Windows重启延迟删除,重命名技术原理

恶意代码

刚刚在网上看的，也许对某些卡友有用，发上来分享




所谓重启延迟删除技术,就是在操作系统启动前删除或者替换文件!
说起重启延迟删除，大家可能都很陌生，但是实际上，该功能已经被各种软件所采用：如安装Windows 补丁程序（如：HotFix、Service Pack）、安装Office 补丁程序、反病毒软件的的清除、软件的升级,文件强制删除工具软件等等等等……
本文将首先介绍延迟删除/重命名的工作机制，然后介绍如何使用这个功能维护你的系统。
一、 什么是重启延迟删除/重命名
很多人可能都碰到过下面的一种情形：在安装某个软件的时候，安装程序正在初始化，突然，安装程序弹出一个类似于下面所描述的警告提示：发现有重启操作没有完成，在重启系统之前安装过程不能继续。然后安装程序自动退出。这类提示最常发生在安装Microsoft SQL Server 的时候。之所以出现这种提示，是因为安装程序检测到了有未完成的重启。那么安装程序是如何发现有未完成的重启呢？这就是本文的要点所在：Windows 2000/XP/Server 2003 的延迟删除/重命名功能。对于软件开发人员来说，Windows 2000/XP/Server 2003 的延迟删除/重命名功能并不是什么新鲜玩意，但是其实行的机制倒很少有人会关注。本文不想过多地涉及Windows 内
部的实现机制，但是仅从一个侧面简单的描述一下Windows 2000/XP/Server 2003 的延迟删除/重命名功能的原理和适用范围。对于Windows 操作系统而言，要想成功的删除一个文件或重命名一个文件，需要满足一个条件：文件不能被占用。可是有的时候，要删除/重命名的文件总是被某个进程占用着，这样一来操作者就无法对这个文件进行删除和重命名。要解决这个问题，微软在Windows操作系统里面提出了一个延迟删除/重命名的功能。需要说明的是，这个功能不仅存在于Windows 2000/XP/Server 2003 操作系统里面，对于Windows 9X，这个功能也是存在的。只不过本文的重点在于介绍延迟删除的故事



延迟删除/重命名的基本实现原理是这样的：
1. 如果有任何应用程序需要使用延迟删除/重命名功能，那么该应用程序会使用一个
特殊的参数MOVEFILE_DELAY_UNTIL_REBOOT 来命令Win32 API 函数
MoveFileEx()在系统里面注册一个延迟删除/重命名操作。注册的记录放在注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\PendingFileRenameOperations 和PendingFileRenameOperations2
键值下面。该键值是一个REG_MULTI_SZ 类型的键值，注册表编辑器无法直接
编辑这种类型的键值。
警告！不要使用注册表编辑器直接编辑这个键值，这样会造成系统无法判定是
该执行延迟删除操作还是延迟重命名操作。
2. 操作系统在下次启动的时候，由smss.exe 对上述的注册表键值进行读取分析并
完成相应的操作。需要注意的是，在执行延迟操作的时候，Win32 子系统并没有
启动，也就是说延迟操作是在没有Win32 子系统干扰的情形下完成的。这样设计
的一个最大好处就是可以替换任何受Win32 子系统保护的文件。
3. 如果上述键值指定了一个文件需要被删除，那么smss.exe 将执行删除操作，如
果指定的是重命名操作，那么smss.exe 执行的是重命名操作。
注意！如果执行重命名操作的时候，和新文件名同名的文件存在，那么原有的文
件将被覆盖掉。例如：假设有一个文件C:\1.DLL 存在，而延迟重命名里面的记
录是把C:\2.DLL 改名为C:\1.DLL，那么原来的C:\1.DLL 将被C:\2.DLL 覆盖掉。
4. 当所有的记录完成以后，系统自动把上述的注册表键值删除掉，不会存留任何痕
迹的。现在说说软件开发人员是如何使用这个功能的。以安装Windows Service Pack 为例。在Service Pack 安装完成以后，安装程序肯定会提示用户重新启动。其实，重新启动的过程就是一个执行延迟删除/重命名的过程。由于在安装Service Pack 的时候，很多文件不能够被新版本的文件替换，如果碰到这个情况，安装程序将会把新版本文件改名并放到和旧版本文件同样的目录下面，然后在系统里面注册一个延迟重命名操作。系统在下次启动的时候，将执行这个延迟重命名操作以便让旧版本文件被新版本文件替换掉从而完成Service Pack 的安装。
对于延迟删除来说，和延迟重命名类似。如果发现有一个文件不能够被立即删除，则
软件会注册一个延迟删除，让操作系统在下次启动的时候自动把文件删除掉。

对于延迟删除/重命名功能来说，软件开发人员把这个功能用于以下方面：
􀁺 新版本文件的替换
􀁺 删除不能立即删除的文件
对于一般用户而言，什么时候需要这个功能呢？
􀁺 无法重命名一个总是被某个进程占用的文件
􀁺 无法删除一个文件。特别是要删除一个计算机病毒体文件的时候。
以上两种情况都可以使用延迟操作，让操作系统按照你的设想完成你需要的操作。
回过头说说安装程序是如何发现由未完成的重启的。由于延迟操作是记录在注册表特
定键值下的，因此只需要检测特定的键值就可以发现有未完成的重启操作。

大家都知道有些删除软件为什么说:文件无法删除,重启删除了吧!,还可以用来替换系统文件哦!







转自：http://hi.baidu.com/cndate/blog/ ... 4c8df29152ee41.html


延迟删除、替换用的同一个API，但延迟替换是无法跨分区进行的（也就是不能把A分区的文件替换成B分区的文件）

延迟删除、替换还牵涉到一个注册表值的修改，否则某些受保护的系统文件是无法达到目的的

[ 本帖最后由 恶意代码 于 2009-6-16 20:43 编辑 ]

pluto1313

原文的作者是Smallfrogs，也就是SREng的作者，微软MVP

补充一点点细节（原文未提及，因为原文说的是故事不是细节，呵呵）：
延迟删除、替换用的同一个API，但延迟替换是无法跨分区进行的（也就是不能把A分区的文件替换成B分区的文件）

延迟删除、替换还牵涉到一个注册表值的修改，否则某些受保护的系统文件是无法达到目的的

[ 本帖最后由 pluto1313 于 2009-6-16 20:40 编辑 ]

恶意代码

谢谢 pluto1313 的补充
这篇文章是百度一下找到的
‘重启删除技术’
学习了

dl123100

现在不怎么有用了 优先级不够
还是DOS、PE删除和修改BootExecute运行native application比较有效
我用延迟删除替换感染的系统文件多数情况下会失败

至于注册表编辑器直接编辑 如果知道格式的话 是可以编辑的

顺便提一下替换系统文件需要添加的键值：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"AllowProtectedRenames"=dword:00000001

[ 本帖最后由 dl123100 于 2009-6-16 21:43 编辑 ]

0往事随风0

很强大啊，学习了

SONGLEI

学习了

最爱的人

病毒也可以利用

yicong135

以前老师提过一点
现在终于清楚了

springchina

这个以前观摩过，但是说实话也仅仅是观摩一下