Автозапуск и дополнительная функция Автозапуск компонентами Microsoft Windows операционная система, определяющая, какие действия должна выполнять система при подключении диска.
Автозапуск был введен в Windows 95 для упрощения установки приложений для нетехнических пользователей и снижения затрат звонков в службу поддержки программного обеспечения. Когда сконфигурированный набор CD-ROM вставляется в привод CD-ROM, Windows обнаруживает поступление и проверяет содержимое на наличие специального файла, содержащего инструкций. Для компакт-диска, обычно используется программное обеспечение, инструкции запускают установку программного обеспечения с компакт-диска на жесткий диск. Чтобы максимизировать вероятность успешной установки, AutoRun также работает при доступе к диску («двойной щелчок ») в Проводнике Windows (или «Мой компьютер»).
До появления Windows XP термины AutoRun и AutoPlay использовались взаимозаменяемо, разработчики часто использовали первый термин, а конечные пользователи - второй. Эта тенденция отражена в параметрах политики Windows с именем AutoPlay, которые приводят к записи реестра Windows с именем AutoRun, и в файле autorun.inf
, который вызывает добавление «AutoPlay» к дискам контекстные меню. Терминология не имеет большого значения до появления Windows XP и помогает пользователям выбирать соответствующие действия при обнаружении новых носителей и устройств. Эта новая функция была названа AutoPlay, и было создано различие между этими двумя терминами.
AutoRun, функция проводника Windows (на самом деле shell32 dll ), представленная в Windows 95, позволяет использовать мультимедиа и устройства для запуска программ с помощью команды, указанной в файле с именем autorun.inf
, хранящемся в корневом каталоге носителя.
В основном используемые приложения на установочных компакт-дисках, вызываемые приложения обычно являются установщиками приложений. В файле autorun.inf также можно указать значок, который будет визуально представительным устройством в проводнике вместе с другими расширенными функциями.
Термины AutoRun и AutoPlay, как правило, взаимозаменяемы, когда они к инициирующему действию, которое обнаруживает и начинает читать из обнаруженных томов. На блок-схема в статье об AutoPlay показано, как AutoRun позиционируется как слой между AutoPlay и службой Shell Hardware Detection, и может помочь в терминологии. Однако, чтобы избежать путаницы, в этой статье используется термин AutoRun, когда идет о инициирующем действии.
AutoPlay - это функция, представленная в Windows XP, которая содержит съемные носители и устройства, и на основе такого содержимого, как, музыкальные или видеофайлы, запускает соответствующее приложение для воспроизведения изображения или отображения содержимого. Если возможно, настройки в файле autorun.inf могут быть добавлены к параметрам, представленным пользователем.
Автозапуск основан на наборе приложений-обработчиков, зарегистрирован в системе автозапуска. Каждый тип мультимедиа (изображения, музыка, видео) может иметь набор зарегистрированных обработчиков, которые имеют дело с воспроизведением или отображением этого типа мультимедиа.
Каждое аппаратное устройство может выполнить действие по умолчанию, происходящее при обнаружении определенного типа носителя, или диалоговое окно AutoPlay может предложить пользователю, какое действие следует предпринять.
Последовательность автозапуска начинается с обнаружения нового устройства или нового носителя. Последовательная передача сторонней оболочки Windows Explorer представляет наибольший интерес. После проверки параметров параметров узнать список, чтобы, может ли AutoRun продолжаться, может произойти синтаксический анализ необязательного autorun.inf и будут предприняты все необходимые действия.
Начальная последовательность обрабатывается практически одинаково во всех версиях Windows, начиная с Windows 95. Однако способ чтения и обработки файла autorun.inf, а также уровень интеграции AutoRun с AutoPlay значительно изменились со временем, когда автозапуск был введен в Windows XP, до настоящего момента в Windows 7. В Windows 10 Microsoft добавила возможность включения автозапуска в свои настройки. Не могут включить его, но также могут включить внешние устройства для автовоспроизведения.
Когда устройство с AutoRun-совместимыми драйверами происходит новый носитель, событие «Уведомление об изменении носителя». Затем ОС Windows ОС уведомила заинтересованные приложения о том, что произошло изменение устройства. Используемый метод устройства может меняться в зависимости от типа устройства.
Если измененное устройство представляет собой том (например, компакт-диск) или порт (например, последовательный порт), Windows передает уведомление WM_DEVICECHANGE
во все окна верхнего уровня. Windows называет это «базовым» уведомлением. Окно верхнего уровня является потомком рабочего стола.
Однако, если измененное устройство не относится к одному из этих типов, приложение может использовать функцию RegisterDeviceNotification
для регистрации для получения уведомлений устройства.
