autorun.inf文件編寫

1、精品文檔（autorun.inf是當打開它所在的盤時,就自動運行的小程序.比如我們把mtv光盤放入光驅的時候,有時候就會自動開始播放了. autorun.inf必須放大分區(qū)的根目錄下.它是由一個或多個“節(jié)”組成，每個“節(jié)”民須以節(jié)名作為開始的一行，節(jié)名必須用中括號括起來，節(jié)名之下則為本節(jié)中的命令。 其中autorun.inf一共支持三個節(jié)，它們分雖為autorun、autorun.alpha、deviceinstall，其中只有autorun是必須存在的。autorun.alpha來說我們很少用到，而deviceinstall只能在xp下使用，可以利用它指定硬件向導進行遞歸搜索的子目錄。 au

2、torun的功能1. 運行命令 open=寫上所要運行的命令,必須是.exe .bat .com的文件,可以不在根目錄下,但得指定路徑 2.icon=給盤加圖片,支持ico和bmp這兩種格式 3.添加右鍵菜單 shelln=要顯示的菜單 shellncommand=要運行的命令 要打開的文件 autorun可以被黑客利用,我們可以關閉自動運行,讓它不能發(fā)生作用方法 :1.只禁止硬盤的自動運行:注冊表編輯器展開hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexploer主鍵下，右邊窗口中的二進制值“nodrivety

3、peautorun”決定了是否執(zhí)行autorun功能，將“nodrivetypeautorun”的默認鍵值由95, 00,00,00，改為9d,00,00,00，然后關閉注冊表編輯器，重啟電腦即可。 2.只禁止光盤的自動運行,可以將“nodrivetypeautorun”的鍵值改為bd,00,00,00資料2眾所周知,autorun.inf文件是u盤病毒傳播的主要途徑.因此我們了解它的構造及運行機制對我們來說還是比較有用的.下面主要講autorun.inf文件的編寫規(guī)則.相對于inf文件的編寫,他還是想當的簡單的.一.理解autorun.inf文件 簡單的說autorun.inf文件是一種具有

4、特定結構的必須放在驅動器根目錄下的文件.它控制著雙擊驅動器時的自動播放選項.二.autorun.inf文件構造 所有的autorun.inf文件都具有autorun節(jié),這是自動運行標識符.不同的機型具有不用的自動運行標識符. autorun是針對pc機(機型為386或為更高)的自動運行標識符. autorun.mips是針對mips公司的mips系列機型. autorun.alpha是針對dec公司的alpha系列機型. autorun.ppc是針對apple公司的power pc系列機型. 此外,還有deviceinstall節(jié),這個僅在xp系統(tǒng)下使用,可以用它來指定硬件向導進行遞歸搜索時的

5、子目錄.三.autorun.inf文件的編寫 1.自動播放. 若想在驅動器右鍵生成自動播放菜單項,點擊時可以自動運行.可分為以下兩種情況: (1).shellexecute=*.*或path*.*,此種方式可以在所有的驅動器上生成自動播放菜單項.雙擊時自動運行=后的文件.此時=后可以為任意擴展名的文件. (2).open=*.exe,*.bat,*.com,此種方式僅可以在光盤驅動器上生成自動播放菜單項.=后的文件必須是exe bat com 2.自定義驅動器圖標 格式: icon=path*.ico,*.bmp或是path*.exe,0,1,2.*.dll,0,1,2. 注意path路徑必須

6、是本驅動器的路徑,即ico bmp exe dll 必是在本驅動器內. 3.自定義卷標 格式: label=字符串,這個簡單.不贅述. 4.添加右鍵菜單 格式: shelln=名稱 shellncommand=命令 兩者合成:shell名稱command=命令 說明shell指菜單,n可以為任意字符串,名稱即你想要的右鍵菜單名稱.命令即你在單擊該菜單項時執(zhí)行的命令.下面講講防治的方法:根據windows 同一目錄下不能共存兩個或兩個以上文件(夾)的方法,我們可以在u盤目錄下,手動創(chuàng)建一個名為autorun,inf的文件.若是我們新建的是一個文件,即autorun,inf文件的話,病毒文件完全可

