Как удалить исполняемый файл windows

Мне необходимо удалить exe файл после того, как он запустился, чтобы его невозможно было анализировать (если, конечно, пропустить возможность дампа).
Есть пару известных мне методов это сделать, но они очень костыльные:

1. Вытащить флешку после запуска программы. Она продолжит работать, но образа уже нигде не будет (что может вызвать runtime ошибку при запросе, например, к ресурсам, но это не важно).
2. Создавать виртуальный диск и отключать его когда программа с него будет запущена (делает практически то же самое, что и метод 1.

Так как же нормально удалить exe во время исполнения? Может быть, работа с дисками на физическом уровне?

Вообще-то Windows блокирует файлы во время исполнения или чтения\записи. Можно, конечно, попробовать обойти это методами, которые используются вирусами, но, думаю, что антивирус быстро зарубит такой беспредел. Думаю, лучшим вариантом для вас будет поставить скрипт удаления после завершения.

Это не отвечает на вопрос, но это максимум, чем владею.

http://web.archive.org/web/20160308234918/http://www.catch22.net/tuts/self-deleting-executables

Самое простое решение из статьи основано на том факте, что bat-файл может удалить сам себя:
del %0 или del %0.bat сохранили в блокноте, затем запустили.

Из личного опыта добавлю (не связано с вышеприведённой статьёй):
Программа WinHEX позволяет заменять любые байты на носителе, не важно, файл не файл, запущен не запущен, Вы можете использовать знания о файловой системе, чтобы в разделе устройства найти исполняемый модуль и убрать его из файловой системы путём перезаписи этих байт.
Но неизвестны способы достижения таких действий программой WinHEX.
Таким же способом, Вы также можете находясь в среде Windows, прочитать системные файлы, хранящие пароли. Это можно сделать с помощью одной из утилит восстановления удалённых файлов. Когда Вы просите восстановить файл, который существует (например, хранящий пароли и заблокированный операционной системой), она скопирует его содержимое туда, куда пожелаете.

ответ дан 19 янв 2018 в 3:03

Есть 1 очень сложный вариант для винды: 1. Создаём файл 2.exe он

1) создаёт область с ассемблерным кодом(VirtualAlloc на адрес 0x20000 например и ещё на 0x410000(для 1.exe))

2) считывает 1.exe в 0x410000 единым блоком

3) создаёт область с ассемблерным кодом(на адрес 0x20000 например)

4) переходит на ассемблер очищает все ассемблерные стеки и делает jmp 0x20000

5) ассемблерный код стирает из памяти 2.exe (тоже винапи упр. виртуальной памятью)

6) записывает туда же(откуда стёр 2.exe) 1.exe из памяти 0x410000 и jmp на этот код но тут не знаю сработает ли

можно попробовать скомпилить как-то по особому сам файл 1.exe как длл например и подгрузить в память процесса. Вобщем стоит покопать про вирт. память. Наверняка если удалить проецируемый exe и закрыть дескриптор(ы) файла то можно будет и файл стереть(тогда 2.exe ненужен вообще). Тестить надо.

Я не пишу вирус

Хорошо назовём это тестировщик уязвимостей Windows.

ответ дан 20 янв 2018 в 10:33

ответ дан 20 янв 2018 в 0:31

ответ дан 25 янв 2018 в 0:07

Мне необходимо удалить exe файл после того, как он запустился, чтобы его невозможно было анализировать (если, конечно, пропустить возможность дампа).
Есть пару известных мне методов это сделать, но они очень костыльные:

1. Вытащить флешку после запуска программы. Она продолжит работать, но образа уже нигде не будет (что может вызвать runtime ошибку при запросе, например, к ресурсам, но это не важно).
2. Создавать виртуальный диск и отключать его когда программа с него будет запущена (делает практически то же самое, что и метод 1.

Так как же нормально удалить exe во время исполнения? Может быть, работа с дисками на физическом уровне?

Вообще-то Windows блокирует файлы во время исполнения или чтения\записи. Можно, конечно, попробовать обойти это методами, которые используются вирусами, но, думаю, что антивирус быстро зарубит такой беспредел. Думаю, лучшим вариантом для вас будет поставить скрипт удаления после завершения.

Это не отвечает на вопрос, но это максимум, чем владею.

http://web.archive.org/web/20160308234918/http://www.catch22.net/tuts/self-deleting-executables

Самое простое решение из статьи основано на том факте, что bat-файл может удалить сам себя:
del %0 или del %0.bat сохранили в блокноте, затем запустили.