Статья на веб-сайте CodeProject «Обнаружение вставки и / или удаление оборудования» с пояснениями из блога Дорана Холана носит особенно технический характер. интерес здесь.
Устройство без тома - это те устройства, которые не имеют как буквы дисков в «Моем компьютере». Они не обрабатываются каким-либо частями AutoRun - любые действия, предпринимаемые для этих, выполняются либо программными устройствами конкретного устройства, либо AutoPlay. См. Автозапуск # Устройство, не являющиеся дисками.
Когда Explorer получает уведомление об изменении тома, он выполняет ряд действий:
QueryCancelAutoPlay
в окно переднего плана. Приложение, которое зарегистрировало свою заинтересованность в получении сообщения с помощью RegisterWindowMessage
, может ответить на это сообщение, чтобы остановить автозапуск (и, следовательно, автозапуск) на этом этапе. Любое приложение, будь то переднее или нет, также может быть уведомлено с помощью интерфейса IQueryCancelAutoPlay
COM, доступного в Windows XP и более поздних версийх.откройте
shellexecute
в разделе [автозапуск в autorun.inf.В версиих Windows до Windows XP будет читаться файл autorun.inf на любом типе диска и следовать его инструкциям. Задача AutoRun, если она указана, выполнить без вмешательства пользователя. Сюда входят DRIVE_REMOVABLE, DRIVE_FIXED и DRIVE_REMOTE типы дисков.
AutoRun будет работать с сетевыми дисками (тип диска DRIVE_REMOTE), которые сопоставлены с буквой диска. AutoRun также будет работать с дискодами гибких дисков, снабженными драйверами, совместимыми с автозапуском.
Параметры по умолчанию в версиих Windows до Windows XP (см. NoDriveTypeAutoRun), отключение удаленных и съемных дисков из Инициирование автозапуска, по умолчанию оставаясь активными фиксированными типами дисководов и дисководы CDROM.
Создание AutoPlay в Windows XP выполнение последнего этапа (этап 7 выше) для некоторых типов дисков изменилось с выполнением приложения на вызов AutoPlay. Начиная с Windows Vista, система AutoPlay интегрирована во все аспекты обработки мультимедиа, и автоматическое выполнение задачи AutoRun отсутствует.
Параметры реестра по умолчанию установить съемные диски к тем, которые инициировали автозапуск. В Windows XP и более поздних версиях, за исключением Windows Server 2003, для автозапуска не активны только типы дисков Неизвестный и Удаленный.
Обработка файла autorun.inf очень сильно меняется между каждой версией Windows. Подробности можно найти в статье autorun.inf. Текущая обработка в Windows 7 такова, что только диски DRIVE_CDROM могут указывать задачу автозапуска, поведение двойного щелчка или контекстные меню.
Автозапуск обращается к значениям реестра Windows, чтобы решить, следует ли инициировать действия для любого конкретного диска или типа диска. Эти значения можно изменить с помощью нескольких методов, один из которых использует групповую политику.
. Основными снабженными именами реестра являются NoDriveTypeAutoRun
и NoDriveAutoRun
. Они существуют как для компьютеров, так и для пользователей, их положение и приоритет в реестре более подробно ниже.
Типы дисков различаются по имени типа следующим образом:
Имя типа | значение | Описание |
---|---|---|
DRIVE_UNKNOWN | 0x00000000 | Тип диска не может быть определен (общий диск) |
DRIVE_NO_ROOT_DIR | 0x00000001 | Диск в настоящее время недействителен (нет подключенных томов) |
DRIVE_REMOVABLE | 0x00000002 | В накопителе есть сменный носитель (флоппи-дисковод, USB-накопитель ) |
DRIVE_FIXED | 0x00000003 | диск не может быть удален из привода (жесткий диск / твердотельный накопитель) |
DRIVE_REMOTE | 0x00000004 | Диск является удаленным (сетевым) диском |
DRIVE_CDROM | 0x00000005 | Привод представляет собой привод CD-ROM, DVD-ROM или BD-ROM |
DRIVE_RAMDISK | 0x00000006 | Привод представляет собой RAM-диск |
DRIVE_NOT_DETERMINED | 0x00000007 | Диск еще не определен |
DRIVE_NOT_FOUND | 0x00000008 | В настоящее время время нет доступа к диску (отдельный d rives) |
[ЗАрезервировано впечатление | 0x00000009 | Это значение зарезервировано для технологий будущего |
Реестр Windows - это иерархическая база данных, в которой хранятся параметры конфигурации и параметры операционной системы. Терминология несколько вводит в заблуждение, поэтому здесь она кратко изложена.
