病毒分析培訓(xùn)

1、autorun.inf目錄 總說(shuō) Autorun.inf文件解釋與Autorun.inf相關(guān)的知識(shí) 現(xiàn)狀分析 應(yīng)對(duì)策略 總說(shuō)U盤對(duì)病毒的傳播要借助autorun.inf文件的幫助，病毒首先把自身復(fù)制到u盤，然后創(chuàng)建一個(gè)autorun.inf,在你雙擊u盤時(shí)，會(huì)根據(jù)autorun.inf中的設(shè)置去運(yùn)行u盤中的病毒,我們只要可以阻止autorun.inf文件的創(chuàng)建，那么U盤上就算有病毒也只能躺著睡大覺了,大家可能也想到這個(gè)，但是不管給autorun.inf設(shè)置了什么屬性，病毒都會(huì)更改它，我提到的方法就是，在根目錄下，刪除autorun.inf文件，然后，根目下建立一個(gè)文件夾，名字就叫autorun

2、.inf，這樣一來(lái)，因?yàn)樵谕荒夸浵?，病毒就無(wú)能為力，創(chuàng)建不了autorun.inf文件了,以后會(huì)不會(huì)出新病毒，自動(dòng)去刪文件夾，然后再建立文件就不知道了，但至少現(xiàn)階段，這種方法是非常有效的。但是，由于這個(gè)文件夾可以被改名，因此許多新的木馬和病毒采用改名后再創(chuàng)建autorun.inf文件來(lái)達(dá)到感染U盤的目的。不過(guò)對(duì)于安全意識(shí)強(qiáng)的用戶，用這種方法來(lái)判斷自己的U盤是否遭到感染也未嘗不可。 Autorun.inf文件解釋autorun.inf文件是從Windows95開始的，最初用在其安裝盤里，實(shí)現(xiàn)自動(dòng)安裝，以后的各版本都保留了該文件并且部分內(nèi)容也可用于其他存儲(chǔ)設(shè)備。 其結(jié)構(gòu)有三個(gè)部分：AutoRun

3、 AutoRun.Alpha DeviceInstall AutoRun適用于Windows95以上系統(tǒng)與32位以上CD-ROM，必選。 AutoRun.alpha適用于基于RISC的計(jì)算機(jī)光驅(qū)，適用系統(tǒng)為Windows NT 4.0，可選。 DeviceInstall適用于Windows XP以上系統(tǒng)，可選。AutoRun部分的命令及其詳解 1、DefaultIcon 含義：指定應(yīng)用程序的默認(rèn)圖標(biāo)。 格式： DefalutIcon=圖標(biāo)路徑名,序號(hào) 參數(shù)： 備注： 應(yīng)用程序的默認(rèn)圖標(biāo)將在windows explorer核心的驅(qū)動(dòng)顯示窗口中替代設(shè)備的默認(rèn)圖標(biāo)來(lái)顯示。 圖標(biāo)路徑名的默認(rèn)目錄是設(shè)備

4、根目錄。 2、Icon 含義：指定設(shè)備顯示圖標(biāo)。格式： Icon=圖標(biāo)路徑名,序號(hào) 參數(shù)： 備注： 設(shè)備顯示圖標(biāo)將在windows explorer核心的驅(qū)動(dòng)顯示窗口中替代設(shè)備的默認(rèn)圖標(biāo)來(lái)顯示。 圖標(biāo)路徑名的默認(rèn)目錄是設(shè)備根目錄。 當(dāng)存在應(yīng)用程序默認(rèn)圖標(biāo)(DefaultIcon)時(shí)，本命令無(wú)效。 3、Label 含義：指定設(shè)備描述 格式： Label=描述 參數(shù)： 描述：任意文字，可以包括空格。 備注： 設(shè)備描述將在windows explorer核心的驅(qū)動(dòng)顯示窗口中替代設(shè)備的默認(rèn)描述卷標(biāo)來(lái)顯示。 在非windows explorer核心的驅(qū)動(dòng)顯示窗口中（例如右擊設(shè)備選擇屬性）顯示的仍然是設(shè)備

