autorun查杀技巧：Autorun病毒原理攻击方式及免疫方法

　　Autorun.inf是Windows操作系统的自带的一个自动播放功能，病毒往往利用这个漏洞在每

　　个盘符的根目录下生成病毒文件并且自动运行。

　　Autorun.inf格式，[AutoRun] //表示AutoRun部分开始，必须输入;Icon=A.ico //给该

　　盘一个个性化的盘符图标A.ico ;open=1.exe //指定要运行程序的路径和名称，在此为该盘

　　下的1.exe 。

　　正常(不自动运行)情况下，右键点击盘符，出现的菜单为：打开、搜索、资源管理器等

　　，但是有些病毒可以修改右键菜单，然你看到的也是打开、搜索、资源管理器，让你误以为是

　　系统菜单，如果你选择打开了，那你就中招了。

　　安全的打开方式是：第一，在地址栏中直接输入地址。或者点击地址栏最后的那个小三角

　　形直接选择你要打开的路径;第二，也是最安全方便的打开方法,就是用真正的资源管理器打

　　开，注意，是真正的资源管理器，不同于在盘符上点击右键，选择资源管理器，上边已说过，

　　那样同样会中病毒，真正资源管理器打开方法是，我的电脑上点击右键选择资源管理器，或者

　　在开始菜单上点击右键，选择资源管理器，然后在左边窗口内选择我们要打开的路径。

　　如果不小心中病毒了，一般病毒都会把自己和autorun.inf这个文件修改成系统加隐藏属

　　性，就是如果我们想看到它，必须打开文件的系统属性和隐藏属性，当我们去文件夹选线里边

　　打开时却发现不能打开，或者不能修改，始终隐藏系统属性，那是因为病毒已经把注册表修改

　　过了，不让我们看到它，重新修改注册表我们可以看到病毒文件，方法如下，(1)打开注册

　　表：开始菜单中的运行中输入regedit，然后打开分支，转到

　　HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Fol

　　der\Hidden\SHOWALL

　　这个分支，看右边，删除CheckedValue这个键，然后再新建个DWORD 值，命名为CheckedValue

　　然后双击它(CheckedValue)把0改为1，然后再试试，打开工具->文件夹选项->查看->显示所

　　有文件和文件夹，哈哈，可以了吧。

　　那么容易中autorun病毒，有没有免疫方法呢?答案是肯定的，这种方法是即使中autorun

　　病毒了，双击打开，或者在盘符上点击右键选择打开、资源管理器都不会中病毒。具体方法，

　　(1)新建任意一个文件，命名为autorun.inf，把这个文件放在每个分区的根目录下。这个方

　　法有bug，假如病毒生成一个autorun.inf文件，把我们的免疫文件覆盖掉了，这个方法就不行

　　了。于是就有了方法(2)Windows下命名方式，文件夹的权限高于文件，即同名的文件夹和文

　　件在同一目录下，文件夹存在，文件就不存在，文件夹可以覆盖掉文件，所以我们可以在每个

　　分区下新建一个文件夹，命名为autorun.inf，这样病毒就不会自动运行了。

　　(3)虽然我们已经禁止病毒自动运行了，但是每个分区的根目录下都有一个空文件夹，名字

　　是autorun.inf，有点影响美观，我们可以利用病毒方法，把这个文件夹的属性修改成系统加

　　隐藏，这样我们只要不打开文件夹选项下的显示隐藏文件和显示系统文件，它就不会显示，具

　　体方法，CMD下输入attrib +s +h c:\autorun.inf，解释一下，+S：加System(系统)属性，

　　+H：加Hidden(隐藏)属性，c:\autorun.inf 是文件的完整路径。

　　(4)假如别人用我们的电脑不知道我们免疫了而是把我们的免疫autorun.inf文件夹删除了，

　　怎么办，这时需要修改这个文件夹的用户属性了，方法是，在ntfs格式分区下，选择

　　autorun.inf文件夹点击右键选择属性，选择安全选项卡，找到用户，把权限修改成全部拒绝

　　，或者把能访问到的用户全部删除。这样以后就没人能读取打开或者删除它了，如果没那个安

　　全选项卡，在文件夹选项里，查看，把使用简单共享前边的勾去掉。

　　(5)如果分区不是ntfs或者u盘根本没ntfs那怎么办?还有一个办法，也是最好的免疫方法，

　　各个免疫工具都是这个原理，即在根目录下建立autorun.inf文件夹，然后在这个文件夹里边

　　建议一个删除不掉的文件夹，具体方法，在根目录下建立autorun.inf文件夹，cmd下输入

　　md c:\autorun.inf\aa...\

　　然后我们删除autorun.inf会提示引用了一个不可用的位置，不能删除之类的话，总之不让删

　　除，如果不想免疫了，只需在cmd下输入

　　rd c:\autorun.inf\aa...\即可。