澄清现在流传的对自动播放的误解

闪电战

现在U盘病毒非常猖狂~几乎随便拿一个U盘来扫描都可以发现病毒。
" A4 {% r) p6 C' {有人就建议在组策略中关闭自动播放（计算机配置→管理模板→系统，关闭自动播放）以防止双击打开U盘的时候病毒被激活。
这个方法实际上是错误的，如此设置对避免双击激活病毒没有任何帮助。
* [7 W1 Q, C7 N% B0 K+ m% m9 Z从Windows XP开始，自动运行被分成自动播放和自动运行两部分，两者有点关系但不是一回事。
没有查到自动播放和自动运行的M$官方定义，简单说一下：

比如说，默认情况下插入一张光盘，Windows XP会弹出一个窗口显示正在搜索光盘上的内容，然后出现一个对话框，根据光盘中的内容会让你选择是浏览光盘、播放音乐还是干什么等等。这是自动播放。这种情况在U盘上也会出现。
) M9 V  F9 \/ u1 l2 Z8 s/ Z: |
如果这张光盘上有Autorun.inf，那么搜索窗口将不会出现，Windows XP将读取Autorun.inf然后根据该文件的内容决定采取什么行为，通常将是运行Autorun.inf指定的程序。这就是自动运行。U盘支持不完全的自动运行，插上时不会执行Autorun.inf脚本但双击时会。
& A2 F, m) Z. j; G$ O) M如果关闭了自动播放，Autorun.inf的脚本将不会被自动运行，插入光盘后也不会出现什么程序。当然那个搜索对话框更不会出现~这大概是自动播放和自动运行唯一的关系。

但是，如果你插入一张有Autorun.inf的文件，然后打开右键菜单，你可以发现“自动播放”那几个字是粗体，表明如果你双击光驱图标Autorun.inf脚本仍然会被执行。这个情况对U盘同样适用。

所以即使你关闭了自动播放，接上一个带了毒的U盘，双击，病毒仍然会被激活，唯一的区别就是原来可能出现的让你选择操作的窗口不会再出现。
$ U2 l% }9 A4 \
8 e1 B- g& r* ]! ]4 }: ]$ [# s想预防U盘病毒，最简单的方法是永远不要双击打开U盘，用右键菜单进，而且右键菜单要看清楚！现在已经有病毒伪造右键菜单中的“打开”项了。据说有个更恶劣的U盘毒把“打开”和“资源管理器”都伪造出来（右键菜单中两个“打开”两个“资源管理器，毫无疑问前两个是假的）。
最好记得打开U盘前扫描一遍病毒。

: _2 X( c, l6 _# Y/ `# B" l这一点Linux做的很好，可以设置插入可移动媒体时自动运行的程序，Windows MS还没有这个功能。

8 L: q: {- @5 L/ c" `# X5 A4 l一个修改注册表权限免疫U盘病毒的方法：
* H& \" f: ^3 `5 F( w( w- [2 S

打开注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
在键MountPoints2上点右键，选择权限，将Administrators组和SYSTEM组的完全控制都设为阻止即可。

简单说下原理：
Windows读取Autorun.inf后，会修改MountPoints2下的子键以添加新的右键菜单项。
* R8 A  @( O& r3 y& p( A4 F) U3 E将这个键的权限设为阻止，指向病毒的菜单项无法出现，病毒自然也就不能被激活。

* N8 N! V  W, G! J  Q3 [附M$知识库中提供的关闭自动运行的方法~未验证对U盘自动运行是否有效果：

如果您的计算机连接了 CD-ROM 自动换片器，则可能需要禁用自动运行 CD-ROM（自动运行光盘 [CD] 或自动播放音频 CD-ROM）。如果对 CD-ROM 自动换片器启用了自动运行 CD-ROM，则每次在其中一个托盘中插入新 CD-ROM 时，Windows 都会循环通过自动换片器中的每个托盘。

