關於部落格
- 一起墮落吧
  • 71630

    累積人氣

  • 8

    今日人氣

    0

    追蹤人氣

autorun.inf

先來幫autorun.inf漂白一下,autorun.inf本身是不具有任何攻擊性的,或者可以說,他是windows裡面的一個功能。當光碟機吃到光碟片的時候,程式自動跳出安裝畫面、驅動程式光碟自動跳出選單、A片直接播放...等,都是autorun.inf的功勞。原理就是當光碟機徵測到有光碟被放進來的時候,會去偵測光碟片的根目錄上,有沒有autorun.inf這個檔案。然後依照autorun.inf裡面所撰寫的指令,去執行特定的程式。

所以!!autorun.inf不是病毒,只是被拿來當作病毒的前導程式而已。就像上面所說的,系統會自動去偵測autorun.inf,然後依照撰寫的指令,去執行特定的程式。假設今天指令是自動跳出安裝畫面、自動跳出相片、自動播放A片,這都是OK的。不過,如果是自動執行病毒,那問題就大了。

簡單來說,以往的病毒都比較辛苦,要想盡辦法把自己塞進【啟動】裡面,或是辛苦的偽裝成【服務】,好讓自己可以一開機就被執行。而這款的病毒就清鬆多啦~~從頭到尾只要把一個系統認識的檔案,還有自己放進磁碟機裡面,就可以躺在那邊爽爽的等使用者來執行了。只要當使用者點選該磁碟機,觸發autorun.inf,autorun.inf呼叫病毒or木馬,接著.....一切的一切,就都照小木馬主人的意思走了。

今天的目的,不像上一篇這麼辛苦,還要解毒、殺毒,而是要讓大家知道該怎麼防範未然。 網路上流傳了好幾種解決方式,最常見,最具口碑的是,在所有的磁碟機裡面,都建立一個叫做autorun.inf的資料夾,沒有看錯,整叢好好,就是資料夾,不是檔案。因為如果是檔案,很容易就會被覆寫過去,但是如果是資料夾,因為資料夾沒辦法寫入資訊,所以當然也就沒辦法把惡意指令寫進去。看起來彷彿很讚,但是....很醜,想想看,每個資料夾都要新增,而且以後都會看到資料夾有個醜醜的autorun.inf資料夾,看了就不爽。 不過,不爽歸不爽,如果你是隨身碟的愛用者,不妨用這個方式來保護你的隨身碟,以避免隨身碟遭到感染。畢竟當隨身碟插在別人的身上...不對,是電腦上,控制權就在別人的電腦手上了。

好啦~~既然不爽,那就要有爽的方法。另外還看到改regedit的方式來直接把autorun這個功能關掉的方式。首先,點選【開始】、【執行】、輸入regedit。 【接下來的內容,可能會導致你的電腦掛掉,舉凡心臟不夠力者、無持有好人卡之朋友者、對於重灌電腦有嚴重恐懼症者,請乖乖的找擁有白金好人卡的朋友來處理。處理後,請不要忘記增加它的好人紅利點數喔~~】 接著找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer目錄,在右側會看到NoDriveTypeAutoRun
研究發現,很怪的地方是這玩意兒,有些人在【類型】的地方會是REG_DWORD(16進位),也有些人會是REG_BINARY(2進位,不是小甜甜布蘭妮),像筆者的就是dword的類型,但是一早在大頭目二號機的電腦上看到的卻是binary。基本上,沒啥差別......反正看不看的懂是m$他家的事。
好啦~~接下來的內容,看的懂得就看,看不懂的可以跳過。
裝置
保留值1
RAM磁碟機0
CD-ROM光碟機0
網路磁碟機1
固定式磁碟機0
移動式磁碟機1
沒有根目錄的磁碟機0
不認識的裝置1

看完上表,沒有解釋基本上是看的一頭霧水的。NoDriveTypeAutoRun的功能基本上,就是定義磁碟機是否要執行autorun,【裝置】應該大家都看的懂中文,後面的【值】,1表示停用,0表示啟用。依照上表,可以拼出10010101這個令人討厭的二進位字串,轉換成16進位就會是95(請愛用小算盤的工程型)。這時候呢,就可以在NoDriveTypeAutoRun上面,用力的點兩下,然後在欄位裡面輸入95(若是binary,則是輸入95 00 00 00)。按下確定、重開機後,只要是ram磁碟機、光碟機、硬碟、沒有根目錄的磁碟機等裝置,只要在我的電腦那邊,點兩下圖示,如果那個磁碟機有autorun.inf檔案,那就會執行autorun.inf上的指令。

(啥?不是說要教怎麼關掉嗎??) 吼~粉笨捏,都講這麼清楚了。1是關掉,0是打開,全部關掉那就是11111111,轉16進位就是FF,改成輸入FF就全關掉囉~~~ 【2007/12/23 Update!!!】 完整M$洋文說明,請見:http://msdn2.microsoft.com/en-us/library/bb776825.aspx
相簿設定
標籤設定
相簿狀態