主题 : [经验总结]autorun.inf的攻防
义务网评猿
级别: 论坛版主
UID: 50665
精华: 7
发帖: 2924
威望: 13 星
金钱: 385657 浮游币
贡献值: 8748 点
好评度: 10293 点
人气: 760 点
在线时间: 697(时)
注册时间: 2005-08-02
最后登录: 2020-12-17
楼主  发表于: 2007-05-06 02:01

[经验总结]autorun.inf的攻防

Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫等都有这种传播方式。
它们有时是根目录下的神密幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。Autorun.inf被病毒利用一般有4种方式
1.OPEN=filename.exe
自动运行。但是对于很多XPSP2用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。
2. shell\Auto\command=filename.exe
shell=Auto
修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?
3.shellexecute=filename.exe
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
4.
shell\open=打开(&O)
shell\open\Command=filename.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。
面对这种危险,尤其是第四种,配合修改注册表中和“文件夹选项”
有关的某Hidden项,仅仅依靠Explorer本身,已经很难判断可移动磁盘是否已经中毒。而在这种情况下,一部分人也根据自己的经验,做出了“免疫”工具。
免疫的办法(对可移动磁盘和硬盘)
1、同名目录
目录在Windows下是一种特殊的文件,而两个同一目录下的文件不能同名。于是,新建一个目录“autorun.inf"在可移动磁盘的根目录,可以防止早期未考虑这种情况存在的病毒创建autorun.inf,减少传播成功的概率。
2、autorun.inf下的非法文件名目录
有些病毒加入了容错处理代码,在生成autorun.inf之前先试图删除autorun.inf目录。
在Windows NT Win32子系统下,诸如"filename."这样的目录名是允许存在的,但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非法),直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的,会返回错误。但是,删除目录必须要逐级删除其下的整个树形结构,因此必须查询其下每个子目录的内容。因此,在“autorun.inf"目录建一个此类特殊目录,方法如"MD x:\autorun.inf\yksoft..\",可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。
3、NTFS权限控制
病毒制造者也是黑客,知道Windows的这几个可算是Bug的功能。他们可以做一个程序,扫描目录时发现某目录名最后一个字节为'.'则通过访问"dirfullname..\"、或者通过利用Windows NT的Native API中的文件系统函数直接插手,删除该特殊目录。
因此,基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统,创建Autorun.inf目录,设置该目录对任何用户都没有任何权限,病毒不仅无法删除,甚至无法列出该目录内容。
但是,该办法不适合于音乐播放器之类通常不支持NTFS的设备。
这三步可谓是一步比一步精彩。但是,最大的问题不在怎么防止生成这个autorun.inf上,而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。
1、结合ANI漏洞,在autorun.inf里将icon设成一个ANI漏洞的Exploit文件(经过我的实验,发现Windows有一种特性,就算把ani扩展名改为ico,还是可以解析出图标),这样只要一打开“我的电脑”,未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。
(我突然想到一个极其可怕的事情:如果在ANI漏洞还没补丁那一阵有人把网站的favicon.ico替换了,
那结果将是极其恐怖的!)
2、提高病毒的整体编程水平,综合以上各种反免疫方式,另外利用多数国内windows用户常以高权限登录系统的特点,自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限,击破这最坚固的堡垒。

面对如此恐怖的东西,对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案,
1、一定要将系统和安全软件保持在最新状态。即使是盗版用户,微软也不会不给重要级别的安全更新,也从来没有过在重要级别安全更新中加入反盗版程序的记录。
2、尽量以受限制的帐户使用系统和上网,这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能,正是因为它能够使用户在尽量方便的同时,享受到受限用户的安全。
3、某种程度上,可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞,制作网页木马,安装盗号程序,盗取账号,获得人民币。这条黑色产业链中,IE其实是最容易剪断的一环。珍爱系统,系统一定要更新,要有能防止网页木马的杀毒软件,IE不要太多用。
4、恶意捆绑软件,现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己(如SONY XCP事件),而一些恶意软件本身就是一个病毒木马的下载器。因此,不要让流氓接近你的机器。
5、直截了当的终极解决手段
为什么autorun.inf叫做autorun.inf?答案在于Windows的几个和外壳有关的系统文件。主要是shell32.dll和explorer.exe。如果从这几个系统文件中替换字符串"autorun.inf",改成你想要的其他值,就可以彻底和这个幽灵说再见了。什么东西想自动播放,就不能再用autorun.inf而必须用你改的这个东西。当然这样做的后果是各卷的自定义图标都得重做。
6、防止分区对象的上下文菜单被修改
给懒人用的方法。其实explorer会把那些自定义的上下文菜单保存在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 下,只要这个键没有写权限,那就几乎高枕无忧了,完全不怕随意单双击了。
Autorun.inf的攻防战还在继续,只会变得越来越精彩,网民的安全意识会在攻与防的对立与统一中获得突破性的进展。
yksoft1 原创
[ 此贴被yksoft1在2007-05-06 13:37重新编辑 ]
本帖最近评分记录:
  • 金钱:100(Taburiss)
  • 燃烧的热血。。
    坚强的意志。。
    造就了YKSOFT Systems
    http://yksoft1.spaces.live.com
    YZB
    级别: 超级版主

    UID: 12451
    精华: 6
    发帖: 19106
    威望: 173 星
    金钱: 2058 浮游币
    贡献值: 10284 点
    好评度: 54894 点
    人气: 4322 点
    在线时间: 19818(时)
    注册时间: 2004-10-02
    最后登录: 2024-12-26
    沙发  发表于: 2007-05-06 12:32

    我的电脑前几天也有个这样的和一个EXE文件,还都是隐藏的
    个性签名是干什么用的?
    级别: 论坛版主
    UID: 20346
    精华: 0
    发帖: 3495
    威望: 35 星
    金钱: 250228 浮游币
    贡献值: 8957 点
    好评度: 13713 点
    人气: 2116 点
    在线时间: 1799(时)
    注册时间: 2005-04-05
    最后登录: 2023-06-21
    板凳  发表于: 2007-05-06 15:34

    每天都跟着YK学习……
    沉默已经有好久了,你在哪里……

    有空来看看,开始往WP迁移……
    新新航向
    级别: 模拟名流
    UID: 294
    精华: 1
    发帖: 7668
    威望: 4 星
    金钱: 92 浮游币
    贡献值: 54 点
    好评度: 12540 点
    人气: 74 点
    在线时间: 268(时)
    注册时间: 2004-03-26
    最后登录: 2023-04-11
    地板  发表于: 2007-05-07 10:23

    不错的文章,支持

    ps:建议+刀