在用户界面中，没有用于启用或禁用自动运行 CD-ROM 的选项。要启用或禁用自动运行 CD-ROM，必须编辑注册表： 1. 依次单击开始和运行，在打开框中键入 regedit，然后按 Enter 键。
2. 找到并单击以下注册表项：
: A- `: W1 D" ?% WHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom
3. 要禁用自动运行 CD-ROM，请将 Autorun 的值更改为 0（零）。要启用自动运行 CD-ROM，请将 Autorun 的值更改为 1。
4. 重新启动计算机。
. ^8 z' r; y' f, ]注意：此方法可禁用自动运行 CD-ROM。如果要根据在 CD-ROM 驱动器中插入的 CD-ROM 来禁用自动运行 CD-ROM，可以在插入 CD-ROM 的同时按住其中一个 Shift 键不放。
0 A7 u) K  C# n# A( y" W
还有其他两个注册表项会影响此功能：
) R( I+ H1 q7 x' M9 WHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
% C4 X* w  \; SNoDriveTypeAutoRun = 0x00000095
' j2 E& T/ g9 @# o8 Z
2 V% G& u0 i, R& |5 ]- ]  X4 t- 和 -
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun = 0x00000095
) m+ m+ S( C( t/ A3 T# t每个注册表项的正确值均为 0x00000095。

铁军

看了这个帖子，楼主试图说明一个观点——避免双击或插入U盘（移动硬盘）中毒的方法，仅靠组策略编辑器是无效的。需要修改很多相关键值。对此，我小心做了20分钟的测试。测试结果表明明——组策略编辑器中禁止所有驱动器的自动播放，是防止双击或插入移动媒体而中毒的最简单有效的方法。长达三年的客服经历，我的观点不同于技术至上。我的理念是最简单，最容易实现的方案，是客户最需要的。
; ~* I' j. h3 @7 k: b7 C: _
测试用了一个简单的autorun.inf，内容为
  I% Z+ J8 E* B7 z# |- O7 W[autorun]
+ r6 ~% ]8 x- X/ b3 iOPEN=EXPLORER.EXE
9 B$ w4 ~9 p! h4 e/ I" @shell\open=打开(&O)
shell\open\Command=EXPLORER.EXE
. W# e8 G. @' e) b% hshell\open\Default=1
shell\explore=资源管理器(&X)
6 j9 F! @$ \' ]# r- Oshell\explore\Command=EXPLORER.EXE

为使测试现象更直观，我把notepad.exe复制到U盘，重命名为explorer.exe

% C5 p/ `8 K/ L! {5 A" A0 H; i运行，gpedit.msc，在计算机配置，管理模板，系统，右边关闭自动播放双击，选中未配置（我装完系统后，通常会立即修改这个值为所有驱动器），为这个测试，我改回去。重启电脑使配置生效。
, p/ J3 N: ?! l% k8 `
然后，双击我的电脑，再双击U盘图标，记事本打开了。再挂载一个WINXP 的ISO光盘镜像。双击，弹出安装WINDOWS XP的界面。

继续下一步，重新运行gpedit.msc，把禁止自动播放的值修改为所有驱动器，再重启电脑。
, I' ^% i* R7 p2 G' S
$ Z0 P' {, e$ ?双击我的电脑，再双击U盘，双击光盘，均未启动相应程序，而是在当前窗口中显示了根目录下的文件。
->
这个试验说明，针对病毒在移动媒体创建autorun.inf的作法，最简单有效的防范手段，还是使用组策略，修改计算机配置->管理模板->禁止自动播放，重启电脑。

- ]0 M6 W+ n! c/ d; ^; e$ c; W不推荐把简单问题复杂化，一句话，“简单粗暴，行之有效”。

LuciferStar

这下明白了，原来自动播放就是由autorun.inf来提供相应执行的对象的。
禁用自动播放，就是禁用对autorun.inf的支持。
- T( r+ R" D0 j  }' f. l6 N8 m这样的话，也就禁用了里面对所有操作的重载？
还是关了的好。

horseluke

原帖由 闪电战 于 2007-6-17 15:13 发表
现在U盘病毒非常猖狂~几乎随便拿一个U盘来扫描都可以发现病毒。
有人就建议在组策略中关闭自动播放（计算机配置→管理模板→系统，关闭自动播放）以防止双击打开U盘的时候病毒被激活。
( n: `  ?, i/ o8 V" G5 J这个方法实际上是错误 ...

$ {: Z' g* A3 `. a7 _4 f5 v: L
$ v, g; L  ~: f' Y
关于自动播放和自动运行的MS官方说法：
<1>《（Windows XP）Shell 中的新功能》：

6 `8 R3 _1 k! x, N7 bhttp://www.microsoft.com/china/MSDN/library/archives/library/shellcc/platform/shell/shell_new/whatsnew.asp
  J* e' ?1 |4 a5 G; K: @: g
Using Hardware AutoPlay：
http://msdn2.microsoft.com/en-us/library/aa969332.aspx
2 Z' @; I! N5 D& v  ?/ R- A7 m# D
- A8 F6 k$ w3 MNote  AutoPlay should not be confused with AutoRun. AutoRun, introduced in Windows 95, enables a compact disc to automatically launch a function, such as an installer or game play, when placed in the CD-ROM drive. This is accomplished through the use of an Autorun.inf file in the root directory of the compact disc. For more details, see Creating an AutoRun-enabled CD-ROM Application.
! I% K5 A% k! Z) g1 S
从微软的定义来说，的确在XP开始AutoPlay与Autorun不再是同一个概念了......
% T! H8 Y8 k. X3 F6 ?; H% T( ~
关于这个Autorun的自动运行我曾经写过一篇文章：http://blog.sina.com.cn/u/56b798f80100084d。
; k4 n. E% _5 l; D
& {3 w( d: q( W8 J$ D) d我也曾经跟别人理论过这个问题，但是那时没有时间做。改那天我重新测试一遍......

horseluke

另外，刷新组策略可以使用
gpupdate /force
0 k1 `6 n9 \- N& [来完成，这样可以避免重启

horseluke

铁军,我自己测试了一下，发现并不是你所说的这样。闪电战说对了一半，单纯使用组策略的确不能解决问题。
% v! F* j! z( X! B! `" u那么如果要使用组策略那么还需要加上一个什么条件呢？答案就是Shell Hardware Detection服务的停用。
7 W9 ^! ~3 K: @1 D6 k- e
& i$ b: X" N* m! |铁军为什么能够成功呢？原因估计是停用了Shell Hardware Detection服务。如果在测试过程中Shell Hardware Detection是启用的话，结果是实验失败的。
1 g1 P' P2 ^: M6 g% J现在看来，AutoPlay和Autorun在XP开始关系变得暧昧起来啊..........这个微软............:L

2 H2 ]/ M3 r3 d6 j啊，我的朋友原来真的是对的，在XP中哪用禁止MountPoints2，直接组策略禁止＋Shell Hardware Detection服务的停用，万事OK!

在XP Home中，可通过导入如下注册表文件以达到组策略禁止的方法，然后再加上停用Shell Hardware Detection服务，就可以了。

  g' o& T3 c" s# H8 c, E! [2 V, ^
) a9 g0 u: ?. O

1. Windows Registry Editor Version 5.00
   ' ~: g! n( b+ W2 f
2. 
   
3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   
4. "NoDriveTypeAutoRun"=dword:000000ff
   " \! H* c1 _' A1 N
5. 要恢复原值时，只需要把以下文字保存为del.reg，然后双击导入注册表即可达到效果。
   4 f' J0 t0 p, i( y) d0 h5 Q. b' j
6. Windows Registry Editor Version 5.00
   2 [& o7 j" r6 l3 p$ c
7. 
   
8. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   
9. "NoDriveTypeAutoRun"=-

复制代码

[ 本帖最后由 horseluke 于 2007-7-4 17:03 编辑 ]

LuciferStar

自动播放应该依赖于这一项服务：
# ?* Z2 I4 p0 R) ~4 y' SShell Hardware Detection为自动播放硬件事件提供通知。
如果该服务处于运行状态，它就侦测是否要执行自动播放功能，或者说在相应的事件后通知系统或自身弹出自动播放选择对话框。
关掉这个服务，也就关闭了autoplay自动播放功能了。至少我的电脑现在对光盘、u盘的插入是没反应的。
0 W2 n  A# y3 l以上是我的个人见解。
# e9 F# Y' d8 G) l+ f- ?& u
楼主已经有了通过注册表来屏蔽autorun的方法，另外通过按住shift键，也可屏蔽它。
4 b3 X# B% u& v) A以下是MSND关于autorun的一些更多的信息：
原文地址：http://msdn2.microsoft.com/en-us/library/aa969329.aspx

4 }7 Y6 G, V+ j* L这些代码可以在应用程序中阻止autorun：
UINT g_uQueryCancelAutoPlay = 0;
8 @9 `: Z: u) U' {0 I9 Y, Q- ^
6 v1 Y& Y& V5 W% i6 n$ OLRESULT WndProc(HWND hwnd, UINT uMsg,  WPARAM wParam, LPARAM lParam)
{
    switch (uMsg)
    {
; z: B  S; k1 u. p$ m    ...
    default:
% b$ r8 m3 o3 j( @; p7 H        if (!g_uQueryCancelAutoPlay)
/ [. f- M2 g% f2 J/ v) p8 t+ `9 |6 r        {
            g_uQueryCancelAutoPlay = RegisterWindowMessage(TEXT("QueryCancelAutoPlay"));
" c  X, i3 A4 ^0 H( P2 B' A% l        }
! k) @( ]3 [* y        if (uMsg && uMsg == g_uQueryCancelAutoPlay)
8 \" V6 u  X6 H1 Q        {
            return TRUE;       // cancel auto-play
        }
9 D! e$ ]* e/ R: {    }
}
# v: g' I6 x2 t' |' o* z' ^  K, {
不过，这些代码还要区分你的应用程序是否是对话框模式或前台等情况。文中有详细事例描述。
( Z& z7 Q2 l% S4 j2 y6 N$ d( `- A
但，可能msdn自己也没搞清楚，或者这个autoplay是从autorun那里获得的灵感，在文字中，总是讲禁止autorun，可在代码注释中用的却是auto－play，而且注册的WINDOWS消息QueryCancelAutoPlay中，也是用了AutoPlay这个关键词。

复杂！
不过，看完大家的讨论后，相信对于auto－这个问题，应该比没看前，多少了解一些了:P :P
" n! z7 a0 z, m! B* t
:L
& W7 J) S- ?6 Z) r$ H7 B0 ?
5 P* e! [2 M5 }' P7 x/ N- L[ 本帖最后由 LuciferStar 于 2007-7-4 17:18 编辑 ]

LuciferStar

发现我发帖慢了。
/ r/ p/ @1 M; o' l3 o# `AutoRun only works on removable storage devices when the following criteria are met:
, U  B2 ~& G8 bautorun如果要在可移动设备上正常工作，需符合下列条件：
% h* V% u) l" ]+ z- l. LThe device must have AutoRun-compatible drivers. To be AutoRun-compatible, a driver must notify the system that a disk has been inserted by sending a WM_DEVICECHANGE message.
驱动器必须安装兼容rutorun的驱动程序。驱动程序需要能够在有新盘插入后通过发送消息WM_DEVICECHANGE来通知系统。
  L# z) A0 Y5 _+ j: _6 TThe root directory of the inserted media must contain an Autorun.inf file.
插入媒体的根目录必须有autorun.inf文件。
The device must not have AutoRun disabled through the registry.
0 \2 C  t/ J3 ]: R+ [  ^该驱动器的autorun功能应该没有被注册表屏蔽。
The foreground application has not suppressed AutoRun.
3 a  P1 X$ V! n( x1 W% H3 {前台程序没有屏蔽autorun事件。也即使我上面说的那个消息处理。

铁军

原帖由 horseluke 于 2007-7-4 16:35 发表
另外，刷新组策略可以使用
gpupdate /force
9 d  f# F4 L; x# Z3 m' Q" e; H% I& ~来完成，这样可以避免重启

& C( E- W: t$ n
9 m# s6 Z/ f2 Q9 |7 B我直接用了gpupdate，结果无效，重启后生效了

铁军

原帖由 horseluke 于 2007-7-4 16:56 发表
铁军,我自己测试了一下，发现并不是你所说的这样。闪电战说对了一半，单纯使用组策略的确不能解决问题。
! R# S9 P+ o; V& C4 F  ^" v那么如果要使用组策略那么还需要加上一个什么条件呢？答案就是Shell Hardware Detection服务的停用。
5 Q1 d" F1 I9 G: g. ]...

5 x/ R! ~" ?! F  L4 {9 X
* y0 k- V7 W( n. x/ K2 V我从来没有停用Shell Hardware Detection服务，看来这个问题，另有缘故。

horseluke

原帖由 LuciferStar 于 2007-7-4 17:16 发表
# g" ]9 ]5 s- R" D但，可能msdn自己也没搞清楚，或者这个autoplay是从autorun那里获得的灵感，在文字中，总是讲禁止autorun，可在代码注释中用的却是auto－play，而且注册的WINDOWS消息QueryCancelAutoPlay中，也是用了AutoPlay这个关键词。
复杂！...

) P! o- F/ U1 z! o% @
如果有留意XP以前的文章就会发现，Autoplay与Autorun是同等意思的，就比如说这篇：
$ a& U$ c9 Q9 }9 e% ehttp://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx

同样一个键值，Windows 2000就说是“Disables the Autoplay feature on all drives of the type specified.”

+ ?+ }6 w7 F! Y5 p2 T+ w* k看来微软从XP开始想把Autoplay与Autorun分开来，不料却弄巧反拙......
这令我想起了"Information"这个词,由于在外国人眼里是无法分开“信息”、“情报”的意思而导致情报学发展困难的情况......
:L
- N4 I8 S- ?0 z$ q, I3 K) s

5 x; L: |) J# y) Q0 G另外，有一个专门研究Vista的朋友发e－mail对我说，在VISTA中，自动运行有了改变，“如果从大角度来看，还要看UAC在里面起到了多少作用，（但是）如果这些问题都摊开来（研究），会花去不少的时间。”
3 K% V; H4 K5 j5 r
' h+ S- C9 h7 D0 O:L
8 E, d7 E5 @: a( [$ `& U

! E# N7 L: y- x) p$ e
# N4 g7 D2 P' Y6 P这个自动运行还真折磨人................微软啊微软啊......................

zhoufangyi88

不是只要在打开的时候用资源管理器,
. @3 e; a$ P4 \' W* f1 V* z打开时在旁边(见图)单击,
! `- K% @; ?& z9 L! C) m不就行了吗??

LuciferStar

这的确是个办法。但大家往往会忽略，因为双击打开已经习以为常了。
' V) f9 x* W7 ^! b* z通过开始 运行，然后输入盘符也可以迅速打开的。
或者使用快捷键：WINDOWS键，R，输入盘符，冒号，回车

闪电战

哈，N天没来这么多讨论的，铁老大也来了
+ T/ M. i& T5 J/ P  V5 k
前段时间我也做了下实验，一个简单的autorun.inf文件，从光盘上拷下来放到MP3里再修改一下
: Q5 [8 Y* S, m- R( L

[autorun]
open=NOTEPAD.exe

" N/ q% q) o) L3 _$ u7 ]4 H+ E+ m然后把系统自带的记事本拷到也拷到MP3里
重新插入MP3后，双击，NOTEPAD.EXE没有运行。
0 {! {! ^0 R$ \" @
但是，情况不是这么简单
! J+ A& f- I0 S3 d
换一个autorun.inf，用铁老大的那个改一下
  I1 w6 Y% {. B* Q

[autorun]
- Y$ k! x; E5 _9 |3 F" _OPEN=NOTEPAD.exe
# V+ l1 u* W+ E; C+ j, L! sshell\open=打开(&O)
shell\open\Command=NOTEPAD.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
# H1 k4 [& l6 Y; Nshell\explore\Command=NOTEPAD.exe
. ]7 d9 I$ l1 D( V" K+ Y( p" `5 g4 qicon=game.ico

顺便加了个图标进去检查autorun.inf是否被读取
再插入MP3，哈哈，双击记事本打开了。
% w/ H2 u& D" q" Q
9 G% i/ D' g* y' v5 r由此推测，组策略里关闭自动播放只能禁止右键菜单中不创建“自动播放”项（但是为什么光驱右键菜单的自动播放仍然存在并且是默认？）

但是并不能阻止autorun.inf修改已有的菜单项，而现在修改原“打开”和“资源管理器”项的autorun.inf已经很常见了

godzza

明白了楼主所说的
谢谢~

bzbtb

原帖由 铁军 于 2007-7-4 00:05 发表
$ \5 p$ b6 s7 S9 y6 v4 [( y看了这个帖子，楼主试图说明一个观点——避免双击或插入U盘（移动硬盘）中毒的方法，仅靠组策略编辑器是无效的。需要修改很多相关键值。对此，我小心做了20分钟的测试。测试结果表明明——组策略编辑器中禁止所 ...

这下偶也明白了啦，谢谢啦，呵呵。

铁军

越讨论越清楚了，自动播放是现阶段传播病毒的重要通道。采用多个策略禁掉是明智的选择。现在毒霸的AV终结者专杀工具中，产品中，都提供了禁用自动播放的方法。

铁军

原帖由 闪电战 于 2007-8-23 14:42 发表
! ?: N* Z  J3 N7 X5 n! E2 z哈，N天没来这么多讨论的，铁老大也来了
3 D; N% U' y& F0 Z7 o  m
前段时间我也做了下实验，一个简单的autorun.inf文件，从光盘上拷下来放到MP3里再修改一下
1 c. x( V3 q+ ]. g; d4 L
然后把系统自带的记事本拷到也拷到MP3里
6 R. P: F" \  y& C/ @" M  e% ]0 d重新插入MP3后，双击，NOTEPA ...

1 [+ x. `8 w* Y7 @7 L4 t
+ h7 @+ B* A7 t. X试了，在我的机器上，这个配置文件无效，做习惯用组策略了。

闪电战

我测试的时候用的Autorun.inf将打开和资源管理器指向NOTEPAD.EXE
然后在关闭自动播放的情况下双击U盘，NOTEPAD被打开了