7、以覆蓋,我們就達不了病毒防治的目的.因而我們應該新建一個名為autorun.inf的文件夾.下面給出一個批處理代碼,把它保存為bat文件,在u盤的根目錄下運行即可:md autorun.infcd autorun.infmd prnmd pig.資料3windows支持自動運行，是通過autorun.inf來實現(xiàn)的。下面介紹下簡單auto文件的編寫。首先，我們用新建文本文檔，然后在里面輸入autorunshellexecute=*.*（*表示你要自動運行的文件，可以是任意文件）icon=*.ico然后另存為autorun.inf文件就可以了。shellexecute后面可以是任意文件。如果是木

8、馬的話.然后icon后面是圖標文件，也可以使用其他文件的圖標，格式為icon=*.*,0就可以了。把他放入u盤里雙擊就可以運行shellexecute（在98系統(tǒng)中是open）后的文件了。光盤里面都有這個文件，但是光盤有時能自動打開，這是因為系統(tǒng)中有另外的文件專供光區(qū)的自動運行，而不支持usb設備.autorun.inf的代碼編寫制作auto-cd的關鍵就是如何編寫自動運行信息文件autorun.inf，它是auto-cd所必須的。這個文件的主要作用就是告訴windows自動運行哪個程序和它的啟動路徑，并為光盤設置在資源管理器及“我的電腦”中所顯示的圖標。但是，如果關閉了光驅的自動插入通告功能

9、，則只能使用shell32.dll（存于windows的system目錄下）中的默認光盤圖標。打開一些auto-cd中的autorun.inf，你會發(fā)現(xiàn)它的編寫格式是：autorunopen=icon=autorun是針對pc機（機型為386或更高）的自動運行識別標志。除此之外，還有針對其他幾種計算機系統(tǒng)的識別標志，它們是：針對mips公司mips系統(tǒng)的autorun.mips；針對dec公司alpha系統(tǒng)的autorun.alpha；針對蘋果公司power pc機的autorun.ppc。不過，除非你想制作通用的自動運行光盤，否則用不到這些標識。open一行是告訴操作系統(tǒng)要自動運行的文件名和

10、它的啟動全路徑。比如，若想自動運行autorun目錄下的run.exe文件，這一行就寫成：open=autorunrun.exe注意，在目錄名的左邊不能有反斜線，否則計算機將按“c:”處理，也就無法啟動指定的程序了。icon一行是告訴操作系統(tǒng)該光盤以什么樣的圖標表示，如果你不想指定，這一行也可以不寫。圖標的調用方法有三種：第一種是直接指向圖標文件（.ico）。比如要想使用在autorun目錄下的一個圖標文件run.ico，調用格式與open一行相同，即：icon=autorunrun.ico第二種調用方法就是指向帶有圖標的exe文件，只要是for windows 9x/nt的exe文件都帶有圖

11、標。而且，如果該文件帶有多個圖標還可以用編號進行挑選。比如所選的是run.exe，它帶有5個圖標，其第一個也是默認圖標的調用格式為：icon=autorunrun.exe或icon=autorunrun.exe,0若想調用第三個圖標，格式為：icon=autorunrun.exe,2因為第一個圖標的編號是0，所以第三個圖標的編號就是2了。另外，在逗號的兩邊都不能有空格，否則就調用默認的圖標。而且，若調用的編號大于其最大編號，那光盤的圖標就為空，什么也沒有?？赡苡腥藭枺以趺粗滥繕宋募в袔讉€圖標？不用著急，跟著我做：用鼠標右鍵點擊任意一個帶有圖標的exe文件的“快捷方式”在快捷菜單中選擇“

