autorun.inf文件及"病毒"介绍

a102135

一、autorun.inf是windows下操纵光盘行为的一个文件，需要放在光盘根目录下，部分操作对于硬盘也适用。

　　需要声明的是autorun.inf并不是病毒，这也是众多杀毒软件对此文件不理不顾的原因。可以理解为它是微软为了方便开发者去自定义当前操作用户进入驱动器的方式而建立的一种特殊的打开磁盘以及进行相关操作方式的引导文件。譬如当你将windows xp的安装盘放入光驱后，你没有进行任何操作，windows安装程序即会自动运行，这即是开发者所定义的你浏览光盘的方式。但是凡事有利有弊，当病毒制造者将此文件引导向一个病毒文件时，该病毒就会进入激活状态。

　　

　　通常由于U盘使用的并不是光盘格式，所以虽然在根目录下有autorun.inf文件（autorun.inf仅在驱动器的根目下有效，这里包括映射成驱动器的目录），但其本身不会随U盘的插入而运行，而病毒之所以能够通过其运行，一般是由于用户的误操作而引起的。

二、autorun.inf是可以被禁止的。方法如下：

　　点击开始->运行，在文本框中输入regedit或者regedt32。依次展开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Exploer，其中的NoDriveTypeAutoRun子键限制着Autorun的作用范围，默认为95（16进制）。

　　把禁用的设备标志相加设置为键值就可以完成设置。其中设备标志如下

01h DRIVE_UNKNOWN 无法识别的设备、未知设备(建议禁止，默认禁止)

02h DRIVE_NO_ROOT_DIR 没有根目录的设备(Drive without root directory未知含义，建议禁止，默认不禁止)

04h DRIVE_REMOVABLE 可移动的设备(U盘，建议禁止，很多病毒利用U盘的Autorun.inf进行传染，默认禁止)

08h DRIVE_FIXED 固定的设备(硬盘，自己看着办，默认不禁止)

10h DRIVE_REMOTE 网络设备(web驱动器，建议禁止，默认禁止)

20h DRIVE_CDROM 光盘驱动设备(CDROM，默认不禁止)

40h DRIVE_RAMDISK 虚拟存储设备(RAM，建议禁止，默认不禁止)

80h 未指定的其他驱动器(保留位，建议禁止，默认禁止)

　　在选择他们时，应采取相加的关系，譬如你需要除了光驱，剩下的设备都不允许运行。那么就是01+02+04+08+10+40+80=df（注意：这里是十六进制的加法）（全部禁用为ff，建议修改为ff），所以打开注册表将默认的95改成df就可以了

　　

　　你也可以将以下代码保存为*.reg文件然后运行：

　　

　　Windows Registry Editor Version 5.00

　　

　　[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer]

　　\"NoDriveTypeAutoRun\"=dword:000000df

三、autorun.inf文件分为三大部分[AutoRun] [AutoRun.Alpha] [DeviceInstall]。

[AutoRun]适用于Windows95以上系统与32位以上CD-ROM，必选。

[AutoRun.alpha]适用于基于RISC的计算机光驱，适用系统为Windows NT 4.0，可选。

[DeviceInstall]适用于Windows XP以上系统，可选。

四、[AutoRun]部分的命令及其详解。

1、DefaultIcon

含义：指定应用程序的默认图标。

格式：DefalutIcon=图标路径名[,序号]

参数：图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。

序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。

备注：

应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

2、Icon

含义：指定设备显示图标。

格式：Icon=图标路径名[,序号]

参数：图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。

序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。

备注：

设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

a102135

一、autorun.inf是windows下操纵光盘行为的一个文件，需要放在光盘根目录下，部分操作对于硬盘也适用。

　　需要声明的是autorun.inf并不是病毒，这也是众多杀毒软件对此文件不理不顾的原因。可以理解为它是微软为了方便开发者去自定义当前操作用户进入驱动器的方式而建立的一种特殊的打开磁盘以及进行相关操作方式的引导文件。譬如当你将windows xp的安装盘放入光驱后，你没有进行任何操作，windows安装程序即会自动运行，这即是开发者所定义的你浏览光盘的方式。但是凡事有利有弊，当病毒制造者将此文件引导向一个病毒文件时，该病毒就会进入激活状态。

　　

　　通常由于U盘使用的并不是光盘格式，所以虽然在根目录下有autorun.inf文件（autorun.inf仅在驱动器的根目下有效，这里包括映射成驱动器的目录），但其本身不会随U盘的插入而运行，而病毒之所以能够通过其运行，一般是由于用户的误操作而引起的。

二、autorun.inf是可以被禁止的。方法如下：

　　点击开始->运行，在文本框中输入regedit或者regedt32。依次展开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Exploer，其中的NoDriveTypeAutoRun子键限制着Autorun的作用范围，默认为95（16进制）。

　　把禁用的设备标志相加设置为键值就可以完成设置。其中设备标志如下

01h DRIVE_UNKNOWN 无法识别的设备、未知设备(建议禁止，默认禁止)

02h DRIVE_NO_ROOT_DIR 没有根目录的设备(Drive without root directory未知含义，建议禁止，默认不禁止)

04h DRIVE_REMOVABLE 可移动的设备(U盘，建议禁止，很多病毒利用U盘的Autorun.inf进行传染，默认禁止)

08h DRIVE_FIXED 固定的设备(硬盘，自己看着办，默认不禁止)

10h DRIVE_REMOTE 网络设备(web驱动器，建议禁止，默认禁止)

20h DRIVE_CDROM 光盘驱动设备(CDROM，默认不禁止)

40h DRIVE_RAMDISK 虚拟存储设备(RAM，建议禁止，默认不禁止)

80h 未指定的其他驱动器(保留位，建议禁止，默认禁止)

　　在选择他们时，应采取相加的关系，譬如你需要除了光驱，剩下的设备都不允许运行。那么就是01+02+04+08+10+40+80=df（注意：这里是十六进制的加法）（全部禁用为ff，建议修改为ff），所以打开注册表将默认的95改成df就可以了

　　

　　你也可以将以下代码保存为*.reg文件然后运行：

　　

　　Windows Registry Editor Version 5.00

　　

　　[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer]

　　\"NoDriveTypeAutoRun\"=dword:000000df

三、autorun.inf文件分为三大部分[AutoRun] [AutoRun.Alpha] [DeviceInstall]。

[AutoRun]适用于Windows95以上系统与32位以上CD-ROM，必选。

[AutoRun.alpha]适用于基于RISC的计算机光驱，适用系统为Windows NT 4.0，可选。

[DeviceInstall]适用于Windows XP以上系统，可选。

四、[AutoRun]部分的命令及其详解。

1、DefaultIcon

含义：指定应用程序的默认图标。

格式：DefalutIcon=图标路径名[,序号]

参数：图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。

序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。

备注：

应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

2、Icon

含义：指定设备显示图标。

格式：Icon=图标路径名[,序号]

参数：图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。

序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。

备注：

设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。