Как открыть файл autorun
Обновлено: 06.07.2024
В этом разделе приведены ссылки на записи, которые можно использовать в файле autorun. INF. Запись состоит из ключа и значения.
[Ключи автозапуска ]
action
Запись действия указывает текст, используемый в диалоговом окне автозапуска для обработчика, представляющего программу, указанную в записи Open или ShellExecute в файле autorun. INF. Значение может быть выражено как текст или как ресурс, хранящийся в двоичном файле.
Параметры
Текст, который используется в диалоговом окне автозапуска для обработчика, представляющего программу, указанную в записи Open или ShellExecute в файле autorun. INF.
Строка, содержащая полный путь к каталогу, содержащему двоичный файл, содержащий строку. Если путь не указан, файл должен находиться в корневом каталоге диска.
Строка, содержащая имя двоичного файла.
Идентификатор строки в двоичном файле.
Remarks
ключ действия используется только в Windows XP с пакетом обновления 2 (SP2) или более поздней версии. Поддерживается только для дисков типа " _ съемный диск" и " _ ФИКСИРОВАНный диск". В случае _ съемного диска требуется ключ действия . команда действия в файле Autorun. inf звукового компакт-диска или фильма DVD пропускается, и эти носители продолжают работать так же, как в Windows XP с пакетом обновления 1 (SP1) и более ранних версиях.
Строка, отображаемая в диалоговом окне автозапуска, создается путем объединения текста, указанного в записи действия , с жестко заданным именем поставщика, предоставленным оболочкой. Рядом с ним отображается значок . Эта запись всегда отображается как первый параметр в диалоговом окне Автозапуск и выбран по умолчанию. Если пользователь принимает параметр, запускается приложение, указанное в записи Open или ShellExecute файла autorun. INF. Параметр всегда выполнять выбранное действие недоступен в этой ситуации.
Сочетание клавиш действия и значка определяет представление приложения, видимое для конечного пользователя в диалоговом окне автозапуска. Они должны составляться таким образом, чтобы пользователи могли легко их определять. Они должны указывать приложение для выполнения, компанию, создавшую его, и все связанные фирменные символики.
Для обеспечения обратной совместимости запись действия является необязательной для устройств типа _ фиксированное устройство. Для этого типа в диалоговом окне автозапуска используется запись по умолчанию, если в файле autorun. INF отсутствует запись действия .
Запись действия является обязательной для устройств типа " _ съемный диск", до тех пор пока не будет добавлена поддержка autorun. INF. Если запись действия отсутствует, диалоговое окно автозапуска отображается, но не имеет параметра для запуска дополнительного содержимого.
CustomEvent
Запись CustomEvent указывает событие пользовательского содержимого автозапуска.
Параметры
Текстовая строка, содержащая имя события автозапуска содержимого. Имя должно содержать не более 100 алфавитно-цифровых символов.
Remarks
В следующем примере задается значение «Миконтентонарривал» в качестве нового события автоматического содержимого.
запись icon указывает значок, представляющий диск с поддержкой автозапуска в Windows пользовательском интерфейсе.
Параметры
Имя файла ICO, .bmp, .exe или .dll, содержащего сведения о значке. Если файл содержит более одного значка, необходимо также указать Отсчитываемый от нуля индекс значка.
Remarks
значок вместе с меткой представляет диск с поддержкой автозапуска в Windows пользовательском интерфейсе. например, в Windows Explorer диск представлен значком, а не стандартным значком диска. Файл значка должен находиться в том же каталоге, что и файл, заданный командой Open .
В следующем примере задается второй значок в файле MyProg.exe.
label
в записи label указана текстовая метка, представляющая диск с поддержкой автозапуска в Windows пользовательском интерфейсе.
Параметры
Текстовая строка, содержащая метку. Оно может содержать пробелы и не должно быть длиннее 32 символов.
Remarks
метка вместе со значком представляет диск с поддержкой автозапуска в Windows пользовательском интерфейсе.
В следующем примере в качестве метки диска задается значение "моя метка диска".
Открытая запись указывает путь и имя файла приложения, которое запускается при вставке диска в дисковод.
Параметры
Полный путь к исполняемому файлу, запускаемому при вставке компакт-диска. Если указано только имя файла, оно должно находиться в корневом каталоге диска. Чтобы определить расположение файла в подкаталоге, необходимо указать путь. Можно также включить один или несколько параметров командной строки для передачи в запускаемое приложение.
усеаутоплай
в Windows XP запись усеаутоплай указывает, что вместо автозапуска следует использовать автозапуск.
в Windows Vista и более поздних версиях эта запись приводит к подавлению каких-либо действий, заданных для автозапуска (с помощью записей open или shellexecute ), из диалогового окна автозапуска. эта запись не влияет на версии Windows, предшествующие Windows XP.
в Windows 8 и более поздних версиях при указании значения 0 автозапуск для этого устройства будет отключен.
Параметры
Чтобы использовать этот параметр, добавьте запись для усеаутоплай в файл autorun. INF и установите запись равную 1. другие значения не поддерживаются в версиях Windows более ранних, чем Windows 8.
в Windows 8 и более поздних версиях укажите значение 0, чтобы отключить автозапуск для этого устройства.
Remarks
в настоящее время усеаутоплай применяется только в Windows XP и более поздних версиях и только на диск, на котором жетдриветипе определяет тип устройства _ CDROM.
при использовании усеаутоплай любое действие, заданное записями open или shellexecute в файле Autorun. inf, пропускается в Windows XP и пропускается из диалогового окна автозапуска в Windows Vista.
Автозапуск обычно используется для автоматического запуска или загрузки объекта, содержащегося на вставленном носителе, в то время как автозапуск представляет собой диалоговое окно, содержащее список соответствующих действий, которые могут быть предприняты, и позволяет пользователю выбрать нужное действие. Дополнительные сведения о разнице между автозапуском и автозапуском см. в статьях Создание приложения для чтения компакт-дисков с поддержкой автозапуска и использование и настройка автозапускасоответственно.
Пример использования
Компакт-диск содержит три файла: autorun. INF, Readme.txt и Music. WMA. в зависимости от используемой версии Windows и параметров, указанных в файле autorun. inf, компакт-диск может обрабатываться при вставке (при условии, что для диска, на который вставлен компакт-диск, включена функция автозапуска или автозапуск).
Во-первых, рассмотрим файл autorun. inf со следующим содержимым, указывая, что усеаутоплай = 1 не указан:
действие, выполняемое оболочкой при вставке этого компакт-диска, зависит от используемой версии Windows:
- в Windows XP и более ранних версиях этот компакт-диск обрабатывается при его вставке. В этом случае запись ShellExecute считывается, и оболочка вызывает обработчик файлов, связанный с файлами .txt. обычно это открывается Readme.txt в Блокнот.
- в Windows Vista присутствие файла Autorun. inf с записью shellexecute приводит к тому, что носитель будет опознан как тип автозапуска "программное обеспечение и игры". В этом случае пользователю предлагается диалоговое окно автозапуска, которое включает действие, заданное записью ShellExecute (в диалоговом окне как "Load Readme.txt"), а также действия по умолчанию, связанные с носителями типа "программное обеспечение и игры".
чтобы указать, что автозапуск следует использовать вместо автозапуска в Windows XP, и что действие, заданное в элементе shellexecute autorun, должно быть подавлено в диалоговом окне автозапуска в Windows Vista, вставьте усеаутоплай в файл AutoRun. inf следующим образом:
опять же, действие, выполняемое оболочкой при вставке компакт-диска, зависит от используемой версии Windows.
вызов
Версия 5,0. Запись ShellExecute Указывает приложение или файл данных, которые функция autorun будет использовать для вызова ShellExecuteEx.
Параметры
Строка, содержащая полный путь к каталогу, содержащему данные или исполняемый файл. Если путь не указан, файл должен находиться в корневом каталоге диска.
Строка, содержащая имя файла. Если это исполняемый файл, он запускается. Если это файл данных, то он должен быть членом типа файла. ShellExecuteEx запускает команду по умолчанию, связанную с типом файла.
Содержит любые дополнительные параметры, которые должны быть переданы в ShellExecuteEx.
Remarks
Эта запись аналогична открытой, но позволяет использовать сведения о сопоставлении файлов для запуска приложения.
оболочка
Запись Shell указывает команду по умолчанию для контекстного меню диска.
Параметры
Команда, соответствующая команде меню. Команда и связанная с ней команда меню должны быть определены в файле autorun. INF с записью \ команды оболочки .
Remarks
Когда пользователь щелкает правой кнопкой мыши значок диска, появляется контекстное меню. При наличии файла autorun. inf из него берется команда контекстного меню по умолчанию. Эта команда также выполняется, когда пользователь дважды щелкает значок диска.
Чтобы указать команду контекстного меню по умолчанию, сначала определите ее глагол, командную строку и текст меню с помощью \ команды оболочки. Затем используйте оболочку, чтобы сделать ее командой контекстного меню по умолчанию. В противном случае текст пункта меню по умолчанию будет "Автозапуск", который запускает приложение, указанное в открытом элементе.
\команда оболочки
Запись \ команды оболочки добавляет пользовательскую команду в контекстное меню диска.
Параметры
Команда меню. \ Командная запись команды оболочки \связывает команду с исполняемым файлом. Глаголы не должны содержать пробелы. По умолчанию команда — это текст, отображаемый в контекстном меню.
Путь и имя файла приложения, которое выполняет действие.
Этот параметр задает текст, отображаемый в контекстном меню. Если он не указан, команда отображается. Менутекст может быть в смешанном регистре и может содержать пробелы. Для пункта меню можно задать сочетание клавиш, поместив амперсанд (&) перед буквой.
Remarks
Когда пользователь щелкает правой кнопкой мыши значок диска, появляется контекстное меню. Добавление записей \ команд оболочки в файл autorun. INF позволяет добавлять команды в это контекстное меню.
Эта запись состоит из двух частей, которые должны находиться в разных строках. Первая часть —\ команда оболочки \. Оно должно указываться обязательно. Он связывает строку, называемую глаголом, с приложением, которое запускается при выполнении команды. Вторая часть — это запись команды оболочки \. Этот параметр необязателен. Его можно включить, чтобы указать текст, отображаемый в контекстном меню.
Чтобы указать команду контекстного меню по умолчанию, определите команду с помощью \ команды оболочки и сделайте ее командой по умолчанию с записью оболочки .
следующий пример фрагмента кода Autorun. inf связывает команду с командой с командной строкой "Блокнот abc \readme.txt". Текст меню — «Read Me», а «m» определен как клавиша быстрого доступа к элементу. когда пользователь выбирает эту команду, \ открывается файл abcreadme.txt на диске с Microsoft Блокнот.
[]Ключи содержимого
Существует три ключа типа файла: мусикфилес, пиктурефилес и видеофилес.
Если одно из этих значений имеет значение true с учетом значения 1, y, Yes, t или true, Пользовательский интерфейс автозапуска отображает обработчики, связанные с этим типом содержимого, независимо от того, существует ли на носителе содержимое этого типа.
Если одно из этих значений имеет значение false с учетом значения 0, n, No, f или false, то пользовательский интерфейс автозапуска не отображает обработчики, связанные с этим типом содержимого, даже если на носителе обнаружено содержимое этого типа.
Использование этого раздела предназначено для того, чтобы позволить авторам содержимого передавать данные для автоматического запуска. Например, компакт-диск можно классифицировать как содержащий только музыкальное содержимое, даже если у него есть изображения и видеоролики, и в противном случае они будут отображаться как смешанное содержимое.
раздел [ содержимого ] поддерживается только в Windows Vista и более поздних версиях.
[]Ключи ексклусивеконтентпасс
Папки, перечисленные в этом разделе, ограничивают автозапуск для поиска содержимого только в тех папках и вложенных папках. Они могут быть заданы с предшествующей обратной косой чертой () или без нее \ . В любом случае они берутся в виде абсолютных путей из корневого каталога носителя. В случае с папками, в именах которых есть пробелы, не заключайте их в кавычки, так как кавычки берутся буквально как часть пути.
Использование этого раздела предназначено для того, чтобы авторы содержимого могли сообщать о намерениях к автозапуску и сокращать время проверки, ограничивая проверку на определенные значительные участки носителя.
Ниже приведены все допустимые пути.
раздел [ ексклусивеконтентпасс ] поддерживается только в Windows Vista и более поздних версиях.
[]Ключи игнореконтентпасс
Папки, перечисленные в этом разделе, и их вложенные папки игнорируются автозапуском при поиске содержимого на носителе. Они могут быть заданы с предшествующей обратной косой чертой () или без нее \ . В любом случае они берутся в виде абсолютных путей из корневого каталога носителя. В случае с папками, в именах которых есть пробелы, не заключайте их в кавычки, так как кавычки берутся буквально как часть пути.
Пути в этом разделе имеют приоритет над путями в разделе [ ексклусивеконтентпасс ] . Если путь, указанный в [ игнореконтентпасс ] , является вложенной папкой пути, заданной в [ ексклусивеконтентпасс ], он по-прежнему игнорируется.
Использование этого раздела предназначено для того, чтобы авторы содержимого могли сообщать о намерениях к автозапуску и сокращать время проверки, ограничивая проверку на определенные значительные участки носителя.
Ниже приведены все допустимые пути.
раздел [ игнореконтентпасс ] поддерживается только в Windows Vista и более поздних версиях.
[]Ключи девицеинсталл
DriverPath
Запись DriverPath указывает каталог для рекурсивного поиска файлов драйверов. Эта команда используется во время установки драйвера и не является частью операции автозапуска. раздел [ девицеинсталл ] поддерживается только в Windows XP.
Параметры
путь к каталогу, который Windows выполняет поиск файлов драйверов вместе со всеми его подкаталогами.
Remarks
Не используйте буквы дисков в DirectoryPath , так как они меняются с одного компьютера на другой.
Для поиска в нескольких каталогах добавьте запись DriverPath для каждого каталога, как в этом примере.
Если в разделе [ девицеинсталл ] нет записи DriverPath или в записи DriverPath не задано значение, этот диск пропускается во время поиска файлов драйверов.
Autorun – программа автоматического запуска той или иной программы или ее установщика. Зачастую диски с программным обеспечением содержат такой файл для запуска при загрузке.
Вставьте диск в привод и дождитесь, пока информация на нем загрузится. При появлении окна автозапуска программы выберите нужно действие. Если при запуске диска у вас не появилось данного окна, значит, авторан был блокирован по различным причинам. В этом случае запустите его вручную.
Откройте «Мой компьютер» и выберите привод с нужным вам диском и щелкните по нему дважды левой кнопкой мыши. Если и на этот раз не произошло никаких изменений, нажмите на нем правой кнопкой мыши и выберите в контекстном меню пункт «Открыть». Появится окно обзора диска - найдите среди файлов и папок autorun.exe и щелкните по нему дважды левой кнопкой мыши.
Если вам нужно установить какую-либо программу, которая находится на жестком или съемном диске, откройте директорию и найдите в ней autorun.exe и запустите его, после чего у вас появится главное меню установки. Обратите внимание, что в некоторых случаях запуск авторана может не произойти по причине использования ограниченной учетной записи на компьютере.
В случае если вы зашли в операционную систему под учетной записью с ограниченными правами, щелкните по авторану правой кнопкой мыши и выберите пункт контекстного меню «Открыть от имени администратора». У вас появится окно, где вам нужно будет ввести пароль, если таковой был установлен при первоначальной настройке параметров операционной системы.
Зайдите в операционную систему под учетной записью администратора, откройте директорию, содержащую авторан, запустите его. Иногда проблемы при открытии авторана могут быть связаны с тем, что носитель файла поврежден или привод плохо справляется с чтением дисков. Попробуйте скопировать его с диска на ваш компьютер вместе с остальным содержимым либо скачать другой дистрибутив программы или игры.
Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.
Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.
Что такое AutoRuns?
AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.
Если устройство было взломано, то приникшее на него вредоносное ПО должно «выдержать» перезагрузку. После выключения компьютера вредоносной программе требуется определенный механизм для продолжения работы на устройстве. Для этого могут использоваться встроенные функции Windows, позволяющие запускать программы при загрузке.
AutoRuns: основы
На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.
Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.
Во вкладке Explorer (проводник) отображается информация о следующих элементах:
Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).
Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.
Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.
Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.
Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.
Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).
Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.
Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.
Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).
Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.
Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.
Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.
Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.
Как использовать AutoRuns для выявления подозрительного программного обеспечения
Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?
На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.
В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.
Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.
Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.
После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.
Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:
Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?
Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.
Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?
Как использовать AutoRuns для удаления вредоносных программ
Во-первых, убедитесь, что вирус запущен на вашем устройстве. Для этого можно открыть диспетчер задач, однако мы рекомендуем использовать Process Hacker — один из инструментов для анализа вредоносных программ. После загрузки нажмите правой кнопкой мыши на значок на рабочем столе и выберите «Запуск от имени администратора».
После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.
Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).
После этого в проводнике Windows будет открыта папка с данным файлом.
Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.
Bf48a5558c8d2b44a37e66390494d08e
Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.
Чтобы остановить выполнение вредоносной программы, нажмите правой кнопкой мыши на соответствующее имя процесса и выберите «Завершить».
После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.
Теперь вирус можно удалить из проводника Windows.
Советы по использованию AutoRuns от Sysinternals
Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:
Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.
Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.
Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).
Результаты будут сохранены в виде файла файл AutoRuns Data с расширением .arn'AutoRuns. В примере ниже я сохранил результаты как файл с именем clean.
Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).
В примере ниже мы выбираем результаты, сохраненные в файле clean.
После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.
Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.
Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.
Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.
Всем привет!
Сегодня я хочу, поговорит о полезности файла «autorun.inf». Файл «autorun.inf» используют для быстрого запуска программ, игр и других приложений с CD/DVD диска или USB-накопителей.
Как это работает? Каждый раз, когда вы вставляете в комп флешку, дискетку, CD/DVD диск, операционная система Windows в первую очередь будет просматривать в самом корне файл «autorun.inf». Если «autorun.inf» присутствует, тогда операционная система прочитывает и запускает весь код, который был прописан в этом фале.
Итак, «autorun.inf» – это текстовый файл с расширением (.inf), в котором содержатся некоторые команды для автозапуска различных приложений.
Как создать файл «autorun.inf».
Чтобы создать загрузочный файл «autorun.inf», сделайте такие действия:
1. Откройте «Блокнот» . (Для тех, кто не знает, где найти Блокнот: «Пуск» => «Все программы» => «Стандартные» => «Блокнот» ).
2. В Блокноте впишите стандартный код
[AutoRun]
open = имя_программы.exe
icon = имя_значка.ico
Разъяснения:
open – этот параметр указывает, какой файл нужно запускать при подключении диска или флешки
icon – этот параметр служит для отображения иконки (маленькая картинка, логотип) при просмотре дисков через «Мой компьютер».
3. Сохраните в блокноте этот файл как «autorun.inf» в корне флэш или диска.
Если файл и иконку разместить в какую-то папку, например « file », тогда в файле autorun нужно указать к ним путь.
Это будет выглядеть следующим образом:
[autorun]
open = file /имя_программы.exe
icon = file /имя_значка.ico
Давайте посмотрим пример, как я использовал «autorun.inf» для DWD-диска. Моей задачей было сделать автоматический запуск программы с красивой иконкой.
Приступим:
1. Я создал файл «autorun.inf» с таким кодом:
[AutoRun]
open = WPI.exe
icon =icon.ico
2. Все файлы, которые я подготовил для диска вместе с файлом «autorun.inf» я записываю на диск через программу «NERO».
Внимание: файл «autorun.inf», WPI.exe, icon.ico должны находиться в корне диска.
Давайте разберем, все то, что я написал.
Когда я вставлю диск в компьютер, автоматически выполнится загрузка файла « WPI.exe », так как в параметрах « open » я указал « WPI.exe ».
Если зайти и посмотреть на вид диска через «Мой компьютер», можно увидеть красивую иконку, которая тоже загружается автоматически, благодаря параметру « icon ».
Кстати, если вы хотите создать красивые иконки ico, вы можете прочитать об этом тут.
Дополнительные возможности файла «autorun.inf».
Запуск PDF документа и HTML-страницы.
При помощи загрузочного файла «autorun.inf» можно запускать не только приложение «exe», но и файлы PDF или документы HTML-страницы.
Для этого в созданном файле « autorun.inf », пропишите такой код:
[autorun]
open =autorun.bat index.htm
icon =имя_значка.ico
Теперь таким же образом, как вы создавали файл « autorun.inf », создайте файл « autorun.bat », и впишите следующий код:
echo off
@start %1 %2 %3 %4 %5 %6 %7 %8 %9
@exit
Есть другой вариант с использованием команды ShellExecute :
[autorun]
ShellExecute =index.htm
icon = имя_значка.ico
Еще одна возможность в авторане, в меню автозапуска можно отобразить текст запуска. Для этого следует использовать команду action .
Это выглядит вот так:
[AutoRun]
open = имя_программы.exe
action =Программа для BlogGood-ru
Если ваши глаза устали видеть надпись «Съемный диск» и вы желаете ее поменять, то это можно сделать при помощи параметра label . Пропишите в файле Autorun.inf такой код:
[AutoRun]
open = имя_программы.exe
action = Программа для BlogGood-ru
icon =имя_иконки.ico
label = Крутая флешка
Конечно, изменить на флэшке надписи «Съемный диск» можно и без использования файла Autorun.inf, но это работает только в Windows XP. Думаю, вам эта информация пригодится.
Достаточно нажать правой кнопкой мыши на флэшку и в открывшемся окне выбрать «Переименовать» . Пишите любое название и THE END.
И напоследок: для создания файла «Autorun» вы можете воспользоваться программой Create Autorun. При помощи программы Create Autorun, вы сможете с легкостью создать автозапуск для дисков. Но это еще не все, к запуску можно присоединить какой-нибудь комментарий и настроить вид окна.
Что за файл - Autorun.inf ?
Это скрытый файл в ОС Windows, находящийся в корне диска.
Каждый раз, когда Вы открываете диск (локальный, портативный или тот, что в приводе) или USB флешку (частый случай) система сразу проверяет его на наличие данного файла. Если он есть - она смотрит что там прописано и запускает.
Это автозагрузочный файл, который указывает что делать системе при запуске диска.
Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.
И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.
Что из себя представляет файл Autorun.inf ?
Это обычный текстовый документ (правда он скрытый), внутри которого прописан код для запуска программ. И его так же можно открыть и редактировать с помощью стандартного Блокнота.
Обычно файл Autorun.inf содержит в себе следующий код:
Где:
1 - это путь к программе
2 - имя программы
3 - иконка
4 - название (метка) диска
Это для примера. Команд для него большое множество, но для общего представления достаточно.
Как создать файл Autorun.inf для автозапуска ?
Это своего рода пособие по шалости
1) Создаем текстовый документ с названием Autorun .
2) Создаем папку vindavoz .
3) Открываем наш Autorun и вставляем туда
open=vindavoz\MyProg.exe
action=vindavoz\Прога
icon=vindavoz\MyIcon.ico
label=vindavoz\Виндавоз
4) Сохраняем его с расширением .inf
5) Закидываем файл и папку в корень диска
В итоге должно получится следующее:
При загрузке диска (или флешки) иконка будет та, которая MyIcon.ico . Название диска будет Виндавоз. И сразу откроется MyProg.exe с названием в меню автозапуска Прога.
Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для "красоты", можно сделать эти папку и файлы скрытыми.
Так же можно просто сделать название диска и иконку. Удивить друзей тем, что у Вашей флешки будет своё имя - это не ново. А вот когда ещё и иконка будет другая - это уже фокус
Содержание файла AutoRun.inf тогда будет таким:
Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.
Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.
Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.
Как удалить файл AutoRun.inf ?
Обычно вирус всячески пытается защититься: делает себя скрытым, не удаляемым, не дает зайти в во флешку и т.п.
Для того, чтобы удалить эту пакость вручную, воспользуемся командной строкой (win+r -> вводим cmd ).
1) Переходим на зараженную флешку (посмотрите на букву диска в Моем компьютере)
У меня флешка под буквой g , соответственно вместо неё Вы должны написать свою букву.
2) Меняем атрибуты файла на нормальные
Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.
3) Удаляем вирус
Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)]
и удаляем в нем подраздел Shell . Можно так то удалить всё в разделе MountPoints2, но тогда удалится информация обо всех носителях. Решать Вам.
Так же можете воспользоваться программой Anti Autorun , которая блокирует создание файла autorun.inf и делает невозможным автозапуск любых вредоносных программ. Создает специальную папку и файл, которые не занимают места на диске.
Ещё пара программ которые могут Вам помочь, как я считаю, это Autorun Guard и USB_Tool .
Как защититься от вирусов AutoRun.inf ?
Конечно же Отключить автозапуск!
Немного об этом я писал в статье Как обезопасить свой компьютер, в частности в первом совете. В нем было описано как отключить автозапуск стандартными средствами Windows, а сейчас я опишу как это сделать "жестко" с помощью Редактора реестра.
Открываем редактор реестра (win+r ->вводим regedit ) и идем по ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer в которой создаем параметр DWORD (32 Бита)
NoDriveTypeAutoRun со значением dword:000000ff
А теперь сделаем защиту ещё прочнее
Дело в том, что ОСь Windows не позволяет создавать файлы и папки с одинаковыми именами, потому что для нее разница между файлом и папкой состоит только в одном бите.
Именно с именем , без расширения.
Поэтому если существует папка autorun.inf, то файл с таким именем создаться уже не сможет. Поэтому первоначальный вариант - создать файл или папку с названием autorun.inf . Вирус увидит что такое название уже есть, обидится и уйдет ни с чем
Это имеет место быть правдой, но т.к. есть "интеллектуальные" вирусы, которые поймут, что существует файл или папка с таким именем и смогут запросто удалить Вашу созданную папку (файл) и записать свой файл autorun.inf, который будет запускать вирусы.
Для решения этой проблемы мы создадим супер-пупер неудоляемую папку . Которую удалить можно будет только если отформатировать флешку.
Итак, для создания такой папки, нужно создать простой текстовый документ в Блокноте со следующим содержанием:
d0\autorun.inf\vindavoz..\" attrib +s +h %
Нажимаем Файл - Сохранить как. и вводим любое название, но главное чтобы расширение было .bat
Например vindavoz.bat .
Затем копируем этот файл на флешку и запускаем.
В итоге Вы должны получить папку autorun.inf внутри которой будет лежать неудоляемая папка vindavoz
Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве. vindavoz.zip 307 b cкачиваний: 1782
Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.
Этот "Фокус" не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.
Читайте также: