自删除在攻防中都挺常见的,自写远控通常也有需要。可是在度娘里搜不到什么办法,于是就查查Windows api学习记录一回。
linux
先获得当前程序的文件名,再使用syscall这个包中的Unlink调用系统来删除一个目录或者文件的链接,链接没了也就删除完成了。
fileName, _ := os.Executable()
syscall.Unlink(fileName)
但更好的还是直接使用os的Remove,他已经封装好了syscall.Unlink,更加方便。
Windows
MoveFileExW
他接收三个参数:当前程序的文件名指针,0(表示不移动或重命名文件),和0x00000004(表示在下次启动时删除文件)。这里用字节数组来调用函数能规避静态检查,但为了方便后面的就直接用字符串了。
package main
import (
"fmt"
"os"
"syscall"
"unsafe"
)
const (
FILE_FLAG_DELETE_ON_CLOSE = 0x00000004
DELETE = 0x00010000
)
func SelfDelete() {
moveFileEx := syscall.NewLazyDLL(string([]byte{
'k', 'e', 'r', 'n', 'e', 'l', '3', '2', '.', 'd', 'l', 'l',
})).NewProc(string([]byte{
'M', 'o', 'v', 'e', 'F', 'i', 'l', 'e', 'E', 'x', 'W',
}))
fileName, _ := os.Executable()
fileNamePtr, _ := syscall.UTF16PtrFromString(fileName)
moveFileEx.Call(uintptr(unsafe.Pointer(fileNamePtr)), 0, FILE_FLAG_DELETE_ON_CLOSE)
}
func main() {
fmt.Println("Hello, world!")
SelfDelete()
}
CreateFileW
这个函数创建或打开一个文件的时候会返回一个句柄,如果在这个时候去指定FILE_FLAG_DELETE_ON_CLOSE标志位,那当这个句柄关闭时文件会被删除。如下使用:
func SelfDelete() {
kernel32 := syscall.NewLazyDLL("kernel32.dll")
createFile := kernel32.NewProc("CreateFileW")
closeHandle := kernel32.NewProc("CloseHandle")
fileName, _ := os.Executable()
fileNamePtr, _ := syscall.UTF16PtrFromString(fileName)
hFile, _, _ := createFile.Call(
uintptr(unsafe.Pointer(fileNamePtr)),
uintptr(syscall.GENERIC_READ|syscall.DELETE),
0,
0,
uintptr(syscall.OPEN_EXISTING),
uintptr(syscall.FILE_FLAG_DELETE_ON_CLOSE),
0,
)
closeHandle.Call(hFile)
}
DeleteFileW
这个函数就可以删除一个已存在的文件。类似于MoveFileExW函数,不过他是在文件的最后一个句柄关闭时删除文件。例如:
func SelfDelete() {
kernel32 := syscall.NewLazyDLL("kernel32.dll")
deleteFile := kernel32.NewProc("DeleteFileW")
fileName, _ := os.Executable()
fileNamePtr, _ := syscall.UTF16PtrFromString(fileName)
deleteFile.Call(uintptr(unsafe.Pointer(fileNamePtr)))
}
效果
按道理虚拟机环境中的一些其他因素影响会少很多,但是我试的时候,编译三个可执行文件,并以普通权限执行时重启之后都没有自删除,而当我用管理员权限去执行再重启的时候只有使用了MoveFileExW自删除了。不太清楚另外两种是为什么