AutoRun

AutoRun

windows系统自动运行的文件命令
AutoRun,正如其字面意思,自动运行,是微软的windows系统的一种自动运行的文件命令,主要用于对于移动设施的自动运行。[1]AutoRun在Windows 95时首度露面,目的是帮助用户正确运行光盘上制作者想要运行的文件,另外AutoRun也能透过双击我的计算机内的设备图标引导AutoRun。但后来U盘病毒横行,微软发布更新关闭非光盘驱动器的AutoRun。[3]所以一旦用户发现来源不明的AutoRun.exe或者AutoRun.inf文件时一定要注意,要及时用反病毒软件查杀,避免因此遭受损失。在Windows XP之后,微软让用户方便选择相关应用程序,制作出如图形化接口方式让用户选择如何处理设备中的文件。
    中文名:AutoRun 外文名: 所属学科: 性质:自动运行的文件命令 主要用于:对于移动设施的自动运行 相关:现在却被很多病毒利用

简介

在“开始”菜单的“运行”中输入Regedit, 打开注册表编辑器,展开到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexploer主键下,在右侧窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。

双击“NoDriveTypeAutoRun”,默认状态下(即你没有禁止过AutoRun功能),在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00。其中第一个值“95”是16进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制就是1001 01 01,其中每位代表一个设备,Windows中不同设备会用如下数值表示:

设备名称 第几位 值 设备用如下数值表示设备名称含义

DRⅣE_UNKNOWN 0101h不能识别的设备类型

DRⅣE_NO_root_DIR 1002h 没有根目录的驱动器(Drive without root directory)

DRⅣE_REMOVABLE2104h可移动驱动器(Removable drive)

DRⅣE_FⅨED3008h 固定的驱动器(Fixed drive)

DRⅣE_REMOTE 4110h网络驱动器(Network drive)

DRⅣE_CDROM5020h光驱(CD-ROM)

DRⅣE_RAMDISK 6040h RAM磁盘(RAM Disk) 保留7180h未指定的驱动器类型(Not yet specified drive disk)

在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运行,这些数值累加正好是16进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。

由上面的分析不难看出,在默认情况下,会自动运行的设备是DRⅣE_NO_ROOT_DIR、DRⅣE_FⅨED、DRⅣE_CDROM、DRⅣE_RAMDISK这4个保留设备,所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRⅣE_FⅨED的值设为1,这是因为DRⅣE_FⅨED代表固定的驱动器,即硬盘。这样一来,原来的1 00101 01(在表中“值”列中由下向上看)就变成了二进制的10011101,转为16进制为9D。现在,将“No Drive Type AutoRun”的键值改为9D,00,00,00,关闭注册表编辑器,重启电脑就会关闭硬盘的AutoRun功能。

禁止功能

怎样禁止光盘AutoRun功能?

其实就是将DRⅣE_CDROM设为1,这样“No Drive TypeAutoRun”键值中的第一个值就变成了10110101,也就是16进制的B5。将第一个值改为B5后关闭注册表编辑器,重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“No Drive Type AutoRun”的键值改为:BD,00,00,00即可。如果想要恢复硬盘或光驱的AutoRun功能,进行反方向操作即可。

事实上,大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序,因此,我们完全可以将硬盘的AutoRun功能关闭,这样即使在硬盘根目录下有AutoRun.inf这个文件,Windows也不会去运行其中指定的程序,从而可以达到防止黑客利用AutoRun.inf文件入侵的目的。

种类划分

AutoRun.inf文件

autorun.inf文件是从Windows95开始的,最初用在其安装盘里,实现自动安装,以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。

其结构有三个部分:[AutoRun] [AutoRun.Alpha] [DeviceInstall]

[AutoRun]适用于Windows95以上系统与32位以上CD-ROM,必选。

[AutoRun.alpha]适用于基于RISC的计算机光驱,适用系统为Windows NT 4.0,可选。

[DeviceInstall]适用于Windows XP以上系统,可选。

[AutoRun]部分的命令及其详解。

1、DefaultIcon

含义:指定应用程序的默认图标。

格式:

DefalutIcon=图标路径名[,序号]

参数

图标文件名:应用程序的默认图标路径名,格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时,有时需要使用序号来指定图标。

序号:当文件格式为.exe和.dll时,文件可能包括多余一个图标,此时需要使用序号来指定图标,需要注意的是,序号是从0开始的。

备注:

应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

2、Icon

含义:指定设备显示图标。

格式:

Icon=图标路径名[,序号]

参数:

图标文件名:应用程序的默认图标路径名,格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时,有时需要使用序号来指定图标。

序号:当文件格式为.exe和.dll时,文件可能包括多余一个图标,此时需要使用序号来指定图标,需要注意的是,序号是从0开始的。

备注:

设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

当存在应用程序默认图标(DefaultIcon)时,本命令无效。

3、Label

含义:指定设备描述

格式:

Label=描述

参数:

描述:任意文字,可以包括空格。

备注:

设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述卷标来显示。

在非windows explorer核心的驱动显示窗口中(例如右击设备选择属性)显示的仍然是设备的卷标。

4、Open

含义:指定设备启用时运行之命令行。

格式:

Open=命令行

(命令行:程序路径名 [参数])

参数:

命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开或使用ShellExecute命令。

备注:

命令行的起始目录是设备根目录和系统的$Path环境变量

5、ShellExecute

含义:

指定设备启用时执行文件。(操作系统支持未知)

格式:

ShellExecute=执行文件路径名 [参数]

参数:

执行文件路径名:设备启用时执行文件路径名。可以是任意格式文件。系统会调用设置的程序执行此文件。

参数:参数,根据执行文件作调整

备注:

命令行的起始目录是设备根目录和系统的$Path环境变量。

6、Shell关键字Command

含义:

定义设备右键菜单执行命令行。

格式:

Shell关键字Command=命令行

(命令行:程序路径名 [参数])

参数:

命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开。

备注:

命令行的起始目录是设备根目录和系统的$Path环境变量。

7、Shell关键字

含义:定义设备右键菜单文本。

格式:

Shell关键字=文本

参数:

关键字:用以标记菜单,可以使用任何字符表示,包括空格。

文本:在右键菜单中显示的文本。可以使用任何字符,不能存在空格。

备注:

在同一Autorun.inf文件中,不同右键菜单关键字不同,相同右键菜单关键字相同。

右键菜单文本中可以使用&设定加速键,&&输出一个&。

Shell关键字Command命令Shell关键字两者缺一不可,顺序无所谓。

当不存在Open、ShellExecute与Shell命令时,设备启用时运行第一个设备右键菜单指定命令。

8、Shell

含义:定义设备启用时运行之设备右键命令。

格式:

Shell=关键字

参数:

关键字:标记过的菜单关键字

备注:

Shell指定的关键字可以在AutoRun.inf文件的任意部分。

OpenShellExecuteShell命令后定义的优先级高。

如何删除autorun.inf文件夹?

在命令提示符中,输入rd (文件夹位置)即可删除文件夹。

病毒资料

AUTORUN.INF病毒资料

MVS.exe Dropper.VB.acd

LaunchCd.exe Trojan.VB.vwp

Tel.xls.exe Worm.VB.lv

Ghost.exe,conime.exe Trojan.DL.Agent.blr

Autorun.exe Trojan.Agent.xkt

toy.exe Worm.Agent.av

autorun.exe soundmix.exe Worm.Clive.a

printer.exe Trojan.VB.wio

BootIO.exe Trojan/Agent.Bui

免疫程序

Autorun免疫程序

打开需要免疫的盘符,然后点击免疫。移动硬盘先连接电脑后,然后打开程序。U盘、等其它移动设备如没有检测到盘符,可自行手动输入盘符名称,然后执行免疫。

我们知道,同一目录下,两个相同文件名的文件是不能共存的。经过免疫后的磁盘,会在磁盘的根目录下生成一个防删除、替换并隐藏的Autorun.inf文件夹,并自动设置为只读和系统隐藏属性,以防止病毒借助Autorun自动运行文件进行病毒的自动传播。

步骤如下:

新建一个空文本文档,并更名为"1.bat"(扩展名改成bat),输入如下命令:

x:(x表示盘符,如果是h盘,就输入h:)

md autorun.inf

cd autorun.inf

md con

(因为con文件夹在DOS中不可直接输入命令,要加入“”)

然后打开此文件,就可免疫。可放到该U盘中,但不要放在U盘的文件夹中,否则会在这个文件夹里新建一个这样的免疫文件夹。

当有病毒的移动磁盘插入电脑时,如果您发现系统提示:“无法写入AUTORUN:访问被拒绝。请确定磁盘未满或未被写保护而且未被使用”时,此时病毒写入电脑失败。

如果您想删除磁盘目录下的此免疫文件,请重新新建一个空文本文档,并更名为"2.bat"(扩展名改成bat),输入如下命令:

x:(x表示盘符,如果是h盘,就输入h:)

cd autorun.inf

rd con

cd..

rd autorun.inf

然后打开此文件,就可解除免疫。可放到该U盘中,但不要放在U盘的文件夹中,否则无效。

注:在极小数系统下面点执行后会提示选择盘符,这不影响使用。

相关词条

相关搜索

其它词条