AutoRun,正如其字面意思,自动运行,是微软的windows系统的一种自动运行的档案命令,主要用于对于移动设施的自动运行,本是微软为了方便用户使用CDROM等移动设施而设定的程式,而现在却被很多病毒利用,所以一旦用户发现来源不明的AutoRun.exe或者AutoRun.inf档案时一定要注意,要及时用防毒软体查杀,避免因此遭受损失。
基本介绍
- 中文名:AutoRun
- 性质:自动运行的档案命令
- 主要用于:对于移动设施的自动运行
- 相关:现在却被很多病毒利用
简介
在“开始”选单的“运行”中输入Regedit, 打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下,在右侧窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDROM或硬碟的AutoRun功能。
双击“NoDriveTypeAutoRun”,默认状态下(即你没有禁止过AutoRun功能),在弹出视窗中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00。其中第一个值“95”是16进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制就是1001 01 01,其中每位代表一个设备,Windows中不同设备会用如下数值表示:
位数 | 设备名称 | 值 | 设备表示设备名称含义 |
1 | DRIVE_UNKNOWN | 0101h | 不能识别的设备类型 |
2 | DRIVE_NO_ROOT_DIR | 1002h | 没有根目录的驱动器(Drive without root directory) |
3 | DRIVE_REMOVABLE | 2104h | 可移动驱动器(Removable drive) |
4 | DRIVE_FIXED | 3008h | 固定的驱动器(Fixed drive) |
5 | DRIVE_REMOTE | 4110h | 网路驱动器(Network drive) |
6 | DRIVE_CDROM | 5020h | 光碟机(CD-ROM) |
7 | DRIVE_RAMDISK | 6040h | RAM磁碟(RAM Disk) |
8 | DRIVE_NO_SPE | 7180h | 未指定的驱动器类型(Not yet specified drive disk) |
在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运行,这些数值累加正好是16进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。
由上面的分析不难看出,在默认情况下,会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这4个保留设备,所以要禁止硬碟自动运行AutoRun.inf档案,就必须将DRIVE_FIXED的值设为1,这是因为DRIVE_FIXED代表固定的驱动器,即硬碟。这样一来,原来的1 00101 01(在表中“值”列中由下向上看)就变成了二进制的10011101,转为16进制为9D。现在,将“No Drive Type AutoRun”的键值改为9D,00,00,00,关闭注册表编辑器,重启电脑就会关闭硬碟的AutoRun功能。
禁止功能
怎样禁止光碟AutoRun功能?
其实就是将DRⅣE_CDROM设为1,这样“No Drive TypeAutoRun”键值中的第一个值就变成了10110101,也就是16进制的B5。将第一个值改为B5后关闭注册表编辑器,重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软体光碟的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“No Drive Type AutoRun”的键值改为:BD,00,00,00即可。如果想要恢复硬碟或光碟机的AutoRun功能,进行反方向操作即可。
事实上,大多数的硬碟根目录下并不需要AutoRun.inf档案来运行程式,因此,我们完全可以将硬碟的AutoRun功能关闭,这样即使在硬碟根目录下有AutoRun.inf这个档案,Windows也不会去运行其中指定的程式,从而可以达到防止黑客利用AutoRun.inf档案入侵的目的。
种类划分
autorun.inf
autorun.inf档案是从Windows95开始的,最初用在其安装盘里,实现自动安装,以后的各版本都保留了该档案并且部分内容也可用于其他存储设备。
其结构有三个部分:[AutoRun] [AutoRun.Alpha] [DeviceInstall]
[AutoRun]适用于Windows95以上系统与32位以上CD-ROM,必选。
[AutoRun.alpha]适用于基于RISC的计算机光碟机,适用系统为Windows NT 4.0,可选。
[DeviceInstall]适用于Windows XP以上系统,可选。
[AutoRun]部分的命令及其详解。
DefaultIcon
含义:指定应用程式的默认图示。
格式:
DefalutIcon=图示路径名[,序号]
参数:
图示档案名称:应用程式的默认图示路径名,格式可以为.ico、.bmp、.exe、.dll。当档案格式为.exe和.dll时,有时需要使用序号来指定图示。
序号:当档案格式为.exe和.dll时,档案可能包括多余一个图示,此时需要使用序号来指定图示,需要注意的是,序号是从0开始的。
备注:
应用程式的默认图示将在windows explorer核心的驱动显示视窗中替代设备的默认图示来显示。
图示路径名的默认目录是设备根目录。
Icon
含义:指定设备显示图示。
格式:
Icon=图示路径名[,序号]
参数:
图示档案名称:应用程式的默认图示路径名,格式可以为.ico、.bmp、.exe、.dll。当档案格式为.exe和.dll时,有时需要使用序号来指定图示。
序号:当档案格式为.exe和.dll时,档案可能包括多余一个图示,此时需要使用序号来指定图示,需要注意的是,序号是从0开始的。
备注:
设备显示图示将在windows explorer核心的驱动显示视窗中替代设备的默认图示来显示。
图示路径名的默认目录是设备根目录。
