第4讲 AutoRun病毒剖析.pptVIP

AutoRun病毒剖析 主要内容 AutoRun病毒的工作原理 AutoRun病毒的机制 AutoRun病毒的防治措施 AutoRun的典型利用 AutoRun病毒工作原理 光盘放入光驱自动执行 AutoRun.inf Cdvsd.vxd 此文件随时侦测光驱中是否有放入光盘的动作，如果有则寻找光盘根目录下的autorun.inf文件 Windows的autorun功能，使用户的系统和网络上的驱动器有自动运行功能，如，自动播放、双击以及与自动运行关联的语境菜单 autorun病毒原理主要是通过配置autorun.inf文件来运行病毒文件 AutoRun病毒的机制 Autorun.inf [AutoRun] shell\open=打开(O) shell\open\Command=***.exe shell\explore=资源管理器(X) shell\explore\Command=***.exe 演示 AutoRun病毒的机制 [AutoRun] 的关键字 icon：指定驱动器图标 label：指定驱动器卷标 shellexecute：自动运行并打开指定文件 shell：指定默认右键菜单名称 shell\verb：添加自定义右键菜单 等 [DeviceInstall] 的关键字 仅用于CDROM，用来指定安装驱动程序时所搜索的目录 DriverPath=驱动程序路径 当系统监测到一个新的设备时，会提示用户寻找设备的驱动程序 当用户点选此CD-ROM时， 当[DeviceInstall]部分存在时，系统会按照DriverPath所标记的路径出寻找驱动程序，未标记的路径系统将忽略查找； 当[DeviceInstall]部分不存在时，系统将进行完全查找； 若只有[DeviceInstall]而没有DriverPath部分，那么系统将不在CD-ROM中搜索驱动程序 AutoRun.inf文件格式 Icon 格式：Icon=图标路径名[,序号] 含义：指定设备显示图标 参数： 图标路径名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll 当文件格式为.exe和.dll时，文件可能包括多于一个图标，此时需要使用序号来指定图标，序号从0开始 备注： 设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示 图标路径名的默认目录是设备根目录，写完整路径时，不带盘符冒号和反斜杠，如Icon=Icon Library\Pencil.ico即可 AutoRun.inf文件格式 Label 格式：Label=描述符 含义：指定设备描述符 参数：描述——任意文字，可以包括空格 备注： 设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述\卷标来显示 在非windows explorer核心的驱动显示窗口中（例如右击设备选择属性）显示的仍然是设备的卷标 AutoRun.inf文件格式 ShellExecute 格式：ShellExecute=执行文件路径名 [参数] 含义：指定设备启用时执行文件（双击和自动播放） 参数 执行文件路径名：设备启用时执行文件路径名。可以是任意格式文件，系统会调用设置的程序执行此文件 参数：根据执行文件作调整 备注：命令行的起始目录是设备根目录和系统的＄Path环境变量 AutoRun.inf文件格式 Shell\关键字\Command 格式：Shell\关键字\Command=命令行 (命令行：程序路径名 [参数]) 含义：定义设备右键菜单并执行命令行 参数：命令行——自动运行的命令行，必须是.exe、.com、.bat文件，其他格式文件可以使用start.exe打开 备注：命令行的起始目录是设备根目录和系统的＄Path环境变量 AutoRun.inf文件格式 Shell\关键字 格式：Shell\关键字=文本 含义：定义设备右键菜单文本 参数： 关键字：用以标记菜单，可以使用任何字符表示，包括空格 文本：在右键菜单中显示的文本。可以使用任何字符，不能存在空格。 备注： 在同一Autorun.inf文件中，不同右键菜单关键字不同，相同右键菜单关键字相同 右键菜单文本中可以使用设定加速键，输出一个 使用此命令时必须配合相应的Shell\关键字\Command命令使用 AutoRun.inf文件格式 Shell 格式：Shell=关键字 含义：定义设备启用时运行的设备右键命令 参数：关键字——标记过的菜单关键字 备注： Shell指定的关键字可以在AutoRun.inf文件的任意部分 ShellExecute、Shell命令，后定义的优先级高 Autorun.inf被病毒利用的方式1 Shell\open\command=f