自动运行导致染毒?深入了解Autorun.inf 文件内容autorun.inf文件,相信很多电脑用户都不觉得陌生吧。U盘、系统盘及其它磁盘内都曾出现过它的身影,通过本文的解释,读者应该可以了解了病毒是如何利用autorun.inf文件破坏,文中最后也给出了防御方法,值得参考一下 :)
对于磁盘的自动运行功能,有人呼吁大家打开硬盘的时候不要双击打开,而是要右键选择“打开”来打开硬盘。可是,这样就真的不会被autorun.inf文件影响了吗?我们先来看一下下面这段代码:
[AutoRun]
open=eager.exe
shell\open=打开(&O)
shell\open\Command=eager.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=eager.exe
这个便是从某个autorun.inf文件里面复制出来的。你可以试试,把以上代码复制到记事本中,然后另存为“autorun.inf",保存到D盘去,再修改一下D盘的卷标(这样做的目的是为了使右键菜单马上更新)。现在你在D盘上点右键看一下,嗯,右键菜单还是和原来一样的。那么你再点右键选择“打开”或“资源管理器”。怎么样?是不是打不开D盘。那你会问,那如果我电脑中这种病毒了,不管怎么操作,就算我重装了系统,只要我打开硬盘就又会中病毒了吗?不用担心,还是有解决方法的。你可以通过在地址栏里面的下拉列表里面选择“本地磁盘(D:)”来打开,或者直接在地址栏输入“D:”也可以打开磁盘而不会中毒。当然还有其他方法,大家可以举一反三。
下面我再来介绍一下autorun.inf这个文件的格式。
一、[AutoRun] Keys
1.action
为open和shellexecute运行的程序指定名称.
2.icon
指定驱动器图标
3.label
指定驱动器卷标
4.open
自动运行并打开指定文件
5.shellexecute
自动运行并打开指定文件(与open不同的是可以使用文件关联信息打开文件)
6.UseAutoPlay
值只能等于1.用来使用autoplay的V2特性,只支持Xp的sp2以上版本
7.shell
指定默认右键菜单名称
8.shell\verb
添加自定义右键菜单
二、[DeviceInstall] Keys
用来指定搜索驱动的目录
DriverPath=directorypath
很简单的,大家一看就明白,也就不多说了。
Autorun.inf被病毒利用一般有4种方式
A.
OPEN=filename.exe
自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。
B.
shellAutocommand=filename.exe
shell=Auto
修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?
C.
shellexecute=filename.exe
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
D.
shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)
这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。
