网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 病毒防护 > 文章  
技术分析系列之详解来自Autorun的攻击
文章来源: IT专家网论坛 文章作者: 未知 发布时间: 2007-01-24   字体: [ ]
 

最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法,由于AutoRun.inf文件在黑客技术中的应用还是很少见的,有很多人对此觉得很神秘

  最近网上流行通过 AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法,由于AutoRun.inf文件在黑客技术中的应用还是很少见的,相应的资料也不多,有很多人对此觉得很神秘,本文试图为您解开这个迷,使您能完全的了解这个并不复杂却极其有趣的技术。

  一、理论基础

  经常使用光盘的朋友都知道,有很多光盘放入光驱就会自动运行,它们是怎么做的呢?光盘一放入光驱就会自动被执行,主要依靠两个文件,一是光盘上的AutoRun.inf文件,另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

  AutoRun.inf不光能让光盘自动运行程序,也能让硬盘自动运行程序,方法很简单,先打开记事本,然后用鼠标右键点击该文件,在弹出菜单中选择“重命名”,将其改名为AutoRun.inf,在AutoRun.inf中键入以下内容:

[AutoRun]    //表示AutoRun部分开始,必须输入
Icon=C:\C.ico  //给C盘一个个性化的盘符图标C.ico
Open=C:\1.exe  //指定要运行程序的路径和名称,在此为C盘下的1.exe

  保存该文件,按F5刷新桌面,再看“我的电脑”中的该盘符(在此为C盘),你会发现它的磁盘图标变了,双击进入C盘,还会自动播放C盘下的1.exe文件!

  解释一下:“[AutoRun]”行是必须的固定格式,“Icon”行对应的是图标文件,“C:\C.ico”为图标文件路径和文件名,你在输入时可以将它改为你的图片文件所在路径和文件名。另外,“.ico”为图标文件的扩展名,如果你手头上没有这类文件,可以用看图软件ACDSee将其他格式的软件转换为ico格式,或者找到一个后缀名为BMP的文件,将它直接改名为ICO文件即可。

  “Open”行指定要自动运行的文件及其盘符和路径。要特别说明的是,如果你要改变的硬盘跟目录下没有自动播放文件,就应该把“OPEN”行删掉,否则就会因为找不到自动播放文件而打不开硬盘,此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。

  请大家注意:保存的文件名必须是“AutoRun.inf”,编制好的Autorun.inf文件和图标文件一定要放在硬盘根目录下。更进一步,如果你的某个硬盘内容暂时比较固定的话,不妨用Flash做一个自动播放文件,再编上“Autorun”文件,那你就有最酷、最个性的硬盘了。

  到这儿还没有完。大家知道,在一些光盘放入后,我们在其图标上单击鼠标右键,还会产生一个具有特色的目录菜单,如果能对着我们的硬盘点击鼠标右键也产生这样的效果,那将更加的有特色。其实,光盘能有这样的效果也仅仅是因为在AutoRun.inf文件中有如下两条语句:

shell\标志=显示的鼠标右键菜单中内容
shell\标志\command=要执行的文件或命令行

  所以,要让硬盘具有特色的目录菜单,在AutoRun.inf文件中加入上述语句即可,示例如下:

  shell\1=天若有情天亦老

  shell\1\command\=notepad ok.txt

  保存完毕,按F5键刷新,然后用鼠标右键单击硬盘图标,在弹出菜单中会发现“天若有情天亦老”,点击它,会自动打开硬盘中的“ok.txt”文件。注意:上面示例假设“ok.txt”文件在硬盘根目录下,notepad为系统自带的记事本程序。如果要执行的文件为直接可执行程序,则在 “command\”后直接添加该执行程序文件名即可。

  二、实例

  下面就举个例子:如果你扫到一台开着139共享的机器,而对方只完全共享了D盘,我们要让对方的所有驱动器都共享。首先编辑一个注册表文件,打开记事本,键入以下内容:

REGEDIT4
'此处一定要空一行
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="C:"
"Remark"=""

 
推荐文章
·实测:熊猫烧香考验五大杀毒软件
·实测!NOD32真的没有登录前保护功
·17款杀毒软件测试:微软OneCare
·一盘在手杀毒无忧 DIY超完美杀毒
·看清手中的安全利器:五大杀毒引
·查杀exploit-dropper.1 table
·病毒导致双击无法打开硬盘的解决
·小心 “Ajax”也能编写“熊猫烧
·AVAST杀毒软件
·时尚的免费杀毒软件Avast!超酷
·小心:中了熊猫烧香 谨慎重安系
·熊猫烧香病毒幕后黑手曝光 曾造2
·“熊猫烧香”病毒的病毒描述和发
·熊猫烧香来源追查,从病毒行为中
 

 
共3页: 上一页 1 [2] [3] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·最新的2006版AVAST中文
·wsctf.exe和EXPLORER.EX
·双击无法打开硬盘之COMM
·Adware.Roogoo 恶意广告
·警惕adware.Roogoo 恶性
·AVAST杀毒软件
·实测:熊猫烧香考验五大
·绝对值得一看的杀毒软件
相关分类
相关文章
·双击无法打开硬盘之COMM
·三点高招解除闪存盘内的
·病毒导致双击无法打开硬
·简简单单小方法 帮你防
·看清手中的安全利器:五
·一盘在手杀毒无忧 DIY超
·另类杀毒方法 用Ftype巧
·病毒信息:“小不点”变
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $