autorun.inf是我们电脑使用中比较常见的文件之一,其作用是允许在双击磁盘时自动运行指定的某个文件。但是近几年出现了用autorun.inf文件传播木马或病毒,它通过使用者的误操作让目标程序执行,达到侵入电脑的目的,带来了很大的负面影响。
autorun.inf是个什么文件?
Autorun,也指Autorun.inf,是电脑操作系统的DVD以及快闪存贮器自动播放功能,也可以用来自动运行文件,也可以用来给磁碟修改图标。有时会被电脑病毒如熊猫烧香利用在中毒者各磁碟盘释放出Autorun.inf以及病毒体自身,造成中毒者无法正常打开硬盘分区以及病毒自身被重新激活。
Autorun.inf文件详解及免疫方法 最近利用autorun.inf这个文件的病毒实在是太多了,最著名的莫过于“熊猫烧香“了。
于是便有人呼吁大家打开硬盘的时候不要双击打开,而是要右键选择“打开”来打开硬盘。可是,这样就真的不会被autorun.inf文件影响了吗?我们先来看一下下面这段代码: [AutoRun] open=eager.exe shell\open=打开(&O) shell\open\Command=eager.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=eager.exe 这个便是从某个autorun.inf文件里面复制出来的。你可以试试,把以上代码复制到记事本中,然后另存为“autorun.inf",保存到D盘去,再修改一下D盘的卷标(这样做的目的是为了使右键菜单马上更新)。现在你在D盘上点右键看一下,嗯,右键菜单还是和原来一样的。
那么你再点右键选择“打开”或“资源管理器”。怎么样?是不是打不开D盘。那你会问,那如果我电脑中这种病毒了,不管怎么操作,就算我重装了系统,只要我打开硬盘就又会中病毒了吗?不用担心,还是有解决方法的。
你可以通过在地址栏里面的下拉列表里面选择“本地磁盘(D:)”来打开,或者直接在地址栏输入“D:”也可以打开磁盘而不会中毒。当然还有其他方法,大家可以举一反三。下面我再来介绍一下autorun.inf这个文件的格式。
一、[AutoRun] Keys 1.action 为open和shellexecute运行的程序指定名称. 2.icon 指定驱动器图标 3.label 指定驱动器卷标 4.open 自动运行并打开指定文件 5.shellexecute 自动运行并打开指定文件(与open不同的是可以使用文件关联信息打开文件) 6.UseAutoPlay 值只能等于1.用来使用autoplay的V2特性,只支持Xp的sp2以上版本 7.shell 指定默认右键菜单名称 8.shell\verb 添加自定义右键菜单二、[DeviceInstall] Keys 用来指定搜索驱动的目录 DriverPath=directorypath 很简单的,大家一看就明白,也就不多说了。再来简单介绍一种autorun.inf病毒的免疫方法。原理如下: 在驱动器根目录建立一个不可删除的文件夹,叫做"autorun.inf",利用windows同目录文件不允许重名这个特点,使病毒无法写入autorun.inf ,破坏病毒的启动。
就这么简单。 举个例子,现在我们免疫d:盘,如下操作: 1: 打开cmd窗口 2: d: 3: md autorun.inf (建立"autorun.inf"文件夹) 4: cd autorun.inf (进入"autorun.inf"文件夹) 5: md eager..\ (创建不可删除的文件夹) 这样子,d:盘里面会出现一个名为autorun.inf的文件夹,内有一个名为"eager."的子文件夹,无法删除的。对于每一个驱动器,建议都免疫一下。
另外,关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下,在右侧窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。 双击“NoDriveTypeAutoRun”,在默认状态下(即你没有禁止过AutoRun功能),在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00,其中第一个值“95”是十六进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101,其中每位代表一个设备,Windows中不同设备会用如下数值表示: 设备名称 第几位 值 设备用如下数值表示 设备名称含义 DKIVE_UNKNOWN 0 1 01h 不能识别的设备类型 DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器(Drive without root directory) DRIVE_REMOVABLE 2 1 04h 可移动驱动器(Removable drive) DRIVE_FIXED 3 0 08h 固定的驱动器(Fixed drive) DRIVE_REMOTE 4 1 10h 网络驱动器(Network drive) DRIVE_CDROM 5 0 20h 光驱(CD-ROM) DRIVE_RAMDISK 6 0 40h RAM磁盘(RAM Disk) 保留 7 1 80h 未指定的驱动器类型(Not yet specified drive disk) 在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运行,这些数值累加正好是十六进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。
由上面的分析不难看出,在默认情况下,会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备,所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED的值设为1,这是因为DRIVE_FIXED代表固定的驱动器,即硬盘。这样一来,原来的10010101(在表中“值”列中由下向上看)就变成了二进制的10011101,转为十六进制为9D。现在,将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器,重启电脑后就会关闭硬盘的AutoRun功能。 如果你看明白了,那你肯定知道该怎样禁止光盘AutoRun功能了,对!就是将DRIVE_CDROM设为1,这样“NoDriveTypeAutoRun”键值中的第一个值就变成了10110101,也就是十六进制的B5。
将第一个值改为B5后关闭注册表编辑器,重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。 如果想要恢复硬盘或光驱的AutoRun功能,进行反方向操作即可。
事实上,大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序,因此我们完全可以将硬盘的AutoRun功能关闭,这样即使在硬盘根目录下有AutoRun.inf这个文件,Windows也不会去运行其中指定的程序,从而可以达到防止黑客利用AutoRun.inf文件入侵的目的。
autorun.inf是什么,autorun.inf删除不掉是怎么回事
auturun.inf是用来定义光盘自动播放的配置文件,后来auturun.inf被越来越多的U盘病毒利用。当在U盘或本地硬盘根目录下发现autorun.inf时,通常表示,这台电脑已经被U盘病毒入侵。
为防止U盘病毒泛滥,有部分安全工具会创建一些不可修改的auturun.inf文件夹,试图阻止U盘病毒继续传播,这被称之为U盘免疫功能。
这种auturun.inf文件夹,就可能删不掉。U盘病毒利用操作系统的自动播放功能传播,早期其特点是插入U盘的动作即可立即运行U盘病毒。这是病毒写入U盘时,创建特定的autorun.inf所致。通常,如果在非光盘路径下发现auturun.inf,这个open=后面的exe文件极可能是病毒。
如果中了U盘病毒,可能在任何磁盘分区根目录下发现autorun.inf。U盘病毒有时,也被网民称为Auto病毒。
autorun.inf是什么文件
autorun.inf 1、autorun.inf系windows下垄断光盘行动滴1个文档,需要放在光盘根目录下,局部操控关于硬盘也{too}适用。两、autorun.inf系可以{can}被制止滴。
方式如下:点击开端->运行,在文本框中输入regedit或者regedt32。
挨次开展hkey_current_user\software\microsoft\windows\currentversion\policies\exploer,其中滴nodrivetypeautorun子键局限着autorun滴作用规模,默以为95(16进制)。把禁用滴装备标记相加设置为键值就可以{can}玩成设置。其中装备标记如下1:没有办法甄别滴装备(提议制止,默认制止)2:没有根目录滴装备(drivewithoutrootdirectory不详含义,提议制止,默认不制止)4:可挪动滴装备(u盘{dish},提议制止,很多木马使用u盘{dish}滴autorun.inf进展感染,默认制止)8:固定滴装备(硬盘,俺瞧着办,默认不制止)16:网络装备(web驱动器,提议制止,默认制止)32:光盘驱动装备(cdrom,默认不制止)64:虚拟存储装备(ram,提议制止,默认不制止)128:未指定滴其余驱动器(保存位,提议制止,默认制止)三{three}、autorun.inf文档分为三{three}大多数[autorun][autorun.alpha][deviceinstall]。[autorun]适用于windows95以上体格和32位以上cd-rom,必选。
