Autorun.inf文件详解及免疫方法

yawentai

最近利用autorun.inf这个文件的病毒实在是太多了，最著名的莫过于“熊猫烧香“了。于是便有人呼吁大家打开硬盘的时候不要双击打开，而是要右键选择“打开”来打开硬盘。可是，这样就真的不会被autorun.inf文件影响了吗？我们先来看一下下面这段代码：
- n* S' i! ~4 r" H3 m4 v7 k5 ^[AutoRun]
open=eager.exe
3 v- Y% i; a5 Ashell\open=打开(&O)
8 O) Q* t9 _: P) K6 P# J  gshell\open\Command=eager.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
" m# g" r: H$ t5 T9 yshell\explore\Command=eager.exe
　
: s( s/ Y1 _# i4 j( B# p$ Y         这个便是从某个autorun.inf文件里面复制出来的。你可以试试，把以上代码复制到记事本中，然后另存为“autorun.inf"，保存到D盘去，再修改一下D盘的卷标（这样做的目的是为了使右键菜单马上更新）。现在你在D盘上点右键看一下，嗯，右键菜单还是和原来一样的。那么你再点右键选择“打开”或“资源管理器”。怎么样？是不是打不开D盘。那你会问，那如果我电脑中这种病毒了，不管怎么操作，就算我重装了系统，只要我打开硬盘就又会中病毒了吗？不用担心，还是有解决方法的。你可以通过在地址栏里面的下拉列表里面选择“本地磁盘（D：）”来打开，或者直接在地址栏输入“D：”也可以打开磁盘而不会中毒。当然还有其他方法，大家可以举一反三。
: p+ x8 L, Q3 u" e# M下面我再来介绍一下autorun.inf这个文件的格式。
5 ]! {+ ]/ n' G6 |: q一、[AutoRun] Keys
9 j3 t; Q; k# H, k9 {1.action
9 ^% ]- e8 `+ F! O7 A$ `为open和shellexecute运行的程序指定名称.
: R2 a3 d: T) Z9 @2 L5 _% c$ w3 D2.icon
指定驱动器图标
3.label
指定驱动器卷标
  O: d- C) a5 j% }/ i" y3 w4.open
自动运行并打开指定文件
6 A) R0 ~1 l9 [0 |5.shellexecute
自动运行并打开指定文件(与open不同的是可以使用文件关联信息打开文件)
6.UseAutoPlay
值只能等于1.用来使用autoplay的V2特性,只支持Xp的sp2以上版本
7.shell
2 r6 m4 D, B( l6 J% R指定默认右键菜单名称
! P  }, k! y0 z/ j0 \3 K. p: a8.shell\verb
0 B& p! a) H; x7 I$ S8 L$ a8 N添加自定义右键菜单
二、[DeviceInstall] Keys
1 f5 B2 a9 ~" x, F用来指定搜索驱动的目录
3 ], |+ e" m" F8 _7 @+ @DriverPath=directorypath
3 U, P( G! i. l, F4 Y( j很简单的，大家一看就明白，也就不多说了。
3 n3 X3 w0 P; m4 T4 f2 P* D再来简单介绍一种autorun.inf病毒的免疫方法。
原理如下：

" D1 R* i$ W' Y在驱动器根目录建立一个不可删除的文件夹，叫做"autorun.inf"，利用windows同目录文件不允许重名这个特点，使病毒无法写入autorun.inf ，破坏病毒的启动。就这么简单。
! ^5 a# \; {5 ^' J& k+ h! E
$ _: [. ]! D, j- }举个例子，现在我们免疫d:盘，如下操作：

1: 打开cmd窗口
2: d:
1 Y% X; s7 ~- s& ~  a3 @3: md autorun.inf (建立"autorun.inf"文件夹)
4: cd autorun.inf (进入"autorun.inf"文件夹)
: T' W% X! d7 {0 s3 ]; |6 o5: md eager..\ (创建不可删除的文件夹)

/ r* Z- f0 C' n8 k( Q这样子，d:盘里面会出现一个名为autorun.inf的文件夹，内有一个名为"eager."的子文件夹,无法删除的。成功。
, `/ ^5 E1 S* z5 \2 o; G对于每一个驱动器，建议都免疫一下。
: I, K) F4 {+ L( T  ?- G另外，关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
' y9 A. p$ }# f2 g" J+ a　　双击“NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00，其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示：        
. j) ~, d& @- i+ T% A　　设备名称　　　　           第几位 值 设备用如下数值表示  设备名称含义
　　DKIVE_UNKNOWN　　     0　　1　　01h　　　　　　   不能识别的设备类型
  w. z4 d2 E8 x4 c& N6 d　　DRIVE_NO_ROOT_DIR       1　　0　　02h　　　　　　   没有根目录的驱动器(Drive without root directory)
( j' n  x- q/ ?8 y　　DRIVE_REMOVABLE　　  2　　1　　04h　　　　　　   可移动驱动器(Removable drive)
　　DRIVE_FIXED　　　　       3　　0　　08h　　　　　　   固定的驱动器(Fixed drive)   
　　DRIVE_REMOTE　　          4　　1　　10h　　　　　　   网络驱动器(Network drive)
　　DRIVE_CDROM　　　   　5　　0　　20h　　　　　　   光驱(CD-ROM)　　
+ z" B6 W' @9 P" U　　DRIVE_RAMDISK　　        6　　0　　40h　　　　　　   RAM磁盘(RAM Disk)
8 w5 v6 Z* e* l　　保留　　　　　             　   7　　1　　80h　　　　　　   未指定的驱动器类型(Not yet specified drive disk)  
1 v# G% z% G7 G( E) g" n　　在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。
: {, h5 x/ F. [. ~) |# L% n由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备，所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱动器，即硬盘。这样一来，原来的10010101（在表中“值”列中由下向上看）就变成了二进制的10011101，转为十六进制为9D。现在，将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器，重启电脑后就会关闭硬盘的AutoRun功能。

　　如果你看明白了，那你肯定知道该怎样禁止光盘AutoRun功能了，对！就是将DRIVE_CDROM设为1，这样“NoDriveTypeAutoRun”键值中的第一个值就变成了10110101，也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器，重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。
5 J9 v  [# [! T+ ~3 q　　如果想要恢复硬盘或光驱的AutoRun功能，进行反方向操作即可。
　　事实上，大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序，因此我们完全可以将硬盘的AutoRun功能关闭，这样即使在硬盘根目录下有AutoRun.inf这个文件，Windows也不会去运行其中指定的程序，从而可以达到防止黑客利用AutoRun.inf文件入侵的目的。

yangfei

很详细啊,受教了LZ

cy

正好需要这个资料。谢谢楼主。