当存在应用程式默认图示(DefaultIcon)时,本命令无效。
Label
含义:指定设备描述
格式:
Label=描述
参数:
描述:任意文字,可以包括空格。
备注:
设备描述将在windows explorer核心的驱动显示视窗中替代设备的默认描述卷标来显示。
在非windows explorer核心的驱动显示视窗中(例如右击设备选择属性)显示的仍然是设备的卷标。
Open
含义:指定设备启用时运行之命令行。
格式:
Open=命令行
(命令行:程式路径名 [参数])
参数:
命令行:自动运行的命令行,必须是.exe、.com、.bat档案,其他格式档案可以使用start.exe打开或使用ShellExecute命令。
备注:
命令行的起始目录是设备根目录和系统的$Path环境变数。
5、ShellExecute
含义:
指定设备启用时执行档案。(作业系统支持未知)
格式:
ShellExecute=执行档案路径名 [参数]
参数:
执行档案路径名:设备启用时执行档案路径名。可以是任意格式档案。系统会调用设定的程式执行此档案。
参数:参数,根据执行档案作调整
备注:
命令行的起始目录是设备根目录和系统的$Path环境变数。
6、Shell关键字Command
含义:
定义设备右键选单执行命令行。
格式:
Shell关键字Command=命令行
(命令行:程式路径名 [参数])
参数:
命令行:自动运行的命令行,必须是.exe、.com、.bat档案,其他格式档案可以使用start.exe打开。
备注:
命令行的起始目录是设备根目录和系统的$Path环境变数。
Shell关键字
含义:定义设备右键选单文本。
格式:
Shell关键字=文本
参数:
关键字:用以标记选单,可以使用任何字元表示,包括空格。
文本:在右键选单中显示的文本。可以使用任何字元,不能存在空格。
备注:
在同一Autorun.inf档案中,不同右键选单关键字不同,相同右键选单关键字相同。
右键选单文本中可以使用&;设定加速键,&&;输出一个&。
Shell关键字Command命令Shell关键字两者缺一不可,顺序无所谓。
当不存在Open、ShellExecute与Shell命令时,设备启用时运行第一个设备右键选单指定命令。
Shell
含义:定义设备启用时运行之设备右键命令。
格式:
Shell=关键字
参数:
关键字:标记过的选单关键字
备注:
Shell指定的关键字可以在AutoRun.inf档案的任意部分。
OpenShellExecuteShell命令后定义的优先权高。
如何删除autorun.inf资料夹?
在命令提示符中,输入rd (资料夹位置)即可删除资料夹。
命令简介
AutoRun.alpha部分的命令简介
[AutoRun.alpha]部分的命令与[AutoRun]部分的命令相同,只不过在基于RISC的计算机光碟机中,[AutoRun.alpha]优先权高于[AutoRun]
[DeviceInstall]部分命令及其详解
DriverPath
含义:定义搜寻驱动程式目录。
格式:
DriverPath=驱动程式路径
参数:
驱动程式路径:驱动程式所在路径,包括其子路径。
备注:
Windows XP以上支持。
仅CD-ROM支持
当系统监测到一个新的设备时,会提示用户寻找设备的驱动程式。当用户点选此CD-ROM时,当[DeviceInstall]部分存在时,系统会按照DriverPath所标记的路径出寻找驱动程式。未标记的路径系统将忽略查找。当[DeviceInstall]部分不存在时,系统将进行完全查找。
如果不希望系统在此CD-ROM中搜寻驱动程式,只加一行[DeviceInstall]不加DriverPath命令即可。
系统识别该档案过程如下:
系统在插入随身碟的时候会根据这个AUTORUN.INF档案在注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]下建立一个u盘的关联项,使双击打开指定的程式(如病毒程式)。
Windows 2000/XP下如何删除autorun.inf资料夹在命令提示符中,输入rd (资料夹路径)即可删除资料夹
如资料夹内有内容可把rd替换为deltree来完成删除。
病毒资料
AUTORUN.INF病毒资料
MVS.exe Dropper.VB.acd
LaunchCd.exe Trojan.VB.vwp
Tel.xls.exe Worm.VB.lv
Ghost.exe,conime.exe Trojan.DL.Agent.blr
Autorun.exe Trojan.Agent.xkt
toy.exe Worm.Agent.av
autorun.exe soundmix.exe Worm.Clive.a
printer.exe Trojan.VB.wio
BootIO.exe Trojan/Agent.Bui
免疫程式
Autorun免疫程式
打开需要免疫的盘符,然后点击免疫。移动硬碟先连线电脑后,然后打开程式。随身碟、等其它移动设备如没有检测到盘符,可自行手动输入盘符名称,然后执行免疫。
我们知道,同一目录下,两个相同档案名称的档案是不能共存的。经过免疫后的磁碟,会在磁碟的根目录下生成一个防删除、替换并隐藏的Autorun.inf资料夹,并自动设定为唯读和系统隐藏属性,以防止病毒藉助Autorun自动运行档案进行病毒的自动传播。
步骤如下:
新建一个空文本文档,并更名为"1.bat"(扩展名改成bat),输入如下命令:
x:(x表示盘符,如果是h盘,就输入h:)
md autorun.inf
cd autorun.inf
md con\
(因为con资料夹在DOS中不可直接输入命令,要加入“\”)
然后打开此档案,就可免疫。可放到该随身碟中,但不要放在随身碟的资料夹中,否则会在这个资料夹里新建一个这样的免疫资料夹。
当有病毒的移动磁碟插入电脑时,如果您发现系统提示:“无法写入AUTORUN:访问被拒绝。请确定磁碟未满或未被防写而且未被使用”时,此时病毒写入电脑失败。
如果您想删除磁碟目录下的此免疫档案,请重新新建一个空文本文档,并更名为"2.bat"(扩展名改成bat),输入如下命令:
x:(x表示盘符,如果是h盘,就输入h:)
cd autorun.inf
rd con\
cd..
rd autorun.inf
然后打开此档案,就可解除免疫。可放到该随身碟中,但不要放在随身碟的资料夹中,否则无效。
注:在极小数系统下麵点执行后会提示选择盘符,这不影响使用。