Autorun.inf

Autorun.inf je soubor používaný k automatickému spouštění nebo instalaci aplikací a programů na paměťová média v prostředí operačního systému Microsoft Windows (počínaje Windows 95 ). Tento soubor musí být umístěn v kořenovém adresáři souborového systému zařízení, pro které se provádí automatické spuštění . Soubor je rozdělen na konstrukční prvky - bloky. Název bloků se píše v hranatých závorkách. Popis bloku obsahuje páry parametr→hodnota .

Původní účel

Automatické spouštění aplikace uživateli extrémně usnadnilo instalaci a spouštění softwaru a ovladačů zařízení [1] .

Ochrana proti kopírování

Některé společnosti vyrábějící zvukové disky se navíc pokusily tuto technologii využít k ochraně obsahu disků před kopírováním automatickým spuštěním programu, který kopírování brání. Je však znám případ chování tohoto programu jako rootkitu [2] .

Zabezpečení

Dosud byl soubor autorun.inf hojně využíván k šíření počítačových virů prostřednictvím flash disků a síťových disků. K tomu autoři viru předepisují název spustitelného souboru se škodlivým kódem v parametru open. Po připojení infikovaného flash disku Windows spustí soubor zapsaný v parametru „open“ ke spuštění, v důsledku čehož je počítač infikován.

Virus umístěný v paměti RAM infikovaného počítače pravidelně kontroluje systém, aby vyhledal nové disky, a pokud je najde (při připojení dalšího flash disku nebo síťového disku), vytvoří je s odkazem na kopii jeho spustitelného souboru, čímž je zajištěna jeho další distribuce.

Virus také často zneviditelní soubory a složky na vyměnitelné jednotce (flash disk, disketa ) pomocí příkazu attrib . Místo toho často vytváří zástupce s názvy souborů a složek, méně často zástupce s názvem jednotky ( E: , F: atd.). V žádném případě neklikejte (klikejte) na zástupce myší. Chcete-li skryté soubory zviditelnit, můžete změnit vlastnosti průzkumníka (prohlížeč explorer.exe ), poté spusťte příkaz na příkazovém řádku : cmd /c attrib -s -r -h <cesta k vašemu souboru nebo složce> [3 ] , by Stejný odkaz si můžete přečíst o tom , jak lze skryté soubory a složky znovu vidět v MS Windows XP . Po odstranění viru z počítače se doporučuje smazat jeho tělo z flash disku, smazat soubor autorun.inf a vytvořit složku se stejným názvem. Většina virů bude schopna zkopírovat svá těla na vyměnitelné médium, ale nebude se moci automaticky spustit bez textového souboru autorun.inf . Mnoho zkušených uživatelů doporučuje pro zobrazení obsahu flash disků a disket používat příkazový řádek nebo správce souborů ( Total Commander , FAR Manager , Norton Commander atd. ) .

V současné době je popsaný způsob šíření škodlivých programů irelevantní. Možnost spouštět pokyny ze souboru autorun.inf byla odstraněna ze všech verzí systému Windows, počínaje verzí 7 a vyšší.

Zakázání automatického spouštění

Zásady skupiny (gpedit.msc)

Nastavení automatického spouštění v zásadách skupiny se nachází ve větvi Konfigurace počítače - Šablony pro správu - Systém. Položka „Zakázat autorun“ má tři hodnoty: nenastaveno, povoleno, zakázáno. Nastavení hodnoty na "enabled" umožňuje vybrat typ disků:

CD mechaniky (zahrnuje: neznámé, CD, síťové a vyměnitelné mechaniky),
všechny pohony.