5、的卷標(biāo)。4、Open 含義：指定設(shè)備啟用時(shí)運(yùn)行之命令行。格式：Open=命令行 (命令行：程序路徑名 參數(shù)) 參數(shù)： 命令行：自動(dòng)運(yùn)行的命令行，必須是.exe、.com、.bat文件，其他格式文件可以使用start.exe打開或使用ShellExecute命令。 備注： 命令行的起始目錄是設(shè)備根目錄和系統(tǒng)的Path環(huán)境變量。 5、ShellExecute 含義： 指定設(shè)備啟用時(shí)執(zhí)行文件。（操作系統(tǒng)支持未知） 格式： ShellExecute=執(zhí)行文件路徑名 參數(shù) 參數(shù)： 執(zhí)行文件路徑名：設(shè)備啟用時(shí)執(zhí)行文件路徑名?？梢允侨我飧袷轿募?。系統(tǒng)會(huì)調(diào)用設(shè)置的程序執(zhí)行此文件。 參數(shù)：參數(shù)，根據(jù)執(zhí)行文件作調(diào)

6、整 備注： 命令行的起始目錄是設(shè)備根目錄和系統(tǒng)的Path環(huán)境變量。 6、Shell關(guān)鍵字Command 含義： 定義設(shè)備右鍵菜單執(zhí)行命令行。 格式： Shell關(guān)鍵字Command=命令行 (命令行：程序路徑名 參數(shù)) 參數(shù)： 命令行：自動(dòng)運(yùn)行的命令行，必須是.exe、.com、.bat文件，其他格式文件可以使用start.exe打開。 備注： 命令行的起始目錄是設(shè)備根目錄和系統(tǒng)的Path環(huán)境變量。 7、Shell關(guān)鍵字 含義：定義設(shè)備右鍵菜單文本。 格式： Shell關(guān)鍵字=文本 參數(shù)： 關(guān)鍵字：用以標(biāo)記菜單，可以使用任何字符表示，包括空格。 文本：在右鍵菜單中顯示的文本?？梢允褂萌魏巫址?，

7、不能存在空格。 備注： 在同一Autorun.inf文件中，不同右鍵菜單關(guān)鍵字不同，相同右鍵菜單關(guān)鍵字相同。 右鍵菜單文本中可以使用&設(shè)定加速鍵，&&輸出一個(gè)&。 Shell關(guān)鍵字Command命令Shell關(guān)鍵字兩者缺一不可，順序無(wú)所謂。 當(dāng)不存在Open、ShellExecute與Shell命令時(shí)，設(shè)備啟用時(shí)運(yùn)行第一個(gè)設(shè)備右鍵菜單指定命令。 8、Shell 含義：定義設(shè)備啟用時(shí)運(yùn)行之設(shè)備右鍵命令。 格式： Shell=關(guān)鍵字 參數(shù)： 關(guān)鍵字：標(biāo)記過(guò)的菜單關(guān)鍵字 備注： Shell指定的關(guān)鍵字可以在AutoRun.inf文件的任意部分。 OpenShellEx

8、ecuteShell命令后定義的優(yōu)先級(jí)高。AutoRun.alpha部分的命令簡(jiǎn)介AutoRun.alpha部分的命令與AutoRun部分的命令相同，只不過(guò)在基于RISC的計(jì)算機(jī)光驅(qū)中，AutoRun.alpha優(yōu)先級(jí)高于AutoRun DeviceInstall部分命令及其詳解DriverPath 含義：定義搜索驅(qū)動(dòng)程序目錄。 格式： DriverPath=驅(qū)動(dòng)程序路徑 參數(shù)： 驅(qū)動(dòng)程序路徑：驅(qū)動(dòng)程序所在路徑，包括其子路徑。 備注： Windows XP以上支持。 僅CD-ROM支持 當(dāng)系統(tǒng)監(jiān)測(cè)到一個(gè)新的設(shè)備時(shí)，會(huì)提示用戶尋找設(shè)備的驅(qū)動(dòng)程序。當(dāng)用戶點(diǎn)選此CD-ROM時(shí)，當(dāng)DeviceInst

9、all部分存在時(shí)，系統(tǒng)會(huì)按照DriverPath所標(biāo)記的路徑出尋找驅(qū)動(dòng)程序。未標(biāo)記的路徑系統(tǒng)將忽略查找。當(dāng)DeviceInstall部分不存在時(shí)，系統(tǒng)將進(jìn)行完全查找。 如果不希望系統(tǒng)在此CD-ROM中搜索驅(qū)動(dòng)程序，只加一行DeviceInstall不加DriverPath命令即可。 系統(tǒng)識(shí)別該文件過(guò)程如下： 系統(tǒng)在插入U(xiǎn)盤的時(shí)候會(huì)根據(jù)這個(gè)AUTORUN.INF文件在注冊(cè)表HKEY_CURRENT_USERSoftware/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2下建立一個(gè)u盤的關(guān)聯(lián)項(xiàng),使雙擊打開指定的程序(如病毒程序)。與Au

10、torun.inf相關(guān)的知識(shí)大家都知道利用磁盤自啟動(dòng)是Autorun.inf，那么，文件夾呢？這兩個(gè)文件中，Desktop.ini是用來(lái)記錄文件夾背景、圖表等信息。而folder.htt是用來(lái)記錄啟動(dòng)文件夾時(shí)自運(yùn)行程序的。有點(diǎn)類似瑞星隔離文件夾，雙擊自動(dòng)啟動(dòng)隔離系統(tǒng)。但是被病毒利用后，微軟就禁用了Folder.htt，所有的功能只能靠Desktop.ini?，F(xiàn)狀分析事實(shí)表明，目前已經(jīng)有新的病毒能夠有意識(shí)地檢測(cè)autorun.inf的存在，對(duì)于能直接刪除的則刪之，對(duì)于“無(wú)法刪除”的則用重命名的方式毀之;還有一種很早就出現(xiàn)的以文件名誘騙用戶點(diǎn)擊的病毒(如：重要文件.exe，小說(shuō).exe)。對(duì)于以上

11、這兩種傳播方式的病毒，僅僅建立autorun.inf文件夾是抵御不了的。 應(yīng)對(duì)策略1、在插入U(xiǎn)盤時(shí)按住鍵盤 shift 鍵直到系統(tǒng)提示“設(shè)備可以使用”，然后打開U盤時(shí)不要雙擊打開，也不要用右鍵菜單的打開選項(xiàng)打開，而要使用資源管理器(打開我的電腦，按下上面的“文件夾”按鈕，或者開始-所有程序-附件-windows資源管理器)將其打開，或者使用 快捷鍵winkey+E打開資源管理器后，一定通過(guò)左側(cè)欄的樹形目錄打開可移動(dòng)設(shè)備！(要養(yǎng)成這樣的良好習(xí)慣) 2、如果盤內(nèi)有來(lái)路不明的文件，尤其是文件名比較誘惑人的文件，必須多加小心；需要特別提示的是，不要看到圖標(biāo)是文件夾就理所當(dāng)然是文件夾，不要看到圖標(biāo)是記事本就理所當(dāng)然是記事本，偽裝圖標(biāo)是病毒慣用伎倆。 3、要有顯示文件擴(kuò)展名的習(xí)慣 。方法：打開“我的電腦”，工具-文件夾選項(xiàng)-查看，去掉“隱藏已知文件類型的擴(kuò)展名”的勾，建議選擇顯示擴(kuò)展名同時(shí)選上“顯示隱藏文件”，去掉“不顯示系統(tǒng)文件”的勾，這樣可以對(duì)病毒看得更清楚。有圖標(biāo)的誘人的病毒文件基本都是可執(zhí)行文件，顯示文件擴(kuò)展名之后，通過(guò)文件名后的"