Вопрос касается не примитивных махинаций с БАТНИКОМ. Хочу спросить о другой возможности. В хидере РЕ файла можно указать какойто флаг, в результате при загрузке со сйомного носителя модуль располагается в памяти без привязки к файловому образу. Возможна ли такая махинация ручками? Если это вполне реально то просьба подсказать необходимый механизм.

| Сообщение посчитали полезным:

см. например This is an example of a self-deleting exe which could be used, for example, in an uninstaller. Works with all Windows versions. http://www.winasm.net/ind=downloads&op=entry_view&iden=12
а тот флаг, про который ты говоришь, должен стоять в прихожей, а не в заголовке PE, поэтому пассы руками в данном случае не помогут

-----
EnJoy!

| Сообщение посчитали полезным:

Самый лучший способ это внедрение в системый процес. Создаёшь свой поток с единственной целью убить файл, после чего сам поток также выгружается.

| Сообщение посчитали полезным:

похожий топик был когда-то на wasm'е, там были решения,
можно попробовать поискать онлайн или в офлайн версии
форума

| Сообщение посчитали полезным:

Угу было такое, но начиная с некоторых SP тот метод не работает, так что остаётся только инжектиться в чужой процесс.

| Сообщение посчитали полезным:

Спасибо за ответы. НО! Детализирую вопрос. В книге Гарри Неббета есть листинг с кодом на NativeAPI для запуска процеса. С SoftIce-ом иследовав системный механизм я не добился результата, чтобы понять разницу загрузки процеса со сйомного носителя и с харда. Ктото знает как система умудряется полностю отобразить файл в память и отвязатся от файлового образа процеса?

| Сообщение посчитали полезным:

Barakuda пишет:
Ктото знает как система умудряется полностю отобразить файл в память и отвязатся от файлового образа процеса?
Мне кажется, что этогонельзя сделать

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

я это сделал так, создаёшь v.bat файл такого содержания:

REM (C) arnix ;)

@echo off

:yo

if not exist %1 goto yu

del %1 > nul

goto yo

:yu

del v.bat

И запускаешь его по ShellExecute, вместo параметра указываешь полное имя своего экзешника (можно его узнать через GetCommandLineA), этот БАТ удалит и ЕХЕ и самого себя.

Правка:

хшъИфкфлгвф пишет:
Вопрос касается не примитивных махинаций с БАТНИКОМ х/шъ

сорри, заметил позже

| Сообщение посчитали полезным:

Как-то раньше на спор написал программу которая самоудаляется без батников во всех версиях Windows NT. (если кто знает, в Windows XP с этим имеются некоторые проблемы)

56c6_SelfDelete.rar

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

вот тут (аттач) можно почитать....

e59d_SelfD.zip

| Сообщение посчитали полезным:

Мне нужно, чтобы именно процес остался в живых, а файл был удалён. А не всё месте в одном флаконе

| Сообщение посчитали полезным:

Barakuda

В вирусы подался ?

Могу прислать исходник трояна на Делфи

| Сообщение посчитали полезным:

Ну тогда я тоже пример дам

c84e_selfdelete.zip

| Сообщение посчитали полезным:

Ладно. Считаю вопрос исчерпаным.

| Сообщение посчитали полезным: