« 上一篇下一篇 »

autorun.inf 小解

我们常常遇到U盘或硬盘打不开的情况,这其实是该盘根目录下存在一个autorun.inf文件,并指向了病毒程序的原因。在我们双击、右键打开等方式操作下就将病毒引入到了计算机当中。下面是对一个被病毒修改过的autorun.inf文件的分析:

[AutoRun]                           这是固定格式

open=RavMon.exe                     这个链接指向病毒程序(这个毒已经好老了)

shell\open=打开(&O)

shell\open\Command=RavMon.exe       用右键打开指向病毒程序

shell\explore=资源管理器(&X)

shell\explore\Command="RavMon.exe"  用资源管理器打开指向病毒程序

当然,这个可以加其他的参数。

其实autorun.inf并非病毒,光盘自运行就是这个文件的功劳。光盘的图标也是这个文件生成的,只是加入了ico=*.ico语句(*为任意名,下同)。利用这个原理,我们就可以做一个个性U盘或光盘图标了。

用记事本新建一文件,命名为autorun.inf。

用photoshop等工具做一个分辨率为48*48的位图(bmp),比如自己的头像啦,也可以用现成的图标。将图象重命名为*.ico。

输入如下内容并保存:

[AutoRun]

Icon=*.ico

然后将这两个文件放到根目录下,为了不影响日常使用,可以在cmd下用attrib命令加上+s +h参数将这两个文件注册为系统隐藏文件。如attrib +s +h autorun.inf 。拔下并再插入U盘或光盘就可以显示你个性U盘或光盘图标了。万一哪天发现图标没有了,很可能是被病毒更改了,就要小心了。

其实一般病毒也都会注册为系统隐藏文件,所以一般手动查找U盘病毒都需要取消隐藏系统文件、并要显示所有文件,这样,病毒才无所遁形。有些病毒比较聪明,是不在根目录下的,但autorun.inf必须要在根目录下,如果发现autorun.inf可以打开查看其指向的病毒文件,删了这两个文件即可。但不保证其他文件夹里没有病毒。个人推荐手动杀毒,毕竟杀软要慢一拍,而且U盘容量较大还比较费时间。关于attrib这个命令是很有用的,语法可以在cmd用attrib /?查询。

一般常用的是attrib--用来显示系统隐藏文件、attrib -s -h autorun.inf和attrib -s -h *.exe--这样可以在显示隐藏所有文件的选项被破坏时显示病毒,然后可以删除。

本文转自绅博论坛