Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...

А может всё-таки как-нибудь можно?

>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...
>А может всё-таки как-нибудь можно?

to my mind, нельзя... разве что в iddqd

а если вдруг и можно, то это будет одна лишь головная боль... экзешник может захотеть, скажем, почитать, чего-нть в самом себе и, ессессно, обломится.

Здравствуйте, Вумудщзук, Вы писали:

>>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...
>>А может всё-таки как-нибудь можно?

В>to my mind, нельзя... разве что в iddqd

В>а если вдруг и можно, то это будет одна лишь головная боль... экзешник может захотеть, скажем, почитать, чего-нть в самом себе и, ессессно, обломится.

Может быть тебя устроит то, что под NT-линейкой можно его переименовать.
Если всё же надо удалить, то посмотри в сторону MoveFileEx

Здравствуйте, RekoD, Вы писали:

RD>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...

RD>А может всё-таки как-нибудь можно?

Удалить выполняющийся файл невозможно — за это отвечает драйвер файловой системы (и даже не диспетчер объектов)!

Здравствуйте, RekoD, Вы писали:

RD>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...
RD>А может всё-таки как-нибудь можно?
Через внешнее воздействие.

Здравствуйте, RekoD, Вы писали:

RD>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...

RD>А может всё-таки как-нибудь можно?

Може я не правильно понял, но, Новый процесс, который выполняет батничек, который ждет завершения exe, а потом его валит и завершается

Здравствуйте, RekoD, Вы писали:

RD>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...

RD>А может всё-таки как-нибудь можно?
Если нежелательно создавать файлы (батник) то можно инжектировать код удаления в чужой процесс (explorer). Но без TerminateProcess или ExitProcess не обойтись.

Здравствуйте, sober, Вы писали:

S>Здравствуйте, RekoD, Вы писали:

RD>>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...

RD>>А может всё-таки как-нибудь можно?

S>Удалить выполняющийся файл невозможно — за это отвечает драйвер файловой системы (и даже не диспетчер объектов)!
Можно, если файл запускался с новеловкского диска

Как уже говарилось файлы удаляет драйвер файловой системы

Так вот вам нужно найти эту фукнцию удаления

вот пример

PublicFunctionDeleteFile
}
.....
Если файл используется
{
пошлем нафиг;
}
Если нет
{
PrivateFunctionDeleteFile();
}
.....
{

PrivateFunctionDeleteFile
{
//А здесь уже проверки не выполняются, именно эту функцию и ищи
}

Здравствуйте, RekoD, Вы писали:

RD>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...

RD>А может всё-таки как-нибудь можно?

создаешь remote thread в процессе для кот. хочешь удалить его image, а дальше как здесь

Win32 Self-Deletion Function
http://www.codeguru.com/Cpp/W-P/win32/article.php/c4533/

Мне кажется единственный реальный совет дал Жива:

В общем, если хочешь сделать что-то серьезное, прийдется писать драйвер:

Который при загрузке будет перехватывать ф-цию удаления файла, т.е. вместо оригинальной ф-ции подставлять свою,
описание ее работы примерно обрисовал Жива.

Кстати — очень прикольно. На выходных обязательно попробую это сделать, если получится удалить exe во время исполнения — отпишусь.
Единственная проблема найти эту ф-цию, к-ю необходимо перехватить:
Может эта:

NTSYSAPI
NTSTATUS
NTAPI
ZwDeleteFile(
    IN POBJECT_ATTRIBUTES ObjectAttributes
    );

Если кому интересно, в инете ищите по ключевым словам Native API или KeServiceDescriptorTable


Могу предложить вариант и посерьезнее перехвата Native API ф-ций

Здравствуйте, onyx2, Вы писали:

O>Мне кажется единственный реальный совет дал Жива:

O>В общем, если хочешь сделать что-то серьезное, прийдется писать драйвер:

O>Который при загрузке будет перехватывать ф-цию удаления файла, т.е. вместо оригинальной ф-ции подставлять свою,
O>описание ее работы примерно обрисовал Жива.

O>Кстати — очень прикольно. На выходных обязательно попробую это сделать, если получится удалить exe во время исполнения — отпишусь.
O>Единственная проблема найти эту ф-цию, к-ю необходимо перехватить:
O>Может эта:
O>

O>NTSYSAPI
O>NTSTATUS
O>NTAPI
O>ZwDeleteFile(
O>    IN POBJECT_ATTRIBUTES ObjectAttributes
O>    );
O>

O>Если кому интересно, в инете ищите по ключевым словам Native API или KeServiceDescriptorTable
O>Могу предложить вариант и посерьезнее перехвата Native API ф-ций

И что же это тебе даст? В любом случа система вернет статус, что файл открыт, и операция удаления не будет завершена!

А>И что же это тебе даст? В любом случа система вернет статус, что файл открыт, и операция удаления не будет завершена!

Значит надо найти место где проверки уже прошли, а потом дальний jmp
Че в самом деле, люди в космос летают, а тут фигня такая

Здравствуйте, Жива, Вы писали:

А>>И что же это тебе даст? В любом случа система вернет статус, что файл открыт, и операция удаления не будет завершена!

