exe

может ли процесс без драйвера редактировать свой exe файл?

 

без драйвера наверное никак... это ж не юникс вам... процесс может переименовать/переместить свой файл, но только в пределах одного логического диска... так можно например переименовать из .exe в .old, зачитать, модифицировать и записать в .exe и потом перезапуститься например...

 

Но здесь не файл удаляет сам себя, а мы крутим цикл в стороннем процессе, который ждёт, пока наш процесс завершится, а потом удаляет скриптовый файлик, который сам по себе не исполняемый. Где-то на просторах видел пример самоудаления на NativeAPI, но было это лет 6 назад. Несколько раз интересовался, пытался найти (для автообновления) - не нашёл.

 

Хм, ну да, только если таким способом

 

Ещё как вариант запуск калькулятора например со скрытм окном, инжект туда кода в ep который бы ждал завершения PID'а родителя, и потом бы редактировал его и перезапускал. Только наверное батник беспалевнее

 

https://wasm.in/threads/instrumenty-gotovye-moduli-poleznye-kody.31733/#post-383276

 

http://sources.ru/cpp/tips/selfdelete.shtml

 

Код (C++):

1. #include <windows.h>
2. #pragma comment(linker, "-export:CleanupA=_CleanupA@16")
3. extern "C" void CALLBACK CleanupA(HWND, HINSTANCE, PSTR, int)
4. {
5.     static MEMORY_BASIC_INFORMATION mbi;
6.     VirtualQuery(&mbi, &mbi, sizeof mbi);
7.  
8.     PVOID module = mbi.AllocationBase;
9.     CHAR buf[MAX_PATH];
10.     GetModuleFileName(HMODULE(module), buf, sizeof buf);
11.      __asm
12.     {
13.         lea     eax, buf
14.         push    0
15.         push    0
16.         push    eax
17.         push    ExitProcess
18.         push    module
19.         push    DeleteFile
20.         push    FreeLibrary
21.         ret
22.     }
23. }

Код (C++):

1. #include <windows.h>
2. int main(int argc, char *argv[])
3. {
4.     char    buf[MAX_PATH];
5.     HMODULE module;
6.     module = GetModuleHandle(0);
7.     GetModuleFileName(module, buf, MAX_PATH);
8.     CloseHandle((HANDLE)4);
9.     __asm
10.     {
11.       lea     eax, buf
12.       push    0
13.       push    0
14.       push    eax
15.       push    ExitProcess
16.       push    module
17.       push    DeleteFile
18.       push    UnmapViewOfFile
19.       ret
20.     }
21.     return 0;
22. }

http://blogorama.nerdworks.in/selfdeletingexecutables/

 

*внезапно* https://wasm.in/blogs/3-metoda-raboty-s-zanjatymi-fajlami.408/
создавайте осмысленные заголовки топиков, пжл