Из личного опыта добавлю (не связано с вышеприведённой статьёй):
Программа WinHEX позволяет заменять любые байты на носителе, не важно, файл не файл, запущен не запущен, Вы можете использовать знания о файловой системе, чтобы в разделе устройства найти исполняемый модуль и убрать его из файловой системы путём перезаписи этих байт.
Но неизвестны способы достижения таких действий программой WinHEX.
Таким же способом, Вы также можете находясь в среде Windows, прочитать системные файлы, хранящие пароли. Это можно сделать с помощью одной из утилит восстановления удалённых файлов. Когда Вы просите восстановить файл, который существует (например, хранящий пароли и заблокированный операционной системой), она скопирует его содержимое туда, куда пожелаете.

ответ дан 19 янв 2018 в 3:03

Есть 1 очень сложный вариант для винды: 1. Создаём файл 2.exe он

1) создаёт область с ассемблерным кодом(VirtualAlloc на адрес 0x20000 например и ещё на 0x410000(для 1.exe))

2) считывает 1.exe в 0x410000 единым блоком

3) создаёт область с ассемблерным кодом(на адрес 0x20000 например)

4) переходит на ассемблер очищает все ассемблерные стеки и делает jmp 0x20000

5) ассемблерный код стирает из памяти 2.exe (тоже винапи упр. виртуальной памятью)

6) записывает туда же(откуда стёр 2.exe) 1.exe из памяти 0x410000 и jmp на этот код но тут не знаю сработает ли

можно попробовать скомпилить как-то по особому сам файл 1.exe как длл например и подгрузить в память процесса. Вобщем стоит покопать про вирт. память. Наверняка если удалить проецируемый exe и закрыть дескриптор(ы) файла то можно будет и файл стереть(тогда 2.exe ненужен вообще). Тестить надо.

Я не пишу вирус

Хорошо назовём это тестировщик уязвимостей Windows.

ответ дан 20 янв 2018 в 10:33

ответ дан 20 янв 2018 в 0:31

ответ дан 25 янв 2018 в 0:07

Is there any way that a running process can delete its own executable?

For example, I make a console application (single exe) and after doing some tasks it somehow deletes the exe file.

I have to send a single file to someone. And I want it deleted after it does its intended task.

Is there anyway to do it in Windows

asked Oct 22, 2009 at 9:49

Alex ReitbortAlex Reitbort

13.5k1 gold badge41 silver badges62 bronze badges

You can run another application, which would wait for parent process to terminate, and then delete its executable.

While it’s not possible to self delete a file when it’s running it is possible to launch a detached cmd command from the file, then end the file operation before the command executes.
So, if you want to delete a bat file you can just add at the end of the file the line:
start cmd /c del %0
and the file would self destruct.

The start cmd will start a new cmd window (detached from your main process).
The /c tells the windows to execute whatever comes after the /c in the line.
Then the del will delete the file at the path it is given.
The parameter $0 refers to the first command line argument which is usually the name and path to the file that was executed, which is what we want.
(the $0 parameter is the path to the file, you want to pass that to the del command).

answered Oct 9, 2018 at 7:05

Until that exe is in memory, it will not be able to delete itself. However, it can register with the system a task for deleting itself after a set time period of gap when it would be expected to be completing its execution.

I solved this problem (using Visual Basic) by creating a batchfile that is executed while the process is still running, waits 1sec so the program can close itself and than deletes the program.

You might need to modify it for this will delete every thing in the same folder. After your task just call del() and it should work.

 Sub del()
    Dim file As System.IO.StreamWriter
    file = My.Computer.FileSystem.OpenTextFileWriter("del.bat", True)
    file.WriteLine("")
    file.WriteLine("timeout 1")
    file.WriteLine("echo Y | del *.*")
    file.Close()
    Process.Start("del.bat")
    Me.Close()
End Sub

I couldn’t find any solutions anywhere else so I’ll post my fix here.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char* argv[])
{
    char* process_name = argv[0];
    char command[256] = "start /min cmd /c del ";
    strcat(command, process_name);

    printf("Attempting to delete self...\n");

    system(command);
    return 0;
}

Normally, trying to use system to call the command prompt to delete an executable would not work because the command prompt that is spawned is a child process that system executes and waits for a return status.

This method calls the system to start a command prompt process on its own thread.

The /min argument starts the process as «hidden».
The /c argument supplies arguments to the spawned command prompt.

I know this is an old thread, but I hopes those that come here in the future.

answered Mar 28, 2021 at 23:32