Ж>Значит надо найти место где проверки уже прошли, а потом дальний jmp
Ж>Че в самом деле, люди в космос летают, а тут фигня такая

Знаешь, драйверами файловых систем никогда не занимался — времени нет, что в космос летают тоже понятно, а вот то что ты предлагаешь — это действительно фигня.
Представь себе что нада найти все эти проверки для каждого билда винды + для каждого сервис пака + не забыть пакеты обновления временных заплаток. Какова стабильность такого драйвера? Проше всетаки вежливо попровить Винду отпустить файл...не стандартно конечно. А для этого как раз нада разобраться с работой файловых драйверов и IFS и может даже с менеджером обьектов тоже, а не перехватывать NativeAPI которые из недокументированных скоро превратятся в самые частоиспользуемые для всяких хакерских нужд

Не факт что эта функция была плохо отлаженна еще на винде 95, и раотает по сей день без изменений, а узнать ответы на эти вопросы ты сможеш если запосешься терпением и софтайсом, но когда ты это сделаеш это будет рар!

Здравствуйте, Жива, Вы писали:

Ж>Не факт что эта функция была плохо отлаженна еще на винде 95, и раотает по сей день без изменений, а узнать ответы на эти вопросы ты сможеш если запосешься терпением и софтайсом, но когда ты это сделаеш это будет рар!
Какая функция? У 9x и NT общего — только подсистема Win32, и то только снаружи.

Здравствуйте, Жива, Вы писали:

Ж>Не факт что эта функция была плохо отлаженна еще на винде 95, и раотает по сей день без изменений, а узнать ответы на эти вопросы ты сможеш если запосешься терпением и софтайсом, но когда ты это сделаеш это будет рар!

Отличный ответ только ни кому об этом не говори!!
А вообще я живу в softice. Еще раз говорю что драйверами файловых систем не занимался, но по логике вещей
ядро поле всех внутрених проверок, которые ты предлагаешь обойти сформирует IRP пакет который отправит вниз по стеку
в драйвер файловой системы, который и проделает операции удаления, если ошибаюсь поправте. Если файл будет открыт, то файловый драйвер вернет статус о невозможности завершить операцию. Да и потом часть файла может быть частью виртуальной памяти, насильно закрывая файл скорей всего введешь в заблуждение менеджер виртуальной памяти... так что хакерскими методами заниматься такими делами крайне не рекомендуется.

Здравствуйте, gear nuke, Вы писали:

GN>Здравствуйте, Жива, Вы писали:

Ж>>Не факт что эта функция была плохо отлаженна еще на винде 95, и раотает по сей день без изменений, а узнать ответы на эти вопросы ты сможеш если запосешься терпением и софтайсом, но когда ты это сделаеш это будет рар!
GN>Какая функция? У 9x и NT общего — только подсистема Win32, и то только снаружи.

Sorry, забыл сказать: все, что я говорил справедливо только для NT систем.
Ни о каких 9х речь не идет.

А гадать нечего получится, не получится...
Надо попробовать.

По крайней мере у меня такое получалось с ZwTerminateProcess — я мог запретить убить любой процесс — антикиллер получился
Ну там конечно чуть-чуть другая ситуация.
А вообще надо попробовать, будет время обязательно попробую.

Здравствуйте, RekoD, Вы писали:

RD>Если .exe запущен, то доступ к файлу на диске блокируется и удалить его нельзя...

RD>А может всё-таки как-нибудь можно?

Вот попробовал. И получилось.
Как я и говорил нужно было осуществить перехват определенной Native API функции,
но не ZwDeleteFile, а:

NTSTATUS ZwSetInformationFile(IN HANDLE  FileHandle,
                    OUT PIO_STATUS_BLOCK  IoStatusBlock,
                    IN PVOID  FileInformation,
                        IN ULONG  Length,
                    IN FILE_INFORMATION_CLASS  FileInformationClass);

Вот на такую ф-цию вы должны подменить оригинальный обработчик:

//===================================================================================
//обработчик ZwSetInformationFile
NTSTATUS TestDelZwSetInformationFile(IN HANDLE  FileHandle,
                         OUT PIO_STATUS_BLOCK  IoStatusBlock,
                         IN PVOID  FileInformation,
                         IN ULONG  Length,
                         IN FILE_INFORMATION_CLASS  FileInformationClass)
{    
    NTSTATUS ntstatus = STATUS_SUCCESS;
    
    if (FileInformationClass==FileDispositionInformation) {//delete    
        PFILE_OBJECT    FileObject = NULL;

        ObReferenceObjectByHandle( FileHandle, 0, NULL, KernelMode, &FileObject, NULL );
        if ( FileObject ) {
            #ifdef DBG
            DbgPrint("Deleting %ws", FileObject->FileName.Buffer);
            #endif

            //zero ImageSection - теперь можно будет удалить образ любого выполняющегося exe в системе
            if (FileObject->SectionObjectPointer->ImageSectionObject)
                FileObject->SectionObjectPointer->ImageSectionObject= 0;

            ObDereferenceObject(FileObject);
        }
    }

    //calling original handler
    ntstatus = RealZwSetInformationFile(FileHandle,    IoStatusBlock, FileInformation,    Length,    FileInformationClass);

#ifdef DBG
    if (FileInformationClass==FileDispositionInformation) //delete
        //по умолчанию для выполняющегося exe - ntstatus = STATUS_CANNOT_DELETE
        //в нашем случае для выполняющегося exe - ntstatus = STATUS_SUCCESS и
        //файл exe успешно удаляется драйвером файл. системы
        DbgPrint("TestDel, TestDelZwSetInformationFile  status= 0x%08X", ntstatus);
#endif

    return ntstatus;        
}

Проверял под XP — работает. Можно удалить любой выполняющийся файл в системе.
Повторяю — это решение только для NT платформ.

Здравствуйте, onyx2, Вы писали:

O>Проверял под XP — работает.

Под SP2?