
有一次把winlogon kill直接蓝屏了orz....
kannazuki - 2006/1/24 1:16:00
能方便地在gui窗口找到对应进程的pid 然后kill掉 就好了
fish - 2006/1/24 11:37:00
程序如果没有GUI怎么办,还是枚举进程更好一点
lordquest - 2006/1/24 15:33:00
一些木马是以dll注入到svchost.exe中运行的,不清楚对这种木马有效吗。