 Autor
|
Tema: [AYUDA] Borrar archivo en uso (Leído 7,018 veces)
|
Eternal Idol
Kernel coder
Moderador
 Desconectado
Mensajes: 5.958
Israel nunca torturó niños, ni lo volverá a hacer.
|
Una vez cerrado el handle no lo puedo borrar desde Windows, inclusive con el Unlocker, porque me muestra en AMBOS que el archivo ya no tiene un handle abierto, pero no se puede eliminar a mano, y para eliminarlo tengo que usar el unlocker con la accion delete, asumo que ahí se usa el driver del unlocker, ya que ambos pueden cerrar el handle y no se puede eliminar a mano. (programación o windows)
¿Ejecutaste el cmd como administrador y probaste a borrar asi? Otra razon posible: el archivo es de solo lectura. Si es el caso podes usar SetFileAttributes con FILE_ATTRIBUTE_NORMAL para solucionarlo y despues borrar.
|
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
|
|
|
Miseryk
Desconectado
Mensajes: 225
SI.NU.SA U.GU.DE (2NE1 - D-Unit)
|
¿Ejecutaste el cmd como administrador y probaste a borrar asi? Otra razon posible: el archivo es de solo lectura. Si es el caso podes usar SetFileAttributes con FILE_ATTRIBUTE_NORMAL para solucionarlo y despues borrar. Estuve viendo con el programa Process Explorer y no me parece más el handle, pero me aparece ésto: PROCESS PID Type Name EXCEL.EXE 5080 DLL C:\WORD.xls
|
|
|
|
|
En línea
|
Can you see it?
The worst is over
The monsters in my head are scared of love
Fallen people listen up! It’s never too late to change our luck
So, don’t let them steal your light
Don’t let them break your stride
There is light on the other side
And you’ll see all the raindrops falling behind
Make it out tonight
it’s a revolution
CL!!!
|
|
|
Eternal Idol
Kernel coder
Moderador
Desconectado
Mensajes: 5.958
Israel nunca torturó niños, ni lo volverá a hacer.
|
¿Comprobaste lo que te dije? ¿Que Windows y Office usas? Con Windows 7 x64 y Office 2013 no reproduzco el problema ...
|
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
|
|
|
Miseryk
Desconectado
Mensajes: 225
SI.NU.SA U.GU.DE (2NE1 - D-Unit)
|
Bueno agrupé todo lo que hice y lo tengo acá: https://drive.google.com/file/d/0B_8uzBfhUWBZc2JndWFKYmlWOTQ/edit?usp=sharingArchivo->Descargar Dejé un Readme Steps.txt que dice paso por paso para llegar al mismo problema en el que estoy actualmente. PD: no hace falta compilar ni algo parecido. PD2: está en inglés porque también lo postié en hackhound Edit: Sry, cuando lo abrí desde acá me decía lo de la licencia del OCX, ya está patched. Edit2: mantengo actualizado el proyecto desde ese mismo enlace. |
|
|
|
« Última modificación: 17 Abril 2014, 01:11 am por Miseryk »
|
En línea
|
Can you see it?
The worst is over
The monsters in my head are scared of love
Fallen people listen up! It’s never too late to change our luck
So, don’t let them steal your light
Don’t let them break your stride
There is light on the other side
And you’ll see all the raindrops falling behind
Make it out tonight
it’s a revolution
CL!!!
|
|
|
Eternal Idol
Kernel coder
Moderador
Desconectado
Mensajes: 5.958
Israel nunca torturó niños, ni lo volverá a hacer.
|
Es un archivo mappeado en memoria, no una DLL, asi que tenes que encontrar el HANDLE a su section y cerrarlo (ademas de usar UnmapViewOfFile con la direccion mappeada). ¿Como hacerlo desde modo Usuario? Yo crearia un hilo remoto, trataria de encontrar el HANDLE al objeto section que corresponde a la memoria mappeada (con ZwQuerySection y SectionBasicInformation), lo cerraria y finalmente llamaria a UnmapViewOfFile.
|
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
|
|
|
Miseryk
Desconectado
Mensajes: 225
SI.NU.SA U.GU.DE (2NE1 - D-Unit)
|
Nuevas noticias, estuve buscando y encontré lo siguiente:
Con Process Explorer encontré C:\WORD.xls como ésto:
Process PID Type Name
EXCEL.EXE 12776 DLL C:\WORD.xls
Traté de EyectarDll con ese nombre pero no funcionó.
Fui a las propiedades:
Load Address: 0x06510000
Mapped Size: 0x19D000 bytes
Mapping Type: Data
Entonces fui al CheatEngine:
Attach
Memory Viewer
View -> Memory Regions (Crtl+R)
I encontré ésto:
Address Allocation Protect State Protect Type Size Extra
06510000 Read+Write Commit Read+Write Mapped 100000 \Device\Harddisk\Volume2\WORD.xls
06610000 Read+Write Reserve Mapped 9D00 \Device\Harddisk\Volume2\WORD.xls
066AD000 Free No Access - 3000
|
|
|
|
« Última modificación: 17 Abril 2014, 04:26 am por Miseryk »
|
En línea
|
Can you see it?
The worst is over
The monsters in my head are scared of love
Fallen people listen up! It’s never too late to change our luck
So, don’t let them steal your light
Don’t let them break your stride
There is light on the other side
And you’ll see all the raindrops falling behind
Make it out tonight
it’s a revolution
CL!!!
|
|
|
Eternal Idol
Kernel coder
Moderador
Desconectado
Mensajes: 5.958
Israel nunca torturó niños, ni lo volverá a hacer.
|
¿Noticias? Ya te dije que no es una DLL y que tenes que hacer, no es tan sencillo, suerte con eso.
|
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
|
|
|
|
 |
