Autorun.inf

Az Autorun.inf  egy fájl, amely alkalmazások és programok adathordozóra való automatikus indítására vagy telepítésére szolgál a Microsoft Windows operációs rendszer környezetben ( Windows 95 -től kezdve ). Ennek a fájlnak annak az eszköznek a fájlrendszerének gyökérkönyvtárában kell lennie, amelyen az automatikus indítás történik . A fájl szerkezeti elemekre - blokkokra van osztva. A blokkok nevét szögletes zárójelben írjuk. A blokk leírása paraméter→érték párokat tartalmaz .

Eredeti cél

Az alkalmazás automatikus indítása rendkívül egyszerűvé tette a felhasználó számára a szoftverek és eszközvezérlők telepítését és futtatását [1] .

Másolásvédelem

Ezenkívül egyes audiolemezeket gyártó vállalatok megpróbálták ezt a technológiát használni a lemezek tartalmának a másolástól való megvédésére egy olyan program automatikus futtatásával, amely megakadályozza a másolást. Ismert azonban egy eset, hogy ez a program rootkitként viselkedik [2] .

Biztonság

Eddig az autorun.inf fájlt széles körben használták a számítógépes vírusok flash meghajtókon és hálózati meghajtókon keresztül történő terjesztésére. Ehhez a vírusszerzők az open paraméterben írják elő a rosszindulatú kódot tartalmazó futtatható fájl nevét. Fertőzött flash meghajtó csatlakoztatásakor a Windows elindítja az „open” paraméterben írt fájlt végrehajtásra, aminek következtében a számítógép megfertőződik.

A fertőzött számítógép RAM -jában található vírus időszakonként átvizsgálja a rendszert, hogy új lemezeket keressen, és ha megtalálják (ha másik flash meghajtó vagy hálózati meghajtó csatlakozik), létrehozza azokat egy másolatra mutató hivatkozással. futtatható fájlját, így biztosítva annak további terjesztését.

A vírus gyakran láthatatlanná teszi a cserélhető meghajtókon (flash meghajtón, hajlékonylemezen ) lévő fájlokat és mappákat az attrib paranccsal . Ehelyett gyakran hoz létre parancsikonokat fájl- és mappanevekkel, ritkábban parancsikont a meghajtó nevével ( E: , F: stb.). Semmi esetre sem szabad a parancsikonokra kattintani (kattintani) az egérrel. A rejtett fájlok láthatóvá tételéhez módosíthatja az Explorer tulajdonságait (browser explorer.exe ), majd futtassa a parancsot a parancssorban : cmd /c attrib -s -r -h <fájl vagy mappa elérési útja> [3 ] , írta Ugyanezt a hivatkozást olvashatja el arról, hogy a rejtett fájlok és mappák hogyan jelennek meg újra az MS Windows XP rendszerben . Miután eltávolította a vírust a számítógépről, javasoljuk, hogy törölje a törzsét a flash meghajtóról, törölje az autorun.inf fájlt , és hozzon létre egy azonos nevű mappát. A legtöbb vírus képes lesz másolni testét cserélhető adathordozóra, de nem tud automatikusan futni az autorun.inf szövegfájl nélkül . Sok tapasztalt felhasználó javasolja a parancssor vagy a fájlkezelők ( Total Commander , FAR Manager , Norton Commander stb.) használatát a flash meghajtók és hajlékonylemezek tartalmának megtekintéséhez .

Jelenleg a rosszindulatú programok terjesztésének leírt módszere nem releváns. Az autorun.inf fájlból származó utasítások végrehajtásának lehetőségét a Windows összes verziójából eltávolították, a 7-es és újabb verzióktól kezdve.

Az automatikus futtatás letiltása

Csoportházirend (gpedit.msc)

A csoportházirend automatikus indítási beállítása a Számítógép konfigurációja  - Felügyeleti sablonok - Rendszer ágban található. Az "Automatikus indítás letiltása" elemnek három értéke van: nincs beállítva, engedélyezve, letiltva. Az „enabled” érték beállításával kiválaszthatja a lemezek típusát:

  • CD-meghajtók (beleértve: ismeretlen, CD, hálózati és cserélhető meghajtók),
  • minden meghajtó.
Registry (HKCU fiók), szabályzatok

A rendszerleíró kulcsok felelősek az automatikus futtatás engedélyezéséért és letiltásáért különböző típusú adathordozókon :

[ HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\ CurrentVersion \ Policies \ Explorer ] " NoDriveTypeAutoRun " = dword : 000000ff

A kulcs lehetséges értékei:

  • 0x01 (MEGHAJTÓ – az automatikus futtatás letiltása azokon a meghajtókon, amelyekhez nincs meghajtóbetűjel hozzárendelve (nem root-beillesztett)
  • 0x04 (DRIVE_REMOVABLE) - a cserélhető eszközök (hajlékonylemezek, flash meghajtók) automatikus futtatásának letiltása
  • 0x08 (DRIVE_FIXED) - a nem eltávolítható eszközök (merevlemez) automatikus futtatásának letiltása
  • 0x10 (DRIVE_REMOTE) - az automatikus futtatási hálózati meghajtók letiltása
  • 0x20 (DRIVE_CDROM) - az automatikus futtató CD-meghajtók letiltása
  • 0x40 (DRIVE_RAMDISK) - az automatikus futtatás letiltása a virtuális lemezen ( RAM-lemez )
  • 0x80 (DRIVE_FUTURE) - az automatikus indítás letiltása ismeretlen típusú meghajtókon (jövőbeli eszköztípusok)
  • 0xFF - tiltsa le az automatikus indítást az összes meghajtónál.

Az értékek numerikus értékük összegzésével kombinálhatók. A NoDriveTypeAutoRun kulcs érvényes értékeit a KB967715 , archiválva 2009. március 31-én a Wayback Machine -nél ismerteti .

Megjegyzendő, hogy az automatikus futtatás letiltása a fenti beállításkulcs használatával nem szünteti meg a számítógép fertőzésének kockázatát. Ennek oka az a tény, hogy a kulcs értéke csak az autorun.inf végrehajtására van hatással, amikor a rendszer meghatározza a csatlakoztatott adathordozót, de nem tiltja meg a végrehajtást, ha duplán kattint a média ikonra. Így még akkor is, ha az automatikus indítási funkció le van tiltva, fertőzés történik, amikor a felhasználó megpróbál megnyitni egy csatlakoztatott meghajtót megtekintés céljából. A Microsoft kiadta a KB967715 számú , 2015. március 3-án archivált gyorsjavítást a Wayback gépen , amely teljesen megoldja ezt a problémát.

Registry (HKLM fiók), autorun.inf fájl helyettesítése

Alternatív, radikálisabb módja az autorun.inf feldolgozás letiltásának:

Windows Registry Editor 5.00 verzió [ HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @ = "@SYS:Nem létezik"

Valójában lecseréli az autorun.inf fájl tartalmát a beállításjegyzékből származó értékre, amely szándékosan üres/érvénytelen értékre van állítva. Ez ahhoz a tényhez vezet, hogy ha van egy autorun.inf fájl a lemezen, akkor a rendszer üresnek tekinti.

Ezt a módszert kell a legmegbízhatóbbnak tekinteni. A használat egyszerű módja, ha létrehoz egy megfelelő .reg fájlt, amely fut a számítógépén. [négy]

Registry (HKLM fork), minden fájltípus automatikus indításának letiltása

Lehetséges megoldás az összes fájltípus automatikus indításának letiltására (csak az automatikus indítás, a dupla kattintás és a helyi menü lesz kezelve):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"=""

Windows Update

Az autorun.inf használatával terjesztett nagyszámú rosszindulatú program arra kényszerítette a Microsoftot, hogy az új Windows 7-ben letiltja az USB-porton keresztül csatlakoztatott adathordozók (flash meghajtók, kártyaolvasók stb.) automatikus futtató programjait. 2011 februárjában a Microsoft frissítéseket adott ki az autorun.inf fájlból származó automatikus futtatási programok letiltására Windows XP és Windows Vista rendszeren. Ennek eredményeként 2011 nyarára mintegy 60%-kal csökkent azoknak a számítógépeknek a száma, amelyeken automatikusan induló vírusokat regisztráltak [5] .

Fájl szerkezeti blokkjai

Blokk [autorun]

műveleti paraméter

A műveleti paraméter felelős a szöveg megjelenítéséért az autorun menüben (ritkán használt).

Példa:

[autorun] action = Cím szövege

Megengedett szöveg megadása a dll könyvtárból :

[autorun] action = [elérési út\]fájlnév, -erőforrásazonosító Paraméter ikon

Az ikon paraméter egy ikonfájlt határoz meg az eszközhöz.

Példa:

[autorun] icon = erőforrás_neve[,szám]

vagy

[autorun] icon = .ico fájl Alapértelmezett ikon beállítás

A Defaulticon parancs csak abban különbözik, hogy lehetővé teszi az ikonfájl elérési útjának beállítását is: defaulticon=iconpath[,index]

Két parancs – ikon és alapértelmezett ikon – használata esetén a rendszer csak az alapértelmezett ikont dolgozza fel.

Paramétercímke _

Ez a paraméter a " kötetcímke " meghatározására szolgál. Ha címkét alkalmaz egy lemezre, akkor a tényleges kötetcímke el lesz rejtve (a tulajdonságokban látható).

[autorun] label = AnyText paraméter megnyitása

Az open paraméter tartalmazza annak a programfájlnak az elérési útját, amely az eszköz csatlakoztatásakor vagy elérésekor (dupla kattintás) indul el. Ezt az opciót nem szabad a shellexecute-val együtt használni, mert ütközés adódhat!

Szintaxis:

[autorun] ... open = [elérési út\]fájl [opció1 [opció2] ...] ... Automatikus lejátszás opció használata

Ez a beállítás csak az MS Windows XP rendszerrel kompatibilis, és nem csak optikai lemezeken, hanem más cserélhető adathordozókon is működik. Az érvényes érték egy - 1. Az automatikus lejátszási fájl feldolgozásának engedélyezésére szolgál. Nagyon ritkán használják, főként a flash meghajtókról történő automatikus futtatáshoz, anélkül, hogy a művelet kiválasztását kérnék (megnyitás az Intézőben, nem csinál semmit stb.).

Szintaxis:

[autorun] ... UseAutoPlay = 1 ... shellexecute opció

Az ebben a paraméterben megadott fájlt az a program nyitja meg az automatikus futtatáskor, amely a Windows rendszerleíró adatbázisában ehhez a fájltípushoz van társítva.

Ez a paraméter használható az "open" paraméter helyett, nem ajánlott ezt a két paramétert együtt használni.

Ez a paraméter a Windows operációs rendszer család összes verziójában megfelelően működik. Az MS Windows Vista rendszerben az ezzel a beállítással rendelkező lemez azonnal szoftvert vagy játékot tartalmazó lemezként azonosítható, és a megfelelő menü előhívásra kerül.

Példa:

[autorun] shellexecute = "readme.txt"

Ebben a példában a „.txt” fájlt az a program fogja megnyitni, amelyet a felhasználó alapértelmezés szerint a „.txt” fájlok megnyitásához használ.

shell paraméter

A shell=key az alapértelmezett parancsot ( alapértelmezett ) határozza meg a lemez helyi menüjéhez.

shell\key egy helyi menüelemet határoz meg.

shell\key\command a "kulcs" menüelem végrehajtható parancsát adja meg.

Példa:

[autorun] shell\keyword\command = File.exe shell\keyword = menü_címe

[Tartalom] blokkolása

Ez a blokk csak három kulcsot használ: MusicFiles, PictureFiles, VideoFiles, amely megfelel a médián lévő adattípusoknak: zene, képek, videó.

Ezeknek a kulcsoknak az értéke csak logikai igaz (igaz) vagy false (hamis) lehet.

Az igaz értéket a következő értékek bármelyike ​​adja: 1, y, igen, t, igaz.

A False a következőképpen van megadva: 0, n, nem, f, false.

Példa:

[Tartalom] MusicFiles = Y PictureFiles = 0 VideoFiles = hamis

[IgnoreContentPaths] letiltása

Amikor megpróbálja meghatározni a tartalom típusát ezen az adathordozón, a fájlok nem kereshetők az ebben a blokkban megadott mappákban és azok összes almappájában. Az elérési út tetszőleges formátumban van megadva, a relatív elérési utak üdvözlendők. Példa:

[IgnoreContentPaths] \Portable \Documents \Install

Ezt a blokkot csak az MS Windows Vista támogatja .

[DeviceInstall] letiltása

Egy DriverPath paramétert használunk, amely meghatározza az illesztőprogramok elérési útját. Nagyon ritkán és csak MS Windows XP-ben használják.

[DeviceInstall] DriverPath = drivers\video DriverPath = drivers\audio

Példa az autorun.inf fájl felsorolására

[autorun] ; A pontosvessző egy megjegyzés (a megjegyzések idegen karakterek és ismeretlen parancsok is) shellexecute = readme.txt action = Studio icon = usb.ico description = Inc_drive label = Inc_drive shell\about = ReadMe shell\about\command = Notepad.exe readme. txt [Content] MusicFiles = false PictureFiles = hamis VideoFiles = hamis [ExclusiveContentPaths] \Multimédia\Videó \Multimédia\Zene \Multimédia\Képek [IgnoreContentPaths] \Portable \Documents \Install

Források

  1. ↑ Útmutató Asus alaplapokhoz
  2. Rootkitek evolúciója – Securelist . Letöltve: 2020. május 19. Az eredetiből archiválva : 2020. október 27.
  3. Stertor. [programersforum.ru (téma törölve)].
  4. Nemzeti kiberriasztó rendszer. Technikai kiberbiztonsági riasztás TA09-020A . Hozzáférés dátuma: 2009. október 14. Az eredetiből archiválva : 2009. február 24.
  5. A Vista és XP elleni rosszindulatú támadások száma több mint 60%-kal csökkent | Szoftverhírek – 3DNews – Daily Digital Digest . Hozzáférés dátuma: 2012. január 4. Eredetiből archiválva : 2012. január 29.

Linkek