12、屬性”選擇“快捷方式”點擊“更改圖標”用“瀏覽”的方式打開你選擇的目標文件，現(xiàn)在你就能看到該文件到底有多少個圖標了。至于圖標的排列順序在windows 95中是從左至右，在windows 98中則是先上下后左右，不要數錯喲。第三種調用方式就是指向帶有圖標的dll文件，也就是動態(tài)鏈接庫文件，具體的格式與注意事項都與第二種方法相同，在此就不作介紹了。至此，一個完整的autorun.inf文件就編輯完成了，結合你需要燒錄的內容，在確認調用路徑無誤后，就可以開始燒錄了。此時唯一要注意的就是autorun.inf文件必須放在光盤的根目錄下，否則windows無法找到它，也就不能自動運行了。資料3首先，a

13、utorun.inf這個文件是很早就存在的，在winxp以前的其他windows系統(tǒng)（如win98，2000等），需要讓光盤、u盤插入到機器自動運行的話，就要靠autorun.inf。這個文件是保存在驅動器的根目錄下的（是一個隱藏的系統(tǒng)文件），它保存著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或硬件應該自動啟動什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標改成某個路徑下的icon。所以，這本身是一個常規(guī)且合理的文件和技術。但相信你已經注意到，上面反復提到“自動”，這就是關鍵。病毒作者可以利用這一點，讓移動設備在用戶系統(tǒng)完全不知情的情況下，“自動”執(zhí)行任何命令或應用程序。因此，通過這個autorun

14、.inf文件，可以放置正常的啟動程序，如我們經常使用的各種教學光盤，一插入電腦就自動安裝或自動演示；也可以通過此種方式，放置任何可能的惡意內容。目前相關的u盤病毒的隱藏方式：有了啟動方法，病毒作者肯定需要將病毒主體放進光盤或者u盤里才能讓其運行的，但是堂而皇之的放在u盤里肯定會被用戶發(fā)現(xiàn)而刪除（即使不知道其是病毒，不是自己的不知名文件也會刪除吧），所以，病毒肯定會隱藏起來存放在一般情況下看不到的地方了。一種是假回收站方式：病毒通常在u盤中建立一個“recycler”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站了，而事實上，回收站的名稱是“recycled”，而且兩者的圖標是

15、不同的： 另一種是假冒殺毒軟件方式：病毒在u盤中放置一個程序，改名“ravmone.exe”，這很容易讓人以為是瑞星的程序，其實是病毒。也許有人會問，為什么在你的機器上能看到上面的文件，我的機器看不到呢？很簡單，通常的系統(tǒng)安裝，默認是會隱藏一些文件夾和文件的，病毒就會將自己改造成系統(tǒng)文件夾、隱藏文件等等，一般情況下當然就看不到了。要讓自己能看到隱藏的文件，怎么辦？個人如操作，按如下步驟：打開“我的電腦”，在菜單欄上點“工具”，點“文件夾選項”，出現(xiàn)一個對話框，選擇“查看”標簽，然后對照下圖：如果u盤帶有上述病毒，還會一個現(xiàn)象，當你點擊u盤時，會多了一些東西：上圖左側是帶病毒的u盤，右鍵菜單多了

16、“自動播放”、“open”、“browser”等項目；右側是殺毒后的，沒有這些項目。這里注明一下：凡是帶autorun.inf的移動媒體，包括光盤，右鍵都會出現(xiàn)“自動播放”的菜單，這是正常的功能。綜上所述：引用 目前的u盤病毒都是通過autorun.inf來進入的； autorun.inf本身是正常的文件，但可被利用作其他惡意的操作； 不同的人可通過autorun.inf放置不同的病毒，因此無法簡單說是什么病毒，可以是一切病毒、木馬、黑客程序等； 一般情況下，u盤不應該有autorun.inf文件；* 如果發(fā)現(xiàn)u盤有autorun.inf，且不是你自己創(chuàng)建生成的，請刪除它，并且盡快查毒； 如果

17、有貌似回收站、瑞星文件等文件，而你又能通過對比硬盤上的回收站名稱、正版的瑞星名稱，同時確認該內容不是你創(chuàng)建生成的，請刪除它； 同時，一般建議插入u盤時，不要雙擊u盤，另外有一個更好的技巧：插入u盤前，按住shift鍵，然后插入u盤，建議按鍵的時間長一點。插入后，用右鍵點擊u盤，選擇“資源管理器”來打開u盤。 注：*：部分u盤制造商可能也會利用autorun.inf進行自己的特色設計，目的是為了讓用戶執(zhí)行廠商的特色程序。已確認部分廠商確實使用了這種方式，因此建議購買u盤是先做識別，或咨詢銷售人員。資料4了解autorun.inf 什么是autorun.inf文件呢，嚴格的說它是一個必須存放在驅動

