WEB开发网
开发学院网络安全黑客技术 解析来自Autorun.inf文件的攻击 阅读

解析来自Autorun.inf文件的攻击

 2006-04-02 20:27:56 来源:WEB开发网   
核心提示: 图 2设备名称 第几位 值 设备用如下数值表示设备名称含义DKIVE_UNKNOWN0101h 不能识别的设备类型DRIVE_NO_ROOT_DIR1002h 没有根目录的驱动器(Drive without root directory)DRIVE_REMOVABLE2104h 可移动驱动

图 2

设备名称     第几位 值 设备用如下数值表示 设备名称含义
  DKIVE_UNKNOWN   0  1  01h        不能识别的设备类型
  DRIVE_NO_ROOT_DIR 1  0  02h        没有根目录的驱动器(Drive without root directory)
  DRIVE_REMOVABLE  2  1  04h        可移动驱动器(Removable drive)
  DRIVE_FIXED    3  0  08h        固定的驱动器(Fixed drive) 
  DRIVE_REMOTE    4  1  10h        网络驱动器(Network drive)
  DRIVE_CDROM    5  0  20h        光驱(CD-ROM)  
  DRIVE_RAMDISK   6  0  40h        RAM磁盘(RAM Disk)
  保留        7  1  80h        未指定的驱动器类型(Not yet specified drive disk)

在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运行,这些数值累加正好是十六进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。

由上面的分析不难看出,在默认情况下,会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备,所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED的值设为1,这是因为DRIVE_FIXED代表固定的驱动器,即硬盘。这样一来,原来的10010101(在表中“值”列中由下向上看)就变成了二进制的10011101,转为十六进制为9D。现在,将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器,重启电脑后就会关闭硬盘的AutoRun功能。

上一页  1 2 3 4 5 6 7  下一页

Tags:解析 来自 Autorun

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接