解析来自Autorun.inf文件的攻击
2006-04-02 20:27:56 来源:WEB开发网图 2
设备名称 第几位 值 设备用如下数值表示 设备名称含义
DKIVE_UNKNOWN 0 1 01h 不能识别的设备类型
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器(Drive without root directory)
DRIVE_REMOVABLE 2 1 04h 可移动驱动器(Removable drive)
DRIVE_FIXED 3 0 08h 固定的驱动器(Fixed drive)
DRIVE_REMOTE 4 1 10h 网络驱动器(Network drive)
DRIVE_CDROM 5 0 20h 光驱(CD-ROM)
DRIVE_RAMDISK 6 0 40h RAM磁盘(RAM Disk)
保留 7 1 80h 未指定的驱动器类型(Not yet specified drive disk)
在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运行,这些数值累加正好是十六进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。
由上面的分析不难看出,在默认情况下,会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备,所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED的值设为1,这是因为DRIVE_FIXED代表固定的驱动器,即硬盘。这样一来,原来的10010101(在表中“值”列中由下向上看)就变成了二进制的10011101,转为十六进制为9D。现在,将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器,重启电脑后就会关闭硬盘的AutoRun功能。
更多精彩
赞助商链接