澄清现在流传的对自动播放的误解

闪电战

现在U盘病毒非常猖狂~几乎随便拿一个U盘来扫描都可以发现病毒。 金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯2 X- ?8 N; z' ?, j8 ]  @% L
有人就建议在组策略中关闭自动播放（计算机配置→管理模板→系统，关闭自动播放）以防止双击打开U盘的时候病毒被激活。
: a9 ~9 f5 M8 E6 ?: D5 }; k) Qbbs.duba.net这个方法实际上是错误的，如此设置对避免双击激活病毒没有任何帮助。 爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博# u/ o1 U! k+ P5 D! P! m
从Windows XP开始，自动运行被分成自动播放和自动运行两部分，两者有点关系但不是一回事。 爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博2 ]/ }8 c" |. s9 p( _
没有查到自动播放和自动运行的M$官方定义，简单说一下： . T8 k$ f( j* O' X5 R6 {

9 b  d# ^. Z! Y5 W% x2 y6 l金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯比如说，默认情况下插入一张光盘，Windows XP会弹出一个窗口显示正在搜索光盘上的内容，然后出现一个对话框，根据光盘中的内容会让你选择是浏览光盘、播放音乐还是干什么等等。这是自动播放。这种情况在U盘上也会出现。 爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net- @3 E. n, E+ J- t: g. D

" v2 S4 G0 l8 [/ ?金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯如果这张光盘上有Autorun.inf，那么搜索窗口将不会出现，Windows XP将读取Autorun.inf然后根据该文件的内容决定采取什么行为，通常将是运行Autorun.inf指定的程序。这就是自动运行。U盘支持不完全的自动运行，插上时不会执行Autorun.inf脚本但双击时会。
  n( a. x$ z3 Q8 }金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯如果关闭了自动播放，Autorun.inf的脚本将不会被自动运行，插入光盘后也不会出现什么程序。当然那个搜索对话框更不会出现~这大概是自动播放和自动运行唯一的关系。 & i& Z9 p! u+ u/ `. l& f

0 F( i) `/ k' X2 d7 f5 Gbbs.duba.net但是，如果你插入一张有Autorun.inf的文件，然后打开右键菜单，你可以发现“自动播放”那几个字是粗体，表明如果你双击光驱图标Autorun.inf脚本仍然会被执行。这个情况对U盘同样适用。
/ O/ f$ E. i- y# C: Q# l金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯
+ U+ P% H$ ?% J' a$ |/ z爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博所以即使你关闭了自动播放，接上一个带了毒的U盘，双击，病毒仍然会被激活，唯一的区别就是原来可能出现的让你选择操作的窗口不会再出现。
2 A4 [- i+ U& Q1 @爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博/ _2 T4 O9 [/ ~
想预防U盘病毒，最简单的方法是永远不要双击打开U盘，用右键菜单进，而且右键菜单要看清楚！现在已经有病毒伪造右键菜单中的“打开”项了。据说有个更恶劣的U盘毒把“打开”和“资源管理器”都伪造出来（右键菜单中两个“打开”两个“资源管理器，毫无疑问前两个是假的）。
% c9 d# y2 h6 V) _最好记得打开U盘前扫描一遍病毒。
+ V* \1 \- q$ ?' @  }+ U2 L5 Obbs.duba.net) x. e6 [3 ^) Z4 W  @( A! U+ d
这一点Linux做的很好，可以设置插入可移动媒体时自动运行的程序，Windows MS还没有这个功能。 bbs.duba.net* `8 b8 d0 R. Y8 {

+ Q& b( h) y2 K! ~2 H/ |一个修改注册表权限免疫U盘病毒的方法：
) a0 X* J  u, K  i4 D& q( a3 k爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net1 ^3 L! X4 l4 o1 y0 b

打开注册表项
4 H# o1 ^8 s( ?2 T4 }3 c* o3 S爱毒霸社区 Kingsoft Internet Security  ForumHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
( Z) V/ ?3 t9 k! X  m3 s6 ?爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net在键MountPoints2上点右键，选择权限，将Administrators组和SYSTEM组的完全控制都设为阻止即可。
* R6 e# E7 j6 |6 G: T4 Kbbs.duba.net
% B. K. L0 s5 A$ _7 E" l+ Q7 ~爱毒霸社区 Kingsoft Internet Security  Forum简单说下原理：
& r3 R4 [! T6 q% J3 V; t爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博Windows读取Autorun.inf后，会修改MountPoints2下的子键以添加新的右键菜单项。
6 r  v/ R3 d% T& S, q/ m爱毒霸社区 Kingsoft Internet Security  Forum将这个键的权限设为阻止，指向病毒的菜单项无法出现，病毒自然也就不能被激活。

爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博, r: c/ M; r9 n. v" \
附M$知识库中提供的关闭自动运行的方法~未验证对U盘自动运行是否有效果：
& X4 P! h! Q- a0 D$ B9 H: u& Wbbs.duba.net

如果您的计算机连接了 CD-ROM 自动换片器，则可能需要禁用自动运行 CD-ROM（自动运行光盘 [CD] 或自动播放音频 CD-ROM）。如果对 CD-ROM 自动换片器启用了自动运行 CD-ROM，则每次在其中一个托盘中插入新 CD-ROM 时，Windows 都会循环通过自动换片器中的每个托盘。
* {+ e+ i2 ^9 h% r. W% `5 @, m4 V. ]5 A/ i. ^8 s. \
在用户界面中，没有用于启用或禁用自动运行 CD-ROM 的选项。要启用或禁用自动运行 CD-ROM，必须编辑注册表： 1. 依次单击开始和运行，在打开框中键入 regedit，然后按 Enter 键。
; Q4 C  U0 V: t+ k: l# C爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net2. 找到并单击以下注册表项：
0 c* r; b5 b1 d% j/ ?$ HHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom
# q- r9 k! e2 A2 u3 D+ ^( O金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯3. 要禁用自动运行 CD-ROM，请将 Autorun 的值更改为 0（零）。要启用自动运行 CD-ROM，请将 Autorun 的值更改为 1。
7 j4 g4 l( [7 i9 a1 L5 t5 V) S4 s, c爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博4. 重新启动计算机。 金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯$ Y2 F9 ^) U+ y5 t
注意：此方法可禁用自动运行 CD-ROM。如果要根据在 CD-ROM 驱动器中插入的 CD-ROM 来禁用自动运行 CD-ROM，可以在插入 CD-ROM 的同时按住其中一个 Shift 键不放。
' w$ L7 Q4 M# H; F爱毒霸社区 Kingsoft Internet Security  Forum金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯, `4 u- U; }& V  t. d
还有其他两个注册表项会影响此功能：
% s- I8 M9 S; p+ L) m/ k爱毒霸社区 Kingsoft Internet Security  ForumHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ; E& R) N. D9 i. R2 I) q
NoDriveTypeAutoRun = 0x00000095
9 v5 H8 @1 J9 n  N6 Z爱毒霸社区 Kingsoft Internet Security  Forum. L; ?3 J0 h2 [8 S
- 和 - 爱毒霸社区 Kingsoft Internet Security  Forum, h/ q: I6 E* e5 E
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net' d/ u5 F! a  Z% M  i: S
NoDriveTypeAutoRun = 0x00000095 bbs.duba.net" p# @8 M+ \, C% M% s( g
每个注册表项的正确值均为 0x00000095。

