解析来自Autorun.inf文件的攻击

核心提示： 图 2设备名称 第几位 值 设备用如下数值表示设备名称含义DKIVE_UNKNOWN0101h 不能识别的设备类型DRIVE_NO_ROOT_DIR1002h 没有根目录的驱动器(Drive without root directory)DRIVE_REMOVABLE2104h 可移动驱动

图 2

设备名称　　　　 第几位 值 设备用如下数值表示　设备名称含义
　　DKIVE_UNKNOWN　　　0　　1　　01h　　　　　　　 不能识别的设备类型
　　DRIVE_NO_ROOT_DIR　1　　0　　02h　　　　　　　 没有根目录的驱动器(Drive without root directory)
　　DRIVE_REMOVABLE　　2　　1　　04h　　　　　　　 可移动驱动器(Removable drive)
　　DRIVE_FIXED　　　　3　　0　　08h　　　　　　　 固定的驱动器(Fixed drive) 
　　DRIVE_REMOTE　　　 4　　1　　10h　　　　　　　 网络驱动器(Network drive)
　　DRIVE_CDROM　　　　5　　0　　20h　　　　　　　 光驱(CD-ROM)　　
　　DRIVE_RAMDISK　　　6　　0　　40h　　　　　　　 RAM磁盘(RAM Disk)
　　保留　　　　　　　 7　　1　　80h　　　　　　　 未指定的驱动器类型(Not yet specified drive disk)

在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。

由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备，所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱动器，即硬盘。这样一来，原来的10010101（在表中“值”列中由下向上看）就变成了二进制的10011101，转为十六进制为9D。现在，将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器，重启电脑后就会关闭硬盘的AutoRun功能。