[autorun.alpha]适用于本着risc滴计算机光驱,适用体格为windowsnt4.0,可选。[deviceinstall]适用于windowsxp以上体格,可选。四{four}、[autorun]局部滴吩咐及其详解。
1、defaulticon含义:指定应用程序滴默认图标。款式:defaluticon=图标路径名[,序号]参数:图标文件名:应用程序滴默认图标路径名,款式可感到.ico、.bmp、.exe、.dll。当文档款式为.exe和.dll时,有时需要运用序号来{come}指定图标。
序号:当文档款式为.exe和.dll时,文档也许包含过剩1个图标,这时需要运用序号来{come}指定图标,需要注意{lookout}滴系,序号系从{from}0开端滴。备注:应用程序滴默认图标将在windowsexplorer中心滴驱动卖弄窗口中更替装备滴默认图标来{come}卖弄。图标路径名滴默认目录系装备根目录。
2、icon含义:指定装备卖弄图标。款式:icon=图标路径名[,序号]参数:图标文件名:应用程序滴默认图标路径名,款式可感到.ico、.bmp、.exe、.dll。当文档款式为.exe和.dll时,有时需要运用序号来{come}指定图标。序号:当文档款式为.exe和.dll时,文档也许包含过剩1个图标,这时需要运用序号来{come}指定图标,需要注意{lookout}滴系,序号系从{from}0开端滴。
备注:装备卖弄图标将在windowsexplorer中心滴驱动卖弄窗口中更替装备滴默认图标来{come}卖弄。图标路径名滴默认目录系装备根目录。当存在应用程序默认图标(defaulticon)时,本吩咐无效。3、label含义:指定装备描写款式:label=描写参数:描写:义务文字,可以{can}包含空格。
备注:装备描写将在windowsexplorer中心滴驱动卖弄窗口中更替装备滴默认描写\卷标来{come}卖弄。在非windowsexplorer中心滴驱动卖弄窗口中(譬如右击装备选择属性)卖弄滴仍然是装备滴卷标。4、open含义:指定装备启用时运行之命令行。款式:open=命令行(命令行:顺序路径名[参数])参数:命令行:自动运行滴命令行,一定系.exe、.com、.bat文档,其余款式文档可以{can}运用start.exe打开或运用shellexecute吩咐。
备注:命令行滴起始目录系装备根目录和体格滴$path环境变量。5、shellexecute含义:指定装备启用时履行文档。(操作系统支持不详)款式:shellexecute=履行文档路径名[参数]参数:履行文档路径名:装备启用时履行文档路径名。
可以{can}系义务款式文档。体格会{can}调用设置滴顺序履行此文档。参数:参数,依据履行文档做调剂备注:命令行滴起始目录系装备根目录和体格滴$path环境变量。
6、shell\关键字\command含义:定义装备右键菜单履行命令行。款式:shell\关键字\command=命令行(命令行:顺序路径名[参数])参数:命令行:自动运行滴命令行,一定系.exe、.com、.bat文档,其余款式文档可以{can}运用start.exe打开。备注:命令行滴起始目录系装备根目录和体格滴$path环境变量。7、shell\关键字含义:定义装备右键菜单文本。
款式:shell\关键字=文本参数:关键字:用以记号菜单,可以{can}运用所有字符表现,包含空格。文本:在右键菜单中卖弄滴文本。可以{can}运用所有字符,不可存在空格。
备注:在同1autorun.inf文档中,不同右键菜单关键字不同,等同右键菜单关键字等同。右键菜单文本中可以{can}运用&设定加速键,&&输出1个&。shell\关键字\command吩咐shell\关键字两者缺一不可,秩序无所谓。当没存在open、shellexecute和shell吩咐时,装备启用时运行第一个装备右键菜单指定吩咐。
8、shell含义:定义装备启用时运行之装备右键吩咐。款式:shell=关键字参数:关键字:标记过滴菜单关键字备注:shell指定滴关键字可以{can}在autorun.inf文档滴义务局部。open\shellexecute\shell吩咐后定义滴优先级高{tall}。
四{four}、[autorun.alpha]局部滴吩咐简单介绍。[autorun.alpha]局部滴吩咐和[autorun]局部滴吩。
标签:
