U盘脚本病毒的实现

在win7及上运行不出来&＃xff0c;可以在xp虚拟机上实验。

实际上所谓的“u盘病毒”大多数利用一个自己构造的“autorun.inf”文件其最终目的是当用户插入u盘时自动运行恶意的二进制文件&＃xff0c;而在windows下可以直接被执行的后缀名为".exe"和“.com”两种。通常&＃xff0c;病毒制作者会使用一个批处理文件来调用恶意二进制文件&＃xff0c;“U盘脚本病毒”其中的"脚本"可以是批处理文件&＃xff0c;也可以是依赖某个“白进程”的脚本文件比如“nodejs”&＃xff0c;以此来达到躲避杀毒软件查杀的目的。

autorun.inf文件是从Windows 95开始的&＃xff0c;最初用在其安装盘里&＃xff0c;实现自动安装&＃xff0c;以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。

其结构有三个部分&＃xff1a;[AutoRun] [AutoRun.Alpha] [DeviceInstall]

[AutoRun]适用于Windows95以上系统与32位以上CD-ROM&＃xff0c;必选。

[AutoRun.alpha]适用于基于RISC的计算机光驱&＃xff0c;适用系统为Windows NT 4.0&＃xff0c;可选。

[DeviceInstall]适用于Windows XP以上系统&＃xff0c;可选。

详解格式

DefaultIcon

含义&＃xff1a;指定应用程序的默认图标。

DefaultIcon&＃61;图标路径名[&＃xff0c;序号]

参数&＃xff1a;

图标文件名&＃xff1a;应用程序的默认图标路径名&＃xff0c;格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时&＃xff0c;有时需要使用序号来指定图标。

序号&＃xff1a;当文件格式为.exe和.dll时 &＃xff0c;文件可能包括多余一个图标&＃xff0c;此时需要使用序号来指定图标&＃xff0c;需要注意的是&＃xff0c;序号是从0开始的。

备注&＃xff1a;

应用程序的默认图标将在windows

explorer核心的驱动显示窗口中 替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

Icon

含义&＃xff1a;指定设备显示图标。

格式&＃xff1a;

Icon&＃61;图标路径名[&＃xff0c;序号]

参数&＃xff1a;

图标文件名&＃xff1a;应用程序的默认图标路径名 &＃xff0c;格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时&＃xff0c;有时需要使用序号来指定图标。

序号&＃xff1a;当文件格式为.exe和.dll时&＃xff0c;文件可能包括多余一个图标&＃xff0c;此时需要使用序号来指定图标&＃xff0c;需要注意的是&＃xff0c;序号是从0开始的。

备注&＃xff1a;

设备显示图标将在windows

explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录

。

当存在应用程序默认图标&＃xff08;DefaultIcon&＃xff09;时&＃xff0c;本命令无效。

Label

含义&＃xff1a;指定设备描述

格式&＃xff1a;

Label&＃61;描述

参数&＃xff1a;

描述&＃xff1a;任意文字&＃xff0c;可以包括空格。

备注&＃xff1a;

设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述卷标来显示。

在非windows explorer核心的驱动显示窗口中&＃xff08;例如右击设备选择属性&＃xff09;显示的仍然是设备的卷标。

Open

含义&＃xff1a;指定设备启用时运行之命令行。

格式&＃xff1a;

Open&＃61;命令行

&＃xff08;命令行&＃xff1a;程序路径名 [参数])

参数&＃xff1a;

命令行&＃xff1a;自动运行的命令行&＃xff0c;必须是.exe、.com、.bat 文件&＃xff0c;其他格式文件可以使用start.exe打开或使用ShellExecute命令。

备注&＃xff1a;

命令行的起始目录是设备根目录和系统的$Path环境变量。

ShellExecute

含义&＃xff1a;

指定设备启用时执行文件。&＃xff08;操作系统支持未知&＃xff09;

格式&＃xff1a;

ShellExecute&＃61;执行文件路径名 [参数]

参数&＃xff1a;

执行文件路径名&＃xff1a;设备启用时执行文件路径名。可以是任意格式文件。系统会调用设置的程序执行此文件。

参数&＃xff1a;参数&＃xff0c;根据执行文件作调整

备注&＃xff1a;

命令行的起始目录是设备根目录和系统的$Path环境变量。

Shell\关键字\Command

含义&＃xff1a;

定义设备右键菜单执行命令行。

格式&＃xff1a;

Shell\关键字\Command&＃61;命令行

&＃xff08;命令行&＃xff1a;程序路径名 [参数])

参数&＃xff1a;

命令行&＃xff1a;自动运行的命令行&＃xff0c;必须是.exe、.com、.bat文件&＃xff0c;其他格式文件可以使用start.exe打开。

备注&＃xff1a;

命令行的起始目录是设备根目录和系统的$Path环境变量。

Shell\关键字

含义&＃xff1a;定义设备右键菜单文本。

格式&＃xff1a;

Shell\关键字&＃61;文本

参数&＃xff1a;

关键字&＃xff1a;用以标记菜单&＃xff0c;可以使用任何字符表示&＃xff0c;包括空格。

文本&＃xff1a;在右键菜单中显示的文本。可以使用任何字符&＃xff0c;不能存在空格。

备注&＃xff1a;

在同一Autorun.inf文件中&＃xff0c;不同右键菜单关键字不同&＃xff0c;相同右键菜单关键字相同。

右键菜单文本中可以使用&&＃xff1b;设定加速键&＃xff0c;&&&＃xff1b;输出一个&。

Shell关键字Command命令Shell关键字两者缺一不可&＃xff0c;顺序无所谓。

当不存在Open、ShellExecute与Shell命令时&＃xff0c;设备启用时运行第一个设备右键菜单指定命令。

Shell

含义&＃xff1a;定义设备启用时运行之设备右键命令。

格式&＃xff1a;

Shell&＃61;关键字

参数&＃xff1a;

关键字&＃xff1a;标记过的菜单关键字

备注&＃xff1a;

Shell指定的关键字可以在AutoRun.inf文件的任意部分。

Open、ShellExecute、Shell命令后定义的优先级高。

action

这个命令用来定义程序的名字&＃xff0c;比方说&＃xff1a;

[autorun]

shellexecute&＃61;rundll32 ght

action&＃61;打开文件夹

那么在右键菜单显示的就是"打开文件夹",而执行的命令就是"rundll32 ght"

注释

与其他inf文件一样&＃xff0c;";"之后的内容会被当做注释&＃xff0c;不参与编译.

主要代码示例&＃xff1a;

[AutoRun]
Open&＃61;Setup.exe
Shell\sys0&＃61;浏览《自述文件》
Shell\sys0\command&＃61;Notepad Readme.txt
Shell\sys1&＃61;安装《DirectX9.0》ForWin9x/Me/2K/Xp
Shell\sys1\command&＃61;DirectX\dxsetup.exe
Shell\Autorun_2&＃61;&Install DirectX9.0
Shell\Autorun_2\command&＃61;DirectX\dxsetup.exe

open可以是一个程序或者批处理文件&＃xff0c;总之是想运行的一个东西&＃xff0c;里面的操作就可以随便怎么写&＃xff0c;来实现对文件个系统设置的一些操作了。