铁军

看了这个帖子，楼主试图说明一个观点——避免双击或插入U盘（移动硬盘）中毒的方法，仅靠组策略编辑器是无效的。需要修改很多相关键值。对此，我小心做了20分钟的测试。测试结果表明明——组策略编辑器中禁止所有驱动器的自动播放，是防止双击或插入移动媒体而中毒的最简单有效的方法。长达三年的客服经历，我的观点不同于技术至上。我的理念是最简单，最容易实现的方案，是客户最需要的。爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net6 R6 |8 I4 q9 g" N2 B
爱毒霸社区 Kingsoft Internet Security  Forum7 S) T, p% D" l% `+ G
测试用了一个简单的autorun.inf，内容为
: v& V; o" R) a; M爱毒霸社区 Kingsoft Internet Security  Forum[autorun]
5 e' u; H$ H8 {7 ^爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博OPEN=EXPLORER.EXE爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net: c6 \) b' [, C5 \0 W0 a
shell\open=打开(&O)爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net. M- q4 u4 }  z' r# Y
shell\open\Command=EXPLORER.EXE
) r6 k% F- S9 U  G: Xbbs.duba.netshell\open\Default=1
1 E" p( R3 U9 g6 }$ f" Wbbs.duba.netshell\explore=资源管理器(&X)
4 y3 C9 e! I- G. h爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博shell\explore\Command=EXPLORER.EXE
; ~4 n! F8 O: x; l爱毒霸社区 Kingsoft Internet Security  Forum" a9 Y4 L5 D1 k2 F+ K1 ~! a
为使测试现象更直观，我把notepad.exe复制到U盘，重命名为explorer.exe金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯6 j3 h5 H2 @% W3 q8 V
爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博( |/ e, g, ]4 w) P8 m8 p' ]
运行，gpedit.msc，在计算机配置，管理模板，系统，右边关闭自动播放双击，选中未配置（我装完系统后，通常会立即修改这个值为所有驱动器），为这个测试，我改回去。重启电脑使配置生效。
( N- V2 H2 u9 r' F爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net爱毒霸社区 Kingsoft Internet Security  Forum! t/ E& l! V; l) @/ }
然后，双击我的电脑，再双击U盘图标，记事本打开了。再挂载一个WINXP 的ISO光盘镜像。双击，弹出安装WINDOWS XP的界面。金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯" t2 h/ H! C# w

  d9 F5 h2 X7 l金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯继续下一步，重新运行gpedit.msc，把禁止自动播放的值修改为所有驱动器，再重启电脑。bbs.duba.net% R4 E7 R2 q% K: o2 G

7 J% `- ], Q4 x  X7 c5 w爱毒霸社区 Kingsoft Internet Security  Forum双击我的电脑，再双击U盘，双击光盘，均未启动相应程序，而是在当前窗口中显示了根目录下的文件。
( l1 P4 o  B' }$ W3 G' m->
8 W/ [0 S0 _) L# {3 ^. |金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯这个试验说明，针对病毒在移动媒体创建autorun.inf的作法，最简单有效的防范手段，还是使用组策略，修改计算机配置->管理模板->禁止自动播放，重启电脑。
# N" c+ [5 O' q' G5 B7 [bbs.duba.net
6 m3 S9 q/ K- w2 W& w金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯不推荐把简单问题复杂化，一句话，“简单粗暴，行之有效”。

LuciferStar

这下明白了，原来自动播放就是由autorun.inf来提供相应执行的对象的。bbs.duba.net" ], ~+ X: [6 b9 M% @
禁用自动播放，就是禁用对autorun.inf的支持。
* N. {1 _2 a- X2 E金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯这样的话，也就禁用了里面对所有操作的重载？
( Q  E! d! @% T爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博还是关了的好。

horseluke

原帖由 闪电战 于 2007-6-17 15:13 发表
! }! K4 f1 Y' a/ Y爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博现在U盘病毒非常猖狂~几乎随便拿一个U盘来扫描都可以发现病毒。
8 u1 W0 H; ]0 p. k  w' R! u, `爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net有人就建议在组策略中关闭自动播放（计算机配置→管理模板→系统，关闭自动播放）以防止双击打开U盘的时候病毒被激活。 爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net$ ^; w7 g! @$ s5 z; Y% g, v
这个方法实际上是错误 ...

金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯9 B7 j! I/ T* y- T; x

" G4 G$ U9 O2 q5 v爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯' h0 f$ Z9 V/ h: s/ S
关于自动播放和自动运行的MS官方说法：bbs.duba.net- ^0 w4 f, r& s9 y* U8 L
<1>《（Windows XP）Shell 中的新功能》：
! n" {/ ^3 A! f( c  y7 U金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net2 W( P! S" l, H0 d3 P
http://www.microsoft.com/china/MSDN/library/archives/library/shellcc/platform/shell/shell_new/whatsnew.asp7 A3 V6 U# P4 b8 ]" Z

9 ~) s* n. x9 }0 e* R7 }爱毒霸社区 Kingsoft Internet Security  ForumUsing Hardware AutoPlay：bbs.duba.net5 ]; U5 |7 y) T& H, H* a1 ?4 Z" W
http://msdn2.microsoft.com/en-us/library/aa969332.aspx
) V5 P  Y& W  g$ K$ s( y/ f3 }& `: Z5 p$ I- D
Note  AutoPlay should not be confused with AutoRun. AutoRun, introduced in Windows 95, enables a compact disc to automatically launch a function, such as an installer or game play, when placed in the CD-ROM drive. This is accomplished through the use of an Autorun.inf file in the root directory of the compact disc. For more details, see Creating an AutoRun-enabled CD-ROM Application.金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯! J+ [( ^  U0 d. O0 R; u9 n2 h

8 y  V6 H. L6 \' s" x1 d8 G从微软的定义来说，的确在XP开始AutoPlay与Autorun不再是同一个概念了......bbs.duba.net9 O7 }- @7 o6 I& N. o3 J% Q
爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net0 S! A0 l7 Q0 S, Q, ?
关于这个Autorun的自动运行我曾经写过一篇文章：http://blog.sina.com.cn/u/56b798f80100084d。
9 O. q' T  a9 u& E, T爱毒霸社区 Kingsoft Internet Security  Forum( b, O  @) X+ @% f: q
我也曾经跟别人理论过这个问题，但是那时没有时间做。改那天我重新测试一遍......

horseluke

另外，刷新组策略可以使用
2 j  H+ q0 E$ k9 B$ F5 b. ~9 h  zgpupdate /force
' \* e4 s7 z6 f金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯来完成，这样可以避免重启

horseluke

铁军,我自己测试了一下，发现并不是你所说的这样。闪电战说对了一半，单纯使用组策略的确不能解决问题。
8 \3 T0 q; X, M% r4 u9 s爱毒霸社区 Kingsoft Internet Security  Forum那么如果要使用组策略那么还需要加上一个什么条件呢？答案就是Shell Hardware Detection服务的停用。爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net$ G; M9 c( @" r/ `7 J$ M

: `$ N* z6 D! m4 _) ]* N" @  e铁军为什么能够成功呢？原因估计是停用了Shell Hardware Detection服务。如果在测试过程中Shell Hardware Detection是启用的话，结果是实验失败的。爱毒霸社区 Kingsoft Internet Security  Forum! o8 I' q. o, Z8 V  K' n
现在看来，AutoPlay和Autorun在XP开始关系变得暧昧起来啊..........这个微软............:L 爱毒霸社区 Kingsoft Internet Security  Forum5 q" S, y& o, O2 ?+ }) r
' I$ A4 A. f$ F% q/ v$ K
啊，我的朋友原来真的是对的，在XP中哪用禁止MountPoints2，直接组策略禁止＋Shell Hardware Detection服务的停用，万事OK!爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net6 q& v- Y: f. `# f" T( [1 y( Y

. c/ w6 B* H7 l4 o" J) O, H在XP Home中，可通过导入如下注册表文件以达到组策略禁止的方法，然后再加上停用Shell Hardware Detection服务，就可以了。

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   
4. "NoDriveTypeAutoRun"=dword:000000ff
   
5. 要恢复原值时，只需要把以下文字保存为del.reg，然后双击导入注册表即可达到效果。
   
6. Windows Registry Editor Version 5.00
   
7. 
   
8. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   
9. "NoDriveTypeAutoRun"=-

复制代码

[ 本帖最后由 horseluke 于 2007-7-4 17:03 编辑 ]

LuciferStar

自动播放应该依赖于这一项服务：
  [8 t+ e# h4 ?爱毒霸社区 Kingsoft Internet Security  ForumShell Hardware Detection为自动播放硬件事件提供通知。爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net/ W4 e* M- m, W) C. I5 D
如果该服务处于运行状态，它就侦测是否要执行自动播放功能，或者说在相应的事件后通知系统或自身弹出自动播放选择对话框。金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯2 A" q* @9 X+ z) i* m
关掉这个服务，也就关闭了autoplay自动播放功能了。至少我的电脑现在对光盘、u盘的插入是没反应的。
  L: T* c& D" ^. {, S8 M: Wbbs.duba.net以上是我的个人见解。
2 Q* `: P9 E& I2 s爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net
$ |* O* u" Z+ o爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博楼主已经有了通过注册表来屏蔽autorun的方法，另外通过按住shift键，也可屏蔽它。
. S/ l9 \  A8 }$ F& O, |( zbbs.duba.net以下是MSND关于autorun的一些更多的信息：爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博7 M. \( ]$ c) g; I
原文地址：http://msdn2.microsoft.com/en-us/library/aa969329.aspx
$ r6 ]0 k% U7 L5 ?8 q2 J金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博: ]' h1 ]: K( Q2 e) m$ {
这些代码可以在应用程序中阻止autorun：
# e/ [) [* s+ y+ k2 q2 O" k% t爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.netUINT g_uQueryCancelAutoPlay = 0;
2 ?. `! V# j+ q) L7 T爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博  r3 k; J; Q9 J/ ~8 `8 b
LRESULT WndProc(HWND hwnd, UINT uMsg,  WPARAM wParam, LPARAM lParam)
7 @/ H8 q9 H" G, @  h/ n  O- j7 r爱毒霸社区 Kingsoft Internet Security  Forum{ 爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博, l0 K( r! m; R
    switch (uMsg)
& I: C& @6 L- N/ X6 i4 F7 k爱毒霸社区 Kingsoft Internet Security  Forum    {
* X& H6 F* `; o/ v) O5 N: m9 i    ...
- d! u; R; d0 {3 N) P% N% D" K# W8 Q# Qbbs.duba.net    default:
" J' V. J6 m% W9 S' B" C/ o爱毒霸社区 Kingsoft Internet Security  Forum        if (!g_uQueryCancelAutoPlay)
# Z1 k$ ]( q. W& O( i/ j1 Rbbs.duba.net        {
% M* M% p8 A; f- l爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net            g_uQueryCancelAutoPlay = RegisterWindowMessage(TEXT("QueryCancelAutoPlay"));
+ l* R8 J5 S7 D+ }) ebbs.duba.net        }
9 A/ d# K1 o% {$ u- a% ~/ Y金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯        if (uMsg && uMsg == g_uQueryCancelAutoPlay)爱毒霸社区 Kingsoft Internet Security  Forum) z8 _/ q" }$ d3 w6 Y  S
        {
6 }6 S. M  ^! ^7 t4 O1 e  |& b爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net            return TRUE;       // cancel auto-play爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博- I2 W1 v: `, O  x, @% j9 J
        }
" O9 S0 X" C( f3 H8 ?爱毒霸社区 Kingsoft Internet Security  Forum    }
! c& w' W! d4 q8 s' N  m}
7 _* E2 |0 ^. ?9 A& n+ W金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯  [4 Y1 z  Z+ G/ ~
不过，这些代码还要区分你的应用程序是否是对话框模式或前台等情况。文中有详细事例描述。
9 W; b$ x/ _! k# R* _爱毒霸社区 Kingsoft Internet Security  Forum
- ~9 ?, M+ B8 b6 [8 {4 K8 obbs.duba.net但，可能msdn自己也没搞清楚，或者这个autoplay是从autorun那里获得的灵感，在文字中，总是讲禁止autorun，可在代码注释中用的却是auto－play，而且注册的WINDOWS消息QueryCancelAutoPlay中，也是用了AutoPlay这个关键词。
1 k8 b1 F7 m. U) s( t! `爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博bbs.duba.net' I- }: B# E( B& i& O# t  O$ }
复杂！爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net- o) H& O3 |/ a# x/ N' c
不过，看完大家的讨论后，相信对于auto－这个问题，应该比没看前，多少了解一些了:P :P 爱毒霸社区 Kingsoft Internet Security  Forum0 q7 K2 T: F4 ~' Q+ D8 c
爱毒霸社区 Kingsoft Internet Security  Forum( q7 m+ G& [; s0 B, s& f
:L
2 G. }- a6 o0 ?  L) c# D3 B/ O爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博
: v9 ?. C( r* B+ q4 r爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博[ 本帖最后由 LuciferStar 于 2007-7-4 17:18 编辑 ]

LuciferStar

发现我发帖慢了。爱毒霸社区 Kingsoft Internet Security  Forum- @( @+ T0 f! n# ~% V1 f
AutoRun only works on removable storage devices when the following criteria are met: 5 d9 d- r, h* h& P' A; l( W5 T1 t! w
autorun如果要在可移动设备上正常工作，需符合下列条件：爱毒霸社区 Kingsoft Internet Security  Forum; @" w% p' t1 t8 Z6 D( X$ b% d
The device must have AutoRun-compatible drivers. To be AutoRun-compatible, a driver must notify the system that a disk has been inserted by sending a WM_DEVICECHANGE message. 3 d! X/ [* Q! P2 M) ^. l& @
驱动器必须安装兼容rutorun的驱动程序。驱动程序需要能够在有新盘插入后通过发送消息WM_DEVICECHANGE来通知系统。" D% n7 O2 O5 n- m) ~
The root directory of the inserted media must contain an Autorun.inf file.
- u* O. U* F5 w* e- d/ E爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博插入媒体的根目录必须有autorun.inf文件。
9 ~% I4 Y" L. a/ Cbbs.duba.netThe device must not have AutoRun disabled through the registry.
. o5 [) X5 u- q9 E; Q) `& e0 K0 tbbs.duba.net该驱动器的autorun功能应该没有被注册表屏蔽。
8 t3 w, C5 L. Q( `9 m金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯The foreground application has not suppressed AutoRun. bbs.duba.net6 n. {3 G! ]* u$ V$ C! t
前台程序没有屏蔽autorun事件。也即使我上面说的那个消息处理。

铁军

原帖由 horseluke 于 2007-7-4 16:35 发表
2 B7 e" y7 F5 b6 K, u; h$ q金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯另外，刷新组策略可以使用
! x: O6 M* z# D/ Q金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯gpupdate /force爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net# X$ c$ v2 b2 i# @
来完成，这样可以避免重启

0 w$ J; N( p9 r2 M
爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net3 S8 G8 \$ N$ |: h2 U  w
我直接用了gpupdate，结果无效，重启后生效了

铁军

原帖由 horseluke 于 2007-7-4 16:56 发表 bbs.duba.net+ T1 I3 k5 L6 I) b
铁军,我自己测试了一下，发现并不是你所说的这样。闪电战说对了一半，单纯使用组策略的确不能解决问题。爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博7 {7 M* t2 O& J) f8 Y+ l
那么如果要使用组策略那么还需要加上一个什么条件呢？答案就是Shell Hardware Detection服务的停用。
% h1 c5 e" j; E% q9 Tbbs.duba.net...

0 o3 ?7 F& k( D; v$ G+ c爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net
9 k$ y, w/ V3 W3 X/ f" {: G) }爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net我从来没有停用Shell Hardware Detection服务，看来这个问题，另有缘故。

horseluke

原帖由 LuciferStar 于 2007-7-4 17:16 发表 & L) ~0 h+ W1 u5 H9 c0 k
但，可能msdn自己也没搞清楚，或者这个autoplay是从autorun那里获得的灵感，在文字中，总是讲禁止autorun，可在代码注释中用的却是auto－play，而且注册的WINDOWS消息QueryCancelAutoPlay中，也是用了AutoPlay这个关键词。
5 \8 P+ p) G1 ubbs.duba.net复杂！...

1 L. a$ o3 j3 u0 @! H

0 ?0 f" z) D1 h; w( ]" c1 z1 Y爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博  b% \( P! X' R; l: @, ^1 I
如果有留意XP以前的文章就会发现，Autoplay与Autorun是同等意思的，就比如说这篇：
' @, r: p$ a# a. [! A2 Dhttp://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx
/ Y- s8 O- B3 Y. y
) [7 m- y* n; U: O6 D: X5 [bbs.duba.net同样一个键值，Windows 2000就说是“Disables the Autoplay feature on all drives of the type specified.”
7 Y  M7 O: h7 {9 f, J7 t4 Z爱毒霸社区 Kingsoft Internet Security  Forum: u: v1 O; L% l/ c' U" H* V, g
看来微软从XP开始想把Autoplay与Autorun分开来，不料却弄巧反拙......爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博- B$ H7 R- j# C' x; ]7 G
这令我想起了"Information"这个词,由于在外国人眼里是无法分开“信息”、“情报”的意思而导致情报学发展困难的情况......+ O4 W& U+ c1 q1 q' Y9 }! D
:L
. C( `: F7 W6 ]6 y0 S金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯爱毒霸社区 Kingsoft Internet Security  Forum8 [6 f$ t" J# `3 |6 C& B
金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯  k* \5 `* M& ?2 }# F
另外，有一个专门研究Vista的朋友发e－mail对我说，在VISTA中，自动运行有了改变，“如果从大角度来看，还要看UAC在里面起到了多少作用，（但是）如果这些问题都摊开来（研究），会花去不少的时间。”爱毒霸社区 Kingsoft Internet Security  Forum* f7 u# U5 l( D! ~! S! Q; w/ N
爱毒霸社区 Kingsoft Internet Security  Forum& C; w* m1 W! s( }/ ~0 B9 |
:L
  W( c% e0 f3 h8 Y8 `金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯
5 `2 [* c9 @( a/ g# W/ R& tbbs.duba.net
' L$ b8 D. V6 Y2 i3 {, A
% D1 X+ l3 x% ?% O5 _) S# R: k金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯这个自动运行还真折磨人................微软啊微软啊......................

zhoufangyi88

不是只要在打开的时候用资源管理器,bbs.duba.net& T5 W0 w9 E7 U1 p
打开时在旁边(见图)单击,
! b! }" ^$ e/ Q" \+ z. [; d2 h爱毒霸社区 Kingsoft Internet Security  Forum不就行了吗??

LuciferStar

这的确是个办法。但大家往往会忽略，因为双击打开已经习以为常了。
; z* h1 a  H( \( [通过开始 运行，然后输入盘符也可以迅速打开的。
7 r8 I  P* C) L. r7 B# @! |爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博或者使用快捷键：WINDOWS键，R，输入盘符，冒号，回车

闪电战

哈，N天没来这么多讨论的，铁老大也来了
# @& X' R5 H; V1 y7 M( e9 n" e- }金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯
! i7 H, Y4 \6 ]8 J, d3 ~爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博前段时间我也做了下实验，一个简单的autorun.inf文件，从光盘上拷下来放到MP3里再修改一下
5 u2 Z7 R7 J3 L7 d* \1 ~( a金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯

bbs.duba.net2 w1 \6 ]6 I/ y
[autorun]爱毒霸社区 Kingsoft Internet Security  Forum. B( F( f. g) H9 A7 @9 m! W# j
open=NOTEPAD.exe

bbs.duba.net  V* {0 {9 W# |) h; L9 B
然后把系统自带的记事本拷到也拷到MP3里爱毒霸社区 Kingsoft Internet Security  Forum" b% x. _* r8 X9 P& Y
重新插入MP3后，双击，NOTEPAD.EXE没有运行。
( B7 I& e- W# K  X# m* f6 o/ Z& \$ L爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博
( q5 O! @5 f+ N, a- a爱毒霸社区 Kingsoft Internet Security  Forum但是，情况不是这么简单0 V5 D3 j$ }* F. ?- e5 O0 P

9 X0 P5 D: m! s: e! h金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯换一个autorun.inf，用铁老大的那个改一下
% ?: D& J, G; S/ d& x4 A爱毒霸社区 Kingsoft Internet Security  Forum

8 \1 @; [5 ]0 S9 b( w& o# r8 I[autorun]爱毒霸社区 Kingsoft Internet Security  Forum- V' ?; r0 I+ M5 l5 W3 l# n7 B
OPEN=NOTEPAD.exe
' G& o" @9 }/ ~bbs.duba.netshell\open=打开(&O)爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net! A0 Z3 f! V# o* i" c8 Q
shell\open\Command=NOTEPAD.exe
1 v2 I8 d& T( v; ]) }5 h! m1 |爱毒霸社区 Kingsoft Internet Security  Forumshell\open\Default=1
/ z( s" P) {: n3 M( V5 j* gshell\explore=资源管理器(&X)金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯/ o9 d* }. ?9 Z, F
shell\explore\Command=NOTEPAD.exe
) v5 W0 Z3 d& @* v( \爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博icon=game.ico爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博( v( m6 n' I$ k! e

爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net4 Q! L( d2 ^" r: W( [) Z
顺便加了个图标进去检查autorun.inf是否被读取
+ t- c, K# n" g金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯再插入MP3，哈哈，双击记事本打开了。金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,世博会,世界杯. E8 e; f" p0 H# R1 ]" r; K3 W

/ d4 W) }* |+ J5 [: M% Tbbs.duba.net由此推测，组策略里关闭自动播放只能禁止右键菜单中不创建“自动播放”项（但是为什么光驱右键菜单的自动播放仍然存在并且是默认？）

2007-8-23 14:42

; d3 s) g# a( E' C$ Q& i* q' q/ t爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net但是并不能阻止autorun.inf修改已有的菜单项，而现在修改原“打开”和“资源管理器”项的autorun.inf已经很常见了

godzza

明白了楼主所说的9 }4 f% V# @0 _1 q& @* F# K9 q; \% E
谢谢~

bzbtb

原帖由 铁军 于 2007-7-4 00:05 发表
' q6 y, P/ e$ p& M, ^& a- h/ u+ A爱毒霸社区 Kingsoft Internet Security  Forum看了这个帖子，楼主试图说明一个观点——避免双击或插入U盘（移动硬盘）中毒的方法，仅靠组策略编辑器是无效的。需要修改很多相关键值。对此，我小心做了20分钟的测试。测试结果表明明——组策略编辑器中禁止所 ...

# o7 x3 {9 F* ~- C% A/ c爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博这下偶也明白了啦，谢谢啦，呵呵。

铁军

越讨论越清楚了，自动播放是现阶段传播病毒的重要通道。采用多个策略禁掉是明智的选择。现在毒霸的AV终结者专杀工具中，产品中，都提供了禁用自动播放的方法。

铁军

原帖由 闪电战 于 2007-8-23 14:42 发表
% ^; a6 S* M+ I1 c2 a爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博哈，N天没来这么多讨论的，铁老大也来了. x  f/ z5 z' Q9 N0 c# S8 d

: n, S( x" E6 {* }5 S$ h2 r; Gbbs.duba.net前段时间我也做了下实验，一个简单的autorun.inf文件，从光盘上拷下来放到MP3里再修改一下
  R, }6 R1 [& J. \& ]爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博  w( v# A7 A- p. V
然后把系统自带的记事本拷到也拷到MP3里
7 }. _% u2 P. w5 \爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net重新插入MP3后，双击，NOTEPA ...

7 V' C9 R% L6 I! }2 e' `! b6 t爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-bbs.duba.net爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,上海世博2 T5 u! W* l4 Q4 A
试了，在我的机器上，这个配置文件无效，做习惯用组策略了。

闪电战

我测试的时候用的Autorun.inf将打开和资源管理器指向NOTEPAD.EXE爱毒霸社区 Kingsoft Internet Security  Forum6 U6 l  y! y# v9 o0 j
然后在关闭自动播放的情况下双击U盘，NOTEPAD被打开了