我正在开发一款杀毒软件。我想知道如果我已经检测到了感染文件,我该如何在系统启动期间(黑屏期间)安排删除恶意文件。如图所示。
答案1
如果您想使用实用程序,Sysinternals 有一个(实际上是两个): PendMoves v1.2 和 MoveFile v1.01
根据描述:
有多个应用程序(例如服务包和修补程序)必须替换正在使用但无法替换的文件。因此,Windows 提供了 MoveFileEx API 来重命名或删除文件,并允许调用者指定他们希望在下次系统启动时(在引用文件之前)执行该操作。会话管理器通过从 HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 值读取已注册的重命名和删除命令来执行此任务。
如果您想在代码中包含此 API 函数,以下是来自 Microsoft 的规范: MoveFileEx 函数