电脑自毁程序启动后还修的回来吗

电脑自毁程序启动后还修的回来吗

所谓的自毁程序也就是一个自动破坏系统重要文件的程序，启动后如果还没有执行的话，是可以终止的，如果已经执行了，那么只能重做系统了

自毁程序是一些电脑高手编写的可执行代码，没有现成的。我给个代码你看一下，如果你能看懂就可以用了。面的代码由gary nebbett写就.gary nebbett乃是windows nt/2000 native api reference的作者.乃nt系统一等一的高手.下面就分析一些他的这段代码. 这段代码在process没有结束前就将启动process的exe文件删除了. int main(int argc, char *argv[]) { hmodule module = getmodulehandle(0); char buf[max_path]; getmodulefilename(module, buf, sizeof buf); closehandle(handle(4)); __asm { lea eax, buf push 0 push 0 push eax push exitprocess push module push deletefile push unmapviewoffile ret } return 0; } 现在,我们先看一下堆栈中的东西 偏移 内容 24 0 20 0 16 offset buf 12 address of exitprocess 8 module 4 address of deletefile 0 address of unmapviewoffile 调用ret返回到了unmapviewoffile,也就是栈里的偏移0所指的地方.当进入unmapviewoffile的流程时,栈里见到的是返回地址deletefile和hmodul module.也就是说调用完毕后返回到了deletefile的入口地址.当返回到deletefile时,看到了exitprocess的地址,也就是返回地址.和参数eax,而eax则是buffer.buffer存的是exe的文件名.由getmodulefilename(module, buf, sizeof buf)返回得到.执行了deletefile后,就返回到了exitprocess的函数入口.并且参数为0而返回地址也是0.0是个非法地址.如果返回到地址0则会出错.而调用exitprocess则应该不会返回. 这段代码的精妙之处在于: 1.如果有文件的handle打开,文件删除就会失败,所以,closehandle(handle(4));是十分巧妙的一手.handle4是os的硬编码,对应于exe的image.在缺省情况下,os假定没有任何调用会关闭image section的handle,而现在,该handle被关闭了.删除文件就解除了文件对应的一个句柄. 2.由于unmapviewoffile解除了另外一个对应image的handle,而且解除了image在内存的映射.所以,后面的任何代码都不可以引用image映射地址内的任何代码.否则就os会报错.而现在的代码在unmapviewoffile后则刚好没有引用到任何image内的代码. 3.在exitprocess之前,exe文件就被删除了.也就是说,进程尚在,而主线程所在的exe文件已经没了.(winnt/9x都保护这些被映射到内存的win32 image不被删除.)