Ключ реестра похож на папку, в которой, помимо параметров, каждый ключ может содержать подключи, которые, в свою очередь, могут содержать подключи, и так далее.
Значение реестра состоит из пары имя-данные. В документации Microsoft термин «запись» обычно используется как эквивалентный термин. Он также использует «значение» для «данных», когда очевидно, что имеется в виду. Чтобы избежать путаницы, в этой статье всегда используется термин «запись», когда речь идет о паре имя-данные.
Два реестра ключей, которые очень часто регистрируются, это HKEY_LOCAL_MACHINE
, который содержит настройки для каждой машины, и HKEY_CURRENT_USER
, который содержит для текущего пользователя, вошедшего в систему. Почти всегда они обозначаются сокращенно как HKLM
и HKCU
соответственно. У машины может быть много пользователей; их настройки хранятся в HKEY_USERS
, HKCU
фактически просто ссылка на соответствующее место в HKEY_USERS
.
Настройки реестра могут быть изменены напрямую с помощью инструмента GUI regedit
или утилиты командной строки reg.exe
. Настройки также можно использовать в текстовый файл с расширением.reg. Например, «mychanges.reg
». При двойном щелчке по файлу параметры файла вводятся в реестр, если разрешение разрешения.
Их можно изменить косвенно с помощью групповой политики, применить локально к компьютеру с GPEdit.msc
или к домену с gpmc.msc
.
Это может быть необходимо для выхода из системы или перезагрузки компьютера, чтобы изменения в реестре вступили в силу.
Записи NoDriveAutoRun
и NoDriveTypeAutoRun
могут существовать в двух местах: в настройках для каждого пользователя (в HKEY_CURRENT_USER) и в -установка машины (под HKEY_LOCAL_MACHINE). Если запись отображается под HKEY_LOCAL_MACHINE, то любая соответствующая запись под HKEY_CURRENT_USER полностью игнорируется. Значения данных никоим образом не объединяются.
При принятии решения об активации автозапуска использовалась запись реестра NoDriveAutoRun
и NoDriveTypeAutoRun
. Если любое значение указывает на то, что диск должен быть отключен, автозапуск для этого диска отключен.
Таким образом в следующем примере:
HKEY_LOCAL_MACHINE | HKEY_CURRENT_USER | ||||
---|---|---|---|---|---|
NoDriveAutoRun | NoDriveTypeAutoRun | NoDriveAutoRun | <840>(отсутствует) | 0x03FFFFFF | 0x95 |
значение данных, принятое для NoDriveAutoRun
, равно 0x08, диск D и значение данных, принятое для NoDriveTypeAutoRun
, равно 0x95, отключение съемных и сетевых дисков. Запись для каждого пользователя NoDriveAutoRun
никогда не используется.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer . HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer | |||
Имя записи | Тип данных | Диапазон | По умолчанию |
---|---|---|---|
NoDriveTypeAutoRun | REG_DWORD | от 0x00 до 0xFF | 0x95 или 0x91 |
Эта запись реестра отключает или включает функцию автозапуска на всех дисках типа типа. Он отражает настройку групповой политики автозапуска. Допустимые данные рассматриваются от 0x00 до 0xFF в шестнадцатеричном формате. Если запись отсутствует, значение данных по умолчанию - 0x95 или 0x91 в зависимости от используемой версии Windows. Запись, присутствующая в HKLM, переопределяет любую запись, присутствующую в HKCU.
Входные данные представляют собой растровое значение, где бит, установленный в 1, отключает автозапуск на определенном типе диска. Битовые настройки для каждого типа привода показаны:
Обратите внимание, что бит номер 1 не используется и что тип «Неизвестный» представлен дважды. Установка всех битов в 1 даст шестнадцатеричное значение 0xFF, десятичное 255 и отключит автозапуск на всех типах дисков.
Значение по умолчанию для этой записи зависит от используемой версии Windows:
Операционная система | Настройка по умолчанию |
---|---|
Windows 7 | 0x91 |
Windows Server 2008 | 0x91 |
Windows Vista | 0x91 |
Windows Server 2003 | 0x95 |
Windows XP | 0x91 |
Windows 2000 | 0x95 |
Windows 95/98 | 0x95 |
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer . HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer | |||
Имя записи | Тип данных | Диапазон | По умолчанию |
---|---|---|---|
NoDriveAutoRun | REG_DWORD | 0x0 на 0x03FFFFFF | 0x0 |
Эта запись регистрирует или включает функцию автозапуска на отдельных дисках. Он не связан с групповой политикой и не существует по умолчанию. Значение данных принимается равным 0, если запись отсутствует. Запись, присутствующая в HKLM, имеющая приоритет над любой записью, присутствующей в HKCU.
Данные представляют собой 32-битное (DWORD) битовое значение, младшие 26 битов которого используются для представления каждой из 26 букв дисков от A до Z. Таким образом, допустимый диапазон данных составляет от 0x0 до 0x03FFFFFF. Наименьший значащий бит (правый бит) представляет диск A, а 26-й бит справа представляет диск Z.
Бит, установленный в 1, отключает автозапуск на определенном диске. Например, если значение данных установлено на 0x8 (1000 двоичных), автозапуск отключен на диске D.
Единственные параметры групповой политики, доступные для автозапуска, войти в регистр NoDriveTypeAutoRun
. Доступно для каждой машины, либо для каждого пользователя, любое расположение записей в HKLM или HKCU. Как описано выше, настройка политики для каждой машины приведет к игнорированию настройки политики для каждого пользователя.
Когда политика включена, групповая политика добавит запись NoDriveTypeAutoRun
в реестр. Если для политики установлено значение «Отключено» или «Не настроено», групповая политика удаляет эту запись из реестра для политики компьютера (в HKLM) и устанавливает для нее значение по умолчанию для политики пользователя (в HKCU). После этого могут вступить в силу системные настройки по умолчанию, как описано в разделе NoDriveTypeAutoRun.
Имена политик, расположение и возможные настройки незначительно различаются в зависимости от версии Windows. Список настроек относительно короткий и всегда дополняет системные настройки по умолчанию. Таким образом, в Windows 2000 включение политики «Отключить автозапуск» и установка для нее «Приводы компакт-дисков» отключает автозапуск (в отличие от автозапуска) для приводов CD-ROM и DVD, съемных приводов, сетевых дисков и приводов неизвестного происхождения. тип.
Этот параметр нельзя использовать для включения автозапуска на дисках, на которых он отключен по умолчанию, или для отключения автозапуска для дисков, не указанных в списке. Чтобы отключить или включить какие-либо определенные диски или типы дисков, реестр необходимо отредактироватьвручную.
Расположение политик для каждого компьютера:
Для каждого пользователя расположение политик:
Соответствующая политика - «Отключить автозапуск». В Windows 2000 политика называется «Отключить автозапуск».
После включения ее можно установить на «Все приводы» или «Приводы компакт-дисков». Последний параметр описываемых приведенных типов приводов, описанный выше.
Расположение политик для каждого компьютера:
Расположение политик для каждого пользователя::
Соответствующей политикой является «Отключить автозапуск», и ее можно установить для CD-ROM, DVD-ROM и съемных дисков или всех дисков.
Две связанные политики были добавлены в Vista и Server 2008:
.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer . HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer | |||
Имя записи | Тип данных | Диапазон | По умолчанию |
---|---|---|---|
NoAutoRun | REG_DWORD |
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer . HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer | |||
Имя записи | Тип данных | Диапазон | По умолчанию |
---|---|---|---|
DontSetAutoplayCheckbox | REG_DWORD |
В этих версиях Windows, возможность файла autorun.inf создать задачу автозапуска, имеет поведение двойного щелчка или контекстные меню ограничена дисками типа DRIVE_CDROM. Нет никаких параметров политики. Расположение и настройки политик соответствуют указанным выше Windows Vista, Windows Server 2008 с добавлением:
HKLM \ Software \ Policies \ Microsoft \ Windows \ Explorer . HKCU \ Software \ Policies \ Microsoft \ Windows \ Explorer | |||
Имя записи | Тип данных | Диапазон | По умолчанию |
---|---|---|---|
NoAutoplayfornonVolume |
Если удерживается клавиша ⇧ Shiftв конкретный момент выполнения Windows Vista вызывает диалоговое окно AutoPlay независимо от любых настроек AutoPlay, которые противоречат этому. Предыдущие версии Windows не выполняли задачу автозапуска. Используется левая клавиша Shift, так как удерживание правой клавиши Shift в течение восьми секунд вызывает клавиши FilterKeys.
Это может быть значительным количество времени, прежде чем оно вступит в силу. Время, необходимое в первую очередь, зависит от времени на распознавание нового оборудования и времени, необходимого для раскрутки CD-ROM. Полагаться на этот метод небезопасно.
Определенные события Уведомление об изменении носителя «Уведомление об изменении носителя» - это общий термин; для приводов CD-ROM конкретный термин - «Уведомление об автоматической вставке».
HKLM \ SYSTEM \ CurrentControlSet \ Services \ Cdrom | |||
Имя записи | Тип данