Board logo

标题: [讨论]autorun.inf的硬盘版用法 [打印本页]

作者: valen886    时间: 2008-7-25 01:15     标题: [讨论]autorun.inf的硬盘版用法

[讨论]autorun.inf的硬盘版用法
议题提交:剑心 [BCT]
信息来源:邪恶八进制信息安全团队

autorun.inf放在硬盘根目录下据说是可以运行的(98下是可以的),因为本身原因我没有那么多系统测试,希望得到大家的帮助

[autorun]

open=wscript.exe c:\run.vbs

保存为autorun.inf存在磁盘根目录下,应该在双击硬盘的时候会运行我们的c:\run.vbs
但是没有测试
在xpsp1下发现过这样的病毒,爱情后门,其中一个特性是

在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒

2000下也发现过.20003曾经让朋友的机器打不开硬盘也是用的这个文件.
现在需要确切的证明,希望大家   测试之后   给出回答.

谢谢
帖子83 精华0 积分3045 阅读权限100 在线时间84 小时 注册时间2005-1-2 最后登录2008-4-11 查看详细资料TOP 少女暴富的隐秘(图)


剑心
荣誉会员

作者: fulu    时间: 2008-7-25 01:15

看到楼上的在安焦的帖子
很像没有测试就发出来的,
也没有说明。
我没有自己的电脑,没有那么多系统测试,从2000 pro到最近的2003
希望大家可以帮忙测试,不要想当然,最好给出截图。
非常感谢!
帖子83 精华0 积分3045 阅读权限100 在线时间84 小时 注册时间2005-1-2 最后登录2008-4-11 查看详细资料TOP 让女孩一夜变的更有女人味

haicao
技术核心组

作者: 阿豪    时间: 2008-7-25 01:15

上次发表的那文章确实那时侯没测试,但我用的那段开终端的代码是黑客档案光盘里带的,我曾多次用那个REG文件开过终端.....既然别人研究出来的东西为何我们还要花那么大气力去搞什么"实验"呢??
最主要的是我写的文章虽然水平不高,但至少也提出了自己的观点和见解!这点我是比较自信的!
haicao只是个菜鸟,但我对自己最自信的还是勤奋在我纯真年少時,有一個女生,她願意爲我失去生命,她意志堅定地說:你再纏著我,我就去死! 在我負笈外地時,有一個女生,她願意等我到下輩子,她溫柔婉約地說:你想成爲我男友?等下輩子!! 在我窮困潦倒時,有一個女生,她願意與我共赴黃泉,她眨著紅眼說:你再不還錢,我和你同歸于盡!
帖子428 精华24 积分5194 阅读权限200 性别男 在线时间164 小时 注册时间2004-10-5 最后登录2008-7-13 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

剑心
荣誉会员

作者: brabrabra    时间: 2008-7-25 01:15

没有实践就没有发言权,既然你说你开过别人的终端并且成功的话可不可以将你的经过发出来呢?在此谢谢了
我测试的系统限于 xpsp1 当时的确是成功的
机房的病毒利用这个我也是看过的
但是现在由于系统的限制其他系统没有测试,所以让大家帮忙的。
我也是菜鸟,也许上面的话有点偏激请楼上的原谅。
谢谢你了
帖子83 精华0 积分3045 阅读权限100 在线时间84 小时 注册时间2005-1-2 最后登录2008-4-11 查看详细资料TOP

冰血封情
老林

团队决策人

作者: 下眩月    时间: 2008-7-25 01:15

没关系 剑心 你说你要测试哪几个系统:)

帖子6818 精华835 积分36108 阅读权限255 性别男 来自中国 在线时间579 小时 注册时间2004-6-25 最后登录2008-7-23 查看个人网站
查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

剑心
荣誉会员

作者: 邮差    时间: 2008-7-25 01:16

看到了冰血的以前的帖子也说可以成功的,在安全焦点看的
基本上所有的windows系统啊,主要是服务器上的,98确定好用了。
xpsp1也可以确定 sp2没有成功
条件原因,其他的等大家的消息了。
再次感谢EST!
帖子83 精华0 积分3045 阅读权限100 在线时间84 小时 注册时间2005-1-2 最后登录2008-4-11 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

冰血封情
老林

团队决策人

作者: hailar    时间: 2008-7-25 01:16

Microsoft Windows XP Professional Chinese Simplified Service Packet 2 Released
Microsoft Windows 2000 Professional Chinese Traditional Service Packet 4 Pirate
Microsoft Windows Server 2003 Enterprise Edition Chinese Simplified Pirate
Microsoft Windows XP Professional English Version Pirate

我负责测试上面的 过几天给答复

帖子6818 精华835 积分36108 阅读权限255 性别男 来自中国 在线时间579 小时 注册时间2004-6-25 最后登录2008-7-23 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

netcloud
荣誉会员

作者: 明记    时间: 2008-7-25 01:16

我觉得这个跟系统版本没多大关系,只要是win98以上应该没有问题。
帖子33 精华0 积分3285 阅读权限100 在线时间20 小时 注册时间2004-12-19 最后登录2008-1-29 查看详细资料TOP

剑心
荣誉会员

作者: wojoo    时间: 2008-7-25 01:16

最好有截图和测试时的环境及文件,还有,第三方软件如杀度等有可能私自作了一些设置禁止了硬盘的运行(是有可能。)
要想设置后生效一定要注销或者重起,按桌面的f5刷新也不一定有效果的

呵呵

再次3Q
帖子83 精华0 积分3045 阅读权限100 在线时间84 小时 注册时间2005-1-2 最后登录2008-4-11 查看详细资料TOP

EvilOctal
团队执行官

作者: paul    时间: 2008-7-25 01:16

我的系统是在虚拟机下测试的 没有开启任何杀毒软件 但是在开启rising后 实时监控有提示木马 用了修改版本的 不存在此问题 顺利执行...曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:**上帝。结论:彪悍的人生不需要上帝。

帖子9805 精华768 积分40189 阅读权限200 性别男 在线时间3969 小时 注册时间2004-7-4 最后登录2008-7-24 查看个人网站
查看详细资料TOP

netpatch
荣誉会员

作者: 夏の雪    时间: 2008-7-25 01:16

改进版??
能否发出来SEE SEE??通往胜利的路不只一条!
帖子89 精华4 积分3262 阅读权限100 在线时间212 小时 注册时间2005-3-23 最后登录2008-7-2 查看详细资料TOP

忍者5482
晶莹剔透§烈日灼然
作者: 蚊少    时间: 2008-7-25 01:16

俺在XP-SP2试过好像不行,卡巴斯基禁用实时保护的,但注销后再进打开C盘没变化.autorun.inf好像没有作用.shutdown -r -t 60 -c "由于你的人品问题,系统需要重新启动"

帖子36 精华0 积分63 阅读权限40 在线时间434 小时 注册时间2005-4-4 最后登录2008-1-15 查看详细资料TOP

muder
晶莹剔透§烈日灼然
作者: 穷疯了    时间: 2008-7-25 01:16

曾经看过用autorun.inf文件来运行木马的帖子。。  
不知道WIN2003有没补上这个漏洞!
帖子9 精华0 积分9 阅读权限40 在线时间1 小时 注册时间2005-2-9 最后登录2007-12-13 查看详细资料TOP

franklin23
晶莹剔透§烈日灼然
作者: 彬彬有礼    时间: 2008-7-25 01:16

为什么在我的机子上不能运行呢?是2000 pro 中文版
我也重启了,关掉了杀毒软件卡巴斯基
难道系统里什么地方已经被杀毒软件设置过了?
帖子5 精华0 积分87 阅读权限40 在线时间9 小时 注册时间2005-3-15 最后登录2007-8-24 查看详细资料TOP

风泽
团队执行官

作者: btjily    时间: 2008-7-25 01:16

没必要测试,我接触到的WINDOWS系统默认下都是支持自动运行的。

测试的话,如果不是刚装好的系统也没什么意义,但如果对系统进行了设置测试了也没什么意思,这个主要是看环境而定的。http://hi.baidu.com/fengze

帖子451 精华26 积分6173 阅读权限200 性别男 在线时间1000 小时 注册时间2004-7-6 最后登录2008-7-23 查看个人网站
查看详细资料TOP

kernet
晶莹剔透§烈日灼然
作者: zhangrong    时间: 2008-7-25 01:16

爱情后门好像利用的就是这样的方法,Autorun.inf文件是隐藏加系统加只读属性的,在DOS下用DIR /a 才能看出来,这个文件的利用应该是支持自动播放的Windows系统就都可以实现。岑夫子,丹丘生,将进酒,杯莫停!与君歌一曲,请君为我侧耳听!钟鼓馔玉不足贵,但愿长醉不愿醒!

帖子39 精华0 积分136 阅读权限40 性别男 在线时间11 小时 注册时间2005-3-18 最后登录2007-6-13 查看个人网站
查看详细资料TOP

小超
晶莹剔透§烈日灼然
作者: 热带牛仔    时间: 2008-7-25 01:16

打扰大家一下
我想问一下  我是XP SP2的   我也试了下
我在C盘建了个autorun.inf  C盘里还有个CMD。EXE
内容为
[AutoRun]
OPEN=cmd.exe


可是我打开C盘 什么都没发生  为什么这样啊。。
帖子2 精华0 积分3 阅读权限40 在线时间4 小时 注册时间2005-4-24 最后登录2007-1-4 查看详细资料TOP

剑心
荣誉会员

作者: 土人    时间: 2008-7-25 01:16

恩,
98肯定支持
2000我见过有病毒这样利用。
2003是支持的,如果没有杀毒软件及其他东西限制的话。
xp sp1是支持的
其他的如xp sp2因为我没有环境所以没有测试,但是在装了杀毒的机器上测试失败。
HOHO
帖子83 精华0 积分3045 阅读权限100 在线时间84 小时 注册时间2005-1-2 最后登录2008-4-11 查看详细资料TOP

lvhuana
荣誉会员

作者: 44447777kun    时间: 2008-7-25 01:16

测试这有什么用?webshell的权限是不能编辑这些文件的吧

帖子42 精华2 积分3097 阅读权限100 性别男 在线时间55 小时 注册时间2004-10-2 最后登录2007-10-5 查看个人网站
查看详细资料TOP

剑心
荣誉会员

作者: 缺一    时间: 2008-7-25 01:16

我想这么做的就是提权啊,根目录一般默认可写的!!!!
帖子83 精华0 积分3045 阅读权限100 在线时间84 小时 注册时间2005-1-2 最后登录2008-4-11 查看详细资料TOP

小超
晶莹剔透§烈日灼然
作者: 吉普2020    时间: 2008-7-25 01:16

可是我以前是XP 1的时候也失败过

不过那个时候有杀毒 的?
帖子2 精华0 积分3 阅读权限40 在线时间4 小时 注册时间2005-4-24 最后登录2007-1-4 查看详细资料TOP

千寂孤城
Fypher

荣誉会员

作者: bbbbf    时间: 2008-7-25 01:17

引用:
下面是引用剑心于04-25-2005 13:45发表的:
.......
其他的如xp sp2因为我没有环境所以没有测试,但是在装了杀毒的机器上测试失败。
.......
我测试过了,我是xp sp2的机子,没装杀毒软件,成功不了,也不报错。就好象autorun.inf是个很普通的文件一样。You're my FF~, forever~ ^_^
帖子192 精华2 积分959 阅读权限100 性别男 在线时间43 小时 注册时间2005-5-26 最后登录2008-7-24 查看个人网站
查看详细资料TOP

linling
晶莹剔透§烈日灼然
作者: 大胃仔    时间: 2008-7-25 01:17

报告:
经过测试,和盘的分区格式有很大关系,我C、D盘失败,因为分区为NTFS,而E盘成功。分区为FAT,(楼上的未经过设置的主机成功可以证明),测试时没用程序,只是用了图标,可以将盘的图标改变即代表成功。WIN2K+SP4环境下测试。

PASS:因为双击盘符后只是执行了你的程序,而盘却没打开,这样菜鸟也知道有问题,所以我觉得这东西没多大用处(个人认为)。
帖子4 精华0 积分47 阅读权限40 在线时间3 小时 注册时间2005-6-30 最后登录2008-1-14 查看详细资料TOP

linling
晶莹剔透§烈日灼然
作者: 网上网下    时间: 2008-7-25 01:17

还有,对以资源管理方式打开无效。98下100%成功了。
帖子4 精华0 积分47 阅读权限40 在线时间3 小时 注册时间2005-6-30 最后登录2008-1-14 查看详细资料TOP

evilow
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2