» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 微软的延时删除技术　作者:X-Force   作者: 标题: 微软的延时删除技术　作者:X-Force 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #1  微软的延时删除技术　作者:X-Force 说起延迟删除，大家可能都很陌生，但是实际上，该功能已经被各种软件所采用：如安装Windows 补丁程序（如：HotFix、Service Pack）、安装Office 补丁程序、反病毒软件的的清除、软件的升级等等等等…… 本文将首先介绍延迟删除/重命名的工作机制，然后介绍如何使用这个功能维护你的系统。 什么是延迟删除/重命名 很多人可能都碰到过下面的一种情形：在安装某个软件的时候，安装程序正在初始化，突然，安装程序弹出一个类似于下面所描述的警告提示：发现有重启操作没有完成，在重启系统之前安装过程不能继续。然后安装程序自动退出。这类提示最常发生在安装Microsoft SQL Server 的时候。之所以出现这种提示，是因为安装程序检测到了有未完成的重启。那么安装程序是如何发现有未完成的重启呢？这就是本文的要点所在：Windows 2000/XP/Server 2003 的延迟删除/重命名功能。对于软件开发人员来说，Windows 2000/XP/Server 2003 的延迟删除/重命名功能并不是什么新鲜玩意，但是其实行的机制倒很少有人会关注。本文不想过多地涉及Windows 内部的实现机制，但是仅从一个侧面简单的描述一下Windows 2000/XP/Server 2003 的延迟删除/重命名功能的原理和适用范围。对于Windows 操作系统而言，要想成功的删除一个文件或重命名一个文件，需要满足一个条件：文件不能被占用。可是有的时候，要删除/重命名的文件总是被某个进程占用着，这样一来操作者就无法对这个文件进行删除和重命名。要解决这个问题，微软在Windows操作系统里面提出了一个延迟删除/重命名的功能。需要说明的是，这个功能不仅存在于Windows 2000/XP/Server 2003 操作系统里面，对于Windows 9X，这个功能也是存在的。只不过本文的重点在于介绍延迟删除的故事 延迟删除/重命名的基本实现原理是这样的： 1. 如果有任何应用程序需要使用延迟删除/重命名功能，那么该应用程序会使用一个特殊的参数MOVEFILE_DELAY_UNTIL_REBOOT 来命令Win32 API 函数 MoveFileEx()在系统里面注册一个延迟删除/重命名操作。注册的记录放在注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 和PendingFileRenameOperations2 键值下面。该键值是一个REG_MULTI_SZ 类型的键值，注册表编辑器无法直接 编辑这种类型的键值。 警告！不要使用注册表编辑器直接编辑这个键值，这样会造成系统无法判定是 该执行延迟删除操作还是延迟重命名操作。 2. 操作系统在下次启动的时候，由smss.exe 对上述的注册表键值进行读取分析并完成相应的操作。需要注意的是，在执行延迟操作的时候，Win32 子系统并没有启动，也就是说延迟操作是在没有Win32 子系统干扰的情形下完成的。这样设计的一个最大好处就是可以替换任何受Win32 子系统保护的文件。 3. 如果上述键值指定了一个文件需要被删除，那么smss.exe 将执行删除操作，如果指定的是重命名操作，那么smss.exe 执行的是重命名操作。 注意！如果执行重命名操作的时候，和新文件名同名的文件存在，那么原有的文 件将被覆盖掉。例如：假设有一个文件C:\1.DLL 存在，而延迟重命名里面的记 录是把C:\2.DLL 改名为C:\1.DLL，那么原来的C:\1.DLL 将被C:\2.DLL 覆盖掉。 4. 当所有的记录完成以后，系统自动把上述的注册表键值删除掉，不会存留任何痕迹的。现在说说软件开发人员是如何使用这个功能的。以安装Windows Service Pack 为例。在Service Pack 安装完成以后，安装程序肯定会提示用户重新启动。其实，重新启动的过程就是一个执行延迟删除/重命名的过程。由于在安装Service Pack 的时候，很多文件不能够被新版本的文件替换，如果碰到这个情况，安装程序将会把新版本文件改名并放到和旧版本文件同样的目录下面，然后在系统里面注册一个延迟重命名操作。系统在下次启动的时候，将执行这个延迟重命名操作以便让旧版本文件被新版本文件替换掉从而完成Service Pack 的安装。 对于延迟删除来说，和延迟重命名类似。如果发现有一个文件不能够被立即删除，则软件会注册一个延迟删除，让操作系统在下次启动的时候自动把文件删除掉。 对于延迟删除/重命名功能来说，软件开发人员把这个功能用于以下方面： 　新版本文件的替换 　删除不能立即删除的文件 对于一般用户而言，什么时候需要这个功能呢？ 　无法重命名一个总是被某个进程占用的文件 　无法删除一个文件。特别是要删除一个计算机病毒体文件的时候。 以上两种情况都可以使用延迟操作，让操作系统按照你的设想完成你需要的操作。 回过头说说安装程序是如何发现由未完成的重启的。由于延迟操作是记录在注册表特定键值下的，因此只需要检测特定的键值就可以发现有未完成的重启操作。 ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-2-15 23:46 Paxson 高级用户 积分 593 发帖 591 注册 2006-5-11 来自 China CD #2   有点复杂 学习了 ※ ※ ※ 本文纯属【Paxson】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 东方微点“反病毒技术交流”群:630086、1471553 、16998902 论坛:http://bbs.micropoint.com.cn/ 2007-2-16 00:00 softonline 新手上路 积分 7 发帖 7 注册 2006-12-10 #3   又学到了点知识，谢了。 ※ ※ ※ 本文纯属【softonline】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-2-16 00:32 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号