Registr (pobočka HKCU), Zásady

Klíče registru jsou zodpovědné za povolení a zakázání automatického spouštění pro různé typy médií :

[ HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\ CurrentVersion \ Policies \ Explorer ] " NoDriveTypeAutoRun " = dword : 000000ff

Možné hodnoty pro tento klíč:

0x01 (DRIVE – zakáže automatické spouštění na jednotkách, které nemají přiřazené písmeno jednotky (nejsou připojeny k rootu)
0x04 (DRIVE_REMOVABLE) - zakázat automatické spouštění vyměnitelných zařízení (diskety, flash disky)
0x08 (DRIVE_FIXED) - zakázat automatické spouštění nevyměnitelných zařízení (pevný disk)
0x10 (DRIVE_REMOTE) – zakáže automatické spouštění síťových jednotek
0x20 (DRIVE_CDROM) - zakázat automatické spouštění jednotek CD
0x40 (DRIVE_RAMDISK) - zakázat automatické spouštění na virtuálním disku ( RAM disk )
0x80 (DRIVE_FUTURE) - zakázat automatické spouštění na jednotkách neznámých typů (budoucí typy zařízení)
0xFF - zakáže automatické spouštění pro všechny disky.

Hodnoty lze kombinovat sečtením jejich číselných hodnot. Platné hodnoty pro klíč NoDriveTypeAutoRun jsou popsány v KB967715 Archived 31. března 2009 na Wayback Machine .

Je třeba poznamenat, že zakázání automatického spouštění pomocí výše uvedeného klíče registru nevylučuje riziko infekce počítače. To je způsobeno tím, že hodnota klíče ovlivňuje spuštění autorun.inf pouze tehdy, když systém určí připojené médium, ale nezakáže spuštění při poklepání na ikonu média. I když je tedy funkce automatického spouštění zakázána, dojde k infekci, když se uživatel pokusí otevřít připojený disk pro prohlížení. Společnost Microsoft vydala opravu hotfix popsanou v KB967715 Archived 3. března 2015 na Wayback Machine , která tento problém zcela řeší.

Registr (větev HKLM), náhrada souboru autorun.inf

Alternativní, radikálnější způsob, jak zakázat zpracování autorun.inf:

Editor registru systému Windows verze 5.00 [ HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @ = "@SYS:Neexistuje"

Ve skutečnosti nahradí obsah souboru autorun.inf hodnotou z registru, která je záměrně nastavena na prázdnou/neplatnou. To vede k tomu, že pokud je na disku soubor autorun.inf, pak je vnímán jako prázdný.

Tato metoda by měla být považována za nejspolehlivější. Snadný způsob použití je vytvořit vhodný soubor .reg, který běží na vašem počítači. [čtyři]

Registr (HKLM fork), zakázání automatického spouštění všech typů souborů

Možné řešení pro zakázání automatického spouštění všech typů souborů (bude zpracováno pouze automatické spouštění, dvojité kliknutí a kontextová nabídka ):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"=""

Windows Update

Velké množství škodlivých programů distribuovaných pomocí autorun.inf donutilo Microsoft v nových Windows 7 zakázat programy automatického spouštění pro paměťová média připojená přes USB port (flash disky, čtečky karet atd.). V únoru 2011 společnost Microsoft vydala aktualizace, které zakazují automatické spouštění programů z autorun.inf pro Windows XP a Windows Vista. V důsledku toho se do léta 2011 počet počítačů, na kterých byly registrovány autorun viry, snížil asi o 60 % [5] .

Strukturální bloky souboru

Blokovat [autorun]

parametr akce

Parametr akce je zodpovědný za zobrazení textu v nabídce automatického spouštění (používá se zřídka).

Příklad:

[autorun] action = Text nadpisu

Je povoleno zadat text z knihovny dll :

[autorun] akce = [cesta\]název souboru, -ID zdroje Ikona parametru

Parametr ikona určuje soubor ikony pro zařízení.

Příklad:

ikona [autorun] = název_zdroje[,číslo]

nebo

ikona [autorun] = soubor .ico Výchozí nastavení ikony

Příkaz Defaulticon se liší pouze tím, že také umožňuje nastavit cestu k souboru ikony: defaulticon=iconpath[,index]

V případě použití dvou příkazů – icon a defaulticon, systém zpracuje pouze defaulticon.

Označení parametru

Tento parametr se používá k určení " jmenovky svazku ". Pokud použijete štítek na disk, skutečný štítek svazku bude skrytý (můžete ho vidět ve vlastnostech).

[autorun] label = AnyText otevřít parametr

Parametr otevřít obsahuje cestu k souboru programu, který se spustí při připojení zařízení nebo přístupu (dvojité kliknutí). Tato volba by neměla být používána ve spojení s shellexecute, může dojít ke konfliktu!

Syntax:

[autorun] ... otevřít = [cesta\]soubor [volba1 [volba2] ...] ... UseAutoPlay option

Toto nastavení je kompatibilní pouze s MS Windows XP a funguje nejen na optických discích, ale i na jiných vyměnitelných médiích. Platná hodnota je jedna - 1. Používá se k povolení zpracování souboru automatického přehrávání. Používá se velmi zřídka, hlavně pro automatické spouštění z flash disků bez výzev k výběru akce (otevřít v Průzkumníku, nic nedělat atd.).

Syntax:

[autorun] ... UseAutoPlay = 1 ... možnost shellexecute

Soubor zadaný v tomto parametru je otevřen při automatickém spuštění programem, který je přidružen k tomuto typu souboru v systémovém registru Windows.

Tento parametr lze použít místo parametru "open", nedoporučuje se používat tyto dva parametry společně.

Tento parametr funguje správně na všech verzích řady operačního systému Windows. V MS Windows Vista je disk s touto volbou okamžitě identifikován jako disk se softwarem nebo hrami a je pro něj vyvolána odpovídající nabídka.

Příklad:

[autorun] shellexecute = "readme.txt"

V tomto příkladu bude soubor „.txt“ otevřen programem, který uživatel ve výchozím nastavení používá k otevírání souborů „.txt“

parametr shellu

shell=key určuje výchozí příkaz ( default ) pro místní nabídku disku.

shell\key určuje položku kontextové nabídky.

shell\key\command určuje spustitelný příkaz pro položku nabídky "key".

Příklad:

[autorun] shell\keyword\command = Soubor.exe shell\keyword = název_nabídky

Blokovat [Obsah]

Tento blok používá pouze tři klíče: MusicFiles, PictureFiles, VideoFiles, což odpovídá datovým typům na médiu: hudba, obrázky, video.

Hodnoty těchto klíčů mohou být pouze booleovské true (true) nebo false (false).

Pravda je dána některou z těchto hodnot: 1, y, ano, t, pravda.

False je specifikováno jako: 0, n, ne, f, nepravda.

Příklad:

[Obsah] MusicFiles = Y PictureFiles = 0 VideoFiles = false

Blokovat [IgnoreContentPaths]

Při pokusu o určení typu obsahu na tomto paměťovém médiu nebudou soubory prohledávány ve složkách uvedených v tomto bloku a ve všech jejich podsložkách. Cesta je uvedena v libovolném formátu, relativní cesty jsou vítány. Příklad:

[IgnoreContentPaths] \Portable \Documents \Install

Tento blok je podporován pouze MS Windows Vista .

Blokovat [DeviceInstall]

Je použit jeden parametr DriverPath, který udává cestu k ovladačům. Používá se velmi zřídka a pouze v MS Windows XP.

[DeviceInstall] DriverPath = drivery\video DriverPath = drivery\audio

Příklad výpisu souboru autorun.inf

[autorun] ; středník je komentář (také komentáře jsou jakékoli cizí znaky a neznámé příkazy) shellexecute = readme.txt action = ikona aplikace Studio = usb.ico description = popisek Inc_drive = Inc_drive shell\about = shell\about\command ReadMe = readme Notepad.exe. txt [Obsah] MusicFiles = false PictureFiles = false VideoFiles = false [ExclusiveContentPaths] \Multimédia\Video \Multimédia\Hudba \Multimédia\Obrázky [IgnoreContentPaths] \Portable \Documents \Install

Zdroje

↑ Pokyny pro základní desky Asus
↑ Evoluce rootkitů – Securelist . Získáno 19. května 2020. Archivováno z originálu dne 27. října 2020. (neurčitý)
↑ Stertor. [programmersforum.ru (téma smazáno)].
↑ Národní kybernetický varovný systém. Technická výstraha kybernetické bezpečnosti TA09-020A . Datum přístupu: 14. října 2009. Archivováno z originálu 24. února 2009. (neurčitý)
↑ Počet škodlivých útoků na Vista a XP se snížil o více než 60 % | Softwarové novinky - 3DNews - Daily Digital Digest . Datum přístupu: 4. ledna 2012. Archivováno z originálu 29. ledna 2012. (neurčitý)

Odkazy

Microsoft Russia Archivováno 5. ledna 2008 na Wayback Machine
MSDN Russia Archivováno 2. ledna 2008 na Wayback Machine
Automatické přehrávání na MSDN Archivováno 3. ledna 2008 na Wayback Machine

Součásti systému Microsoft Windows

Hlavní

Aero
jasný typ
Správce oken na ploše
DirectX
Panel úkolů
- Start
- oznamovací oblast
Dirigent
- Jmenný prostor
- Speciální složky
- Asociace souborů
Windows Search
- chytré složky
- IFilter
- indexovací služba
GDI
WIM
SMB
.NET Framework
XPS
Aktivní skriptování
- WSH
- VBScript
- JScript
COM
- OLE
- DCOM
- ActiveX
- Strukturované úložiště
- Transakční server
Stínová kopie
WDDM
UAA
konzole Win32
Windows Spotlight
Windows smíšená realita

Manažerské služby

Aplikace

Win32	internet Explorer Microsoft Edge Malovat slovní podložka Skype Notebook Poznámky Časopis nahrávání zvuku Nůžky Program spolupráce Windows přehrávač médií Rozpoznávání řeči Osobní editor postav Prohlížení fotografií tabulka symbolů Faxování a skenování Centrum mobility Centrum zařízení Windows Mobile Lupa
UWP	Microsoft Store Malovat 3D Vzdálená asistence Kalendář Kalkulačka Film a TV Cortana Hudba Groove Lidé Možnosti Pošta Fotografie Vypravěč
historický	Kdykoli upgradovat Studio NetMeeting Outlook Express Programový manažer Správce souborů fotoalbum Windows To Go Kontakty DVD studio mediální centrum Boční panel

Hry

jádro OS

Ntoskrnl.exe
Vrstva abstrakce hardwaru (hal.dll)
Systém je nečinný
svchost.exe
Registr
Servis
Správce řízení služeb
DLL
PE
NTLDR
Správce stahování
Přihlašovací program (winlogon.exe)
Konzole pro zotavení
Windows RE
Windows PE
Ochrana jádra před změnami

Služby

Autorun.inf
Služba inteligentního přenosu na pozadí
Standardní žurnálovací souborový systém
Hlášení o chybách
Plánovač mediálních tříd
Stínová kopie
Správce úloh
Bezdrátové nastavení

Souborové
systémy

ReFS
NTFS
- pevný odkaz
- spojovací bod
- Montážní bod
- Bod přepracování
- Symbolický odkaz
- TxF
- EFS
WinFS
TLUSTÝ
exFAT
CDFS
UDF
DFS
IFS

Server

Aktivní adresář
Služby nasazení
Služba replikace souborů
DNS
domény
Přesměrování složky
Hyper-V
IIS
Mediální služby
MSMQ
Ochrana přístupu k síti (NAP)
Tiskové služby pro UNIX
Dálková diferenciální komprese
Služby vzdálené instalace
Služby správy práv
Roamingové uživatelské profily
SharePoint
Správce systémových prostředků
Program pro vzdálenou správu
WSUS
Zásady skupiny
Koordinátor distribuovaných transakcí

Architektura

NT
Správce objektů
Pakety požadavků I/O
Správce transakcí jádra
Správce logických disků
Správce bezpečnostních účtů
Ochrana zdrojů
lsass.exe
csrss.exe
sms.exe
spoolsv.exe
zahájení

Bezpečnost

Kompatibilita