Az Autorun.inf egy fájl, amely alkalmazások és programok adathordozóra való automatikus indítására vagy telepítésére szolgál a Microsoft Windows operációs rendszer környezetben ( Windows 95 -től kezdve ). Ennek a fájlnak annak az eszköznek a fájlrendszerének gyökérkönyvtárában kell lennie, amelyen az automatikus indítás történik . A fájl szerkezeti elemekre - blokkokra van osztva. A blokkok nevét szögletes zárójelben írjuk. A blokk leírása paraméter→érték párokat tartalmaz .
Az alkalmazás automatikus indítása rendkívül egyszerűvé tette a felhasználó számára a szoftverek és eszközvezérlők telepítését és futtatását [1] .
Ezenkívül egyes audiolemezeket gyártó vállalatok megpróbálták ezt a technológiát használni a lemezek tartalmának a másolástól való megvédésére egy olyan program automatikus futtatásával, amely megakadályozza a másolást. Ismert azonban egy eset, hogy ez a program rootkitként viselkedik [2] .
Eddig az autorun.inf fájlt széles körben használták a számítógépes vírusok flash meghajtókon és hálózati meghajtókon keresztül történő terjesztésére. Ehhez a vírusszerzők az open paraméterben írják elő a rosszindulatú kódot tartalmazó futtatható fájl nevét. Fertőzött flash meghajtó csatlakoztatásakor a Windows elindítja az „open” paraméterben írt fájlt végrehajtásra, aminek következtében a számítógép megfertőződik.
A fertőzött számítógép RAM -jában található vírus időszakonként átvizsgálja a rendszert, hogy új lemezeket keressen, és ha megtalálják (ha másik flash meghajtó vagy hálózati meghajtó csatlakozik), létrehozza azokat egy másolatra mutató hivatkozással. futtatható fájlját, így biztosítva annak további terjesztését.
A vírus gyakran láthatatlanná teszi a cserélhető meghajtókon (flash meghajtón, hajlékonylemezen ) lévő fájlokat és mappákat az attrib paranccsal . Ehelyett gyakran hoz létre parancsikonokat fájl- és mappanevekkel, ritkábban parancsikont a meghajtó nevével ( E: , F: stb.). Semmi esetre sem szabad a parancsikonokra kattintani (kattintani) az egérrel. A rejtett fájlok láthatóvá tételéhez módosíthatja az Explorer tulajdonságait (browser explorer.exe ), majd futtassa a parancsot a parancssorban : cmd /c attrib -s -r -h <fájl vagy mappa elérési útja> [3 ] , írta Ugyanezt a hivatkozást olvashatja el arról, hogy a rejtett fájlok és mappák hogyan jelennek meg újra az MS Windows XP rendszerben . Miután eltávolította a vírust a számítógépről, javasoljuk, hogy törölje a törzsét a flash meghajtóról, törölje az autorun.inf fájlt , és hozzon létre egy azonos nevű mappát. A legtöbb vírus képes lesz másolni testét cserélhető adathordozóra, de nem tud automatikusan futni az autorun.inf szövegfájl nélkül . Sok tapasztalt felhasználó javasolja a parancssor vagy a fájlkezelők ( Total Commander , FAR Manager , Norton Commander stb.) használatát a flash meghajtók és hajlékonylemezek tartalmának megtekintéséhez .
Jelenleg a rosszindulatú programok terjesztésének leírt módszere nem releváns. Az autorun.inf fájlból származó utasítások végrehajtásának lehetőségét a Windows összes verziójából eltávolították, a 7-es és újabb verzióktól kezdve.
A csoportházirend automatikus indítási beállítása a Számítógép konfigurációja - Felügyeleti sablonok - Rendszer ágban található. Az "Automatikus indítás letiltása" elemnek három értéke van: nincs beállítva, engedélyezve, letiltva. Az „enabled” érték beállításával kiválaszthatja a lemezek típusát:
A rendszerleíró kulcsok felelősek az automatikus futtatás engedélyezéséért és letiltásáért különböző típusú adathordozókon :
[ HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\ CurrentVersion \ Policies \ Explorer ] " NoDriveTypeAutoRun " = dword : 000000ffA kulcs lehetséges értékei:
Az értékek numerikus értékük összegzésével kombinálhatók. A NoDriveTypeAutoRun kulcs érvényes értékeit a KB967715 , archiválva 2009. március 31-én a Wayback Machine -nél ismerteti .
Megjegyzendő, hogy az automatikus futtatás letiltása a fenti beállításkulcs használatával nem szünteti meg a számítógép fertőzésének kockázatát. Ennek oka az a tény, hogy a kulcs értéke csak az autorun.inf végrehajtására van hatással, amikor a rendszer meghatározza a csatlakoztatott adathordozót, de nem tiltja meg a végrehajtást, ha duplán kattint a média ikonra. Így még akkor is, ha az automatikus indítási funkció le van tiltva, fertőzés történik, amikor a felhasználó megpróbál megnyitni egy csatlakoztatott meghajtót megtekintés céljából. A Microsoft kiadta a KB967715 számú , 2015. március 3-án archivált gyorsjavítást a Wayback gépen , amely teljesen megoldja ezt a problémát.
Registry (HKLM fiók), autorun.inf fájl helyettesítéseAlternatív, radikálisabb módja az autorun.inf feldolgozás letiltásának:
Windows Registry Editor 5.00 verzió [ HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @ = "@SYS:Nem létezik"Valójában lecseréli az autorun.inf fájl tartalmát a beállításjegyzékből származó értékre, amely szándékosan üres/érvénytelen értékre van állítva. Ez ahhoz a tényhez vezet, hogy ha van egy autorun.inf fájl a lemezen, akkor a rendszer üresnek tekinti.
Ezt a módszert kell a legmegbízhatóbbnak tekinteni. A használat egyszerű módja, ha létrehoz egy megfelelő .reg fájlt, amely fut a számítógépén. [négy]
Registry (HKLM fork), minden fájltípus automatikus indításának letiltásaLehetséges megoldás az összes fájltípus automatikus indításának letiltására (csak az automatikus indítás, a dupla kattintás és a helyi menü lesz kezelve):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"=""Az autorun.inf használatával terjesztett nagyszámú rosszindulatú program arra kényszerítette a Microsoftot, hogy az új Windows 7-ben letiltja az USB-porton keresztül csatlakoztatott adathordozók (flash meghajtók, kártyaolvasók stb.) automatikus futtató programjait. 2011 februárjában a Microsoft frissítéseket adott ki az autorun.inf fájlból származó automatikus futtatási programok letiltására Windows XP és Windows Vista rendszeren. Ennek eredményeként 2011 nyarára mintegy 60%-kal csökkent azoknak a számítógépeknek a száma, amelyeken automatikusan induló vírusokat regisztráltak [5] .
A műveleti paraméter felelős a szöveg megjelenítéséért az autorun menüben (ritkán használt).
Példa:
[autorun] action = Cím szövegeMegengedett szöveg megadása a dll könyvtárból :
[autorun] action = [elérési út\]fájlnév, -erőforrásazonosító Paraméter ikonAz ikon paraméter egy ikonfájlt határoz meg az eszközhöz.
Példa:
[autorun] icon = erőforrás_neve[,szám]vagy
[autorun] icon = .ico fájl Alapértelmezett ikon beállításA Defaulticon parancs csak abban különbözik, hogy lehetővé teszi az ikonfájl elérési útjának beállítását is: defaulticon=iconpath[,index]
Két parancs – ikon és alapértelmezett ikon – használata esetén a rendszer csak az alapértelmezett ikont dolgozza fel.
Paramétercímke _Ez a paraméter a " kötetcímke " meghatározására szolgál. Ha címkét alkalmaz egy lemezre, akkor a tényleges kötetcímke el lesz rejtve (a tulajdonságokban látható).
[autorun] label = AnyText paraméter megnyitásaAz open paraméter tartalmazza annak a programfájlnak az elérési útját, amely az eszköz csatlakoztatásakor vagy elérésekor (dupla kattintás) indul el. Ezt az opciót nem szabad a shellexecute-val együtt használni, mert ütközés adódhat!
Szintaxis:
[autorun] ... open = [elérési út\]fájl [opció1 [opció2] ...] ... Automatikus lejátszás opció használataEz a beállítás csak az MS Windows XP rendszerrel kompatibilis, és nem csak optikai lemezeken, hanem más cserélhető adathordozókon is működik. Az érvényes érték egy - 1. Az automatikus lejátszási fájl feldolgozásának engedélyezésére szolgál. Nagyon ritkán használják, főként a flash meghajtókról történő automatikus futtatáshoz, anélkül, hogy a művelet kiválasztását kérnék (megnyitás az Intézőben, nem csinál semmit stb.).
Szintaxis:
[autorun] ... UseAutoPlay = 1 ... shellexecute opcióAz ebben a paraméterben megadott fájlt az a program nyitja meg az automatikus futtatáskor, amely a Windows rendszerleíró adatbázisában ehhez a fájltípushoz van társítva.
Ez a paraméter használható az "open" paraméter helyett, nem ajánlott ezt a két paramétert együtt használni.
Ez a paraméter a Windows operációs rendszer család összes verziójában megfelelően működik. Az MS Windows Vista rendszerben az ezzel a beállítással rendelkező lemez azonnal szoftvert vagy játékot tartalmazó lemezként azonosítható, és a megfelelő menü előhívásra kerül.
Példa:
[autorun] shellexecute = "readme.txt"Ebben a példában a „.txt” fájlt az a program fogja megnyitni, amelyet a felhasználó alapértelmezés szerint a „.txt” fájlok megnyitásához használ.
shell paraméterA shell=key az alapértelmezett parancsot ( alapértelmezett ) határozza meg a lemez helyi menüjéhez.
shell\key egy helyi menüelemet határoz meg.
shell\key\command a "kulcs" menüelem végrehajtható parancsát adja meg.
Példa:
[autorun] shell\keyword\command = File.exe shell\keyword = menü_címeEz a blokk csak három kulcsot használ: MusicFiles, PictureFiles, VideoFiles, amely megfelel a médián lévő adattípusoknak: zene, képek, videó.
Ezeknek a kulcsoknak az értéke csak logikai igaz (igaz) vagy false (hamis) lehet.
Az igaz értéket a következő értékek bármelyike adja: 1, y, igen, t, igaz.
A False a következőképpen van megadva: 0, n, nem, f, false.
Példa:
[Tartalom] MusicFiles = Y PictureFiles = 0 VideoFiles = hamisAmikor megpróbálja meghatározni a tartalom típusát ezen az adathordozón, a fájlok nem kereshetők az ebben a blokkban megadott mappákban és azok összes almappájában. Az elérési út tetszőleges formátumban van megadva, a relatív elérési utak üdvözlendők. Példa:
[IgnoreContentPaths] \Portable \Documents \InstallEzt a blokkot csak az MS Windows Vista támogatja .
Egy DriverPath paramétert használunk, amely meghatározza az illesztőprogramok elérési útját. Nagyon ritkán és csak MS Windows XP-ben használják.
[DeviceInstall] DriverPath = drivers\video DriverPath = drivers\audio