注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

无翼风的网易博客

欢迎光临无翼风的网易博客

 
 
 

日志

 
 

Autorun.inf的研究  

2010-03-24 19:13:43|  分类: 编程与电脑技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
       其实很早就想写这篇文章,可是一直不知道应该从何说起。想来想去,还是从用户的中招及防御角度解析一下autorun.inf吧!
  
  兵欲善其事,必先利其器!我认为还是有必要解释一下autorun.inf究竟是什么?首先需要声明的是autorun.inf并不是病毒,这也是众多杀毒软件对此文件不理不顾的原因。可以理解为它是微软为了方便开发者去自定义当前操作用户进入驱动器的方式而建立的一种特殊的打开磁盘以及进行相关操作方式的引导文件。譬如当你将windows xp的安装盘放入光驱后,你没有进行任何操作,windows安装程序即会自动运行,这即是开发者所定义的你浏览光盘的方式。但是凡事有利有弊,当病毒制造者将此文件引导向一个病毒文件时,该病毒就会进入激活状态。
  
  通常由于U盘使用的并不是光盘格式,所以虽然在根目录下有autorun.inf文件(autorun.inf仅在驱动器的根目下有效,这里包括映射成驱动器的目录),但其本身不会随U盘的插入而运行,而病毒之所以能够通过其运行,一般是由于用户的误操作而引起的,我将会一一说明!
  
  这里Monyer将排除硬盘和光盘而直接进行可移动磁盘的分析,因为它才是病毒传播的源泉嘛,然后一步步解开autorun.inf的面纱。(在网上对于autorun.inf的用法以及执行结果众说纷纭,所以这里仅以我在单机上测试的结果为例)
  
  一级诱惑
  
  最能诱骗用户上当的招数应该是“双击”了
  
  当autorun.inf里的内容为:
  
  [autorun]
  shellexecute=Project1.exe
  
  你双击时,它引导的程序就运行了,不仅如此,此时点击右键的“自动播放”也会运行程序(此时有两个“自动播放”,其中没有被加粗的是系统原来的,但是若重启后,系统的“自动播放”菜单会消失)。
  
  所以有人给出高招是,通过右键“打开”菜单,打开U盘。然而当你这么做时,你可能已经中了另外一个圈套。
  
  二级诱惑
  
  当autorun.inf里的内容为:
  
  [autorun]
  shellexecute=Project1.exe
  shell\open\Command=Project1.exe
  
  你不仅双击会运行程序,点击右键的“打开”菜单,依然会运行该程序,点击“自动播放”仍会运行。
  
  而此时又有人想出了新办法,通过右键的“
资源管理器”打开U盘。而此时你已经无形中落入了第三个圈套。
  
  三级诱惑
  
  当autorun.inf里的内容为:
  
  [autorun]
  shellexecute=Project1.exe
  shell\open\Command=Project1.exe
  shell\explore\Command=Project1.exe
  
  你除了上述的方式都会运行病毒,而且这回通过右键的“资源管理器”也会运行病毒。
  
  而且不仅仅如此,如果autorun.inf里的内容为:
  
  [autorun]
  shell\
Auto\command=Project1.exe
  shellexecute=Project1.exe
  shell\open\Command=Project1.exe
  shell\explore\Command=Project1.exe
  shell\find\Command=Project1.exe
  shell\SomeWords\Command=Project1.exe
  
  此时你的右键会增加auto和somewords菜单,点击都会运行,而且此时甚至点击“搜索”(有时有些人常以此方法搜索删除autorun.inf)都会运行程序
  
  所以通过鼠标左键双击和右键选择来打开U盘,都是都不可取的了。
  
  这里monyer给出两种方法:
  
  一是win+r输入盘符(有人说这种方式也能运行程序,不过我没有发现)rr
  
  二是通过工具栏的“文件夹”选项在左侧打开
  
  
  
  当然,你也可以选择用简易U盘病毒清理系统打开,它会先删除autorun.inf,并重启explorer,然后打开U盘。
  
  当然,那样做是很费劲的,那么我们还不如一了百了,在注册表中禁用它:
  
 禁止任何程序读写以下注册表分支,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
就可以禁止任何以autorun.inf启动病毒的U盘程序了
  评论这张
 
阅读(211)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018