18、器根目錄下的有一定格式的文本文件，它是由一個或多個“節(jié)”組成，每個“節(jié)”民須以節(jié)名作為開始的一行，節(jié)名必須用中括號括起來，節(jié)名之下則為本節(jié)中的命令。 其中autorun.inf一共支持三個節(jié)，它們分雖為autorun、autorun.alpha、deviceinstall，其中只有autorun是必須存在的。 實例應用 現(xiàn)在我們就來以實例的方式來詳細了解autorun.inf文件到底有哪些慶用。 (1)自動運行 自動運行在前文有所接觸，即使用open命令進行，要注意的是“open=”指定的文件必須為可執(zhí)行文件，例如com、exe、bat；如果指定的文件不在根目錄下，則需要指定其路徑，例如ope

19、n=soft .bat，這就表示運行光盤根目錄下soft文件夾中的1.bat文件。 小提示：如果要運行的文件不是com、exe、bat，那么也沒關系，我們可以手工編寫一個bat文件，將要打開的文件所在路徑和文件名添加在bat之中即可。 (2)自定義光盤圖標 在autorun節(jié)中，還有一個比較好玩的命令行，那就是icon，一般情況下指定的圖標文件可以是ico和bmp格式，當然也可以是包含圖標資源的exe和dll文件，如果exe和dll文件中包含多個圖標文件，那么就必須指定希望使用的圖標索引號，要注意的是圖標索引號是從0開始編號的，例如“icon=icon.dll,1”，那么就表示將使用icon.

20、dll文件中的第二個圖標。 小提示：icon不僅可以應用在光盤上，我們也可以將該命令編寫進autorun.inf文件放置在硬盤根目錄自定義硬盤的圖標。 (3)自定義卷標 雖然說光盤刻錄軟件中一般都可以設置光盤卷標，但是如果要批量刻錄的話，那就會顯的很麻煩，不如使用命令定義的快捷。 定義卷標是利用label命令來完成的，它的語法和open、icon是一樣的，在這里不再多述。 (4)添加右鍵菜單 當我們右擊刻錄的光盤時，經常會在右鍵菜單中發(fā)現(xiàn)一個自動播放的選項，其實這主要是利用autorun.inf中的open命令來實現(xiàn)的，其實我們還可以根據需要添加其它菜單命令。 添加其它菜單命令的格式是“she

21、llcommand=”，例如我們編寫了一個文件內容如下： autorun shell打開記事本command=notepad.exe 這樣當我們將該文件刻錄進光盤時，右擊光盤時在彈出菜單中就會有一個“打開記事本”的命令了。 (5)改變缺省操作 一般情況下應用autorun.inf的光盤雙擊缺省操作大多是自動播放，即執(zhí)行open后面的文件操作。其實我們也可以改變這種情況，而這同樣是利用shell命令來完成。 我們先來看一個典型雙擊安裝軟件的示例： autorun shellsetupcommand=softsetup.exe shell eadme=安裝軟件 shell=setup 要看懂這段語句，我們可以從下向上看，當我們雙擊光盤時，將調用最后一句shell=setup，因為設置了該句，那么雙擊時將查找對應shellsetupcommand后面指定的命令來作為默認操作，因此默認的操作將變成執(zhí)行光盤根目錄下的soft文件夾中的setup.exe文件。 在這里主要介紹的是autorun節(jié)內容的應用，而對于autorun.alpha來說我們很少用到，而deviceinstall只能在windows xp下使用，可以利用它指定硬件向導進行遞歸搜索的子目錄。 理論基礎 經常使用光盤的朋友都知道，有很多光盤放入光驅就會自動運行，它們是怎么做的呢？光盤一放入光驅就會自動被執(zhí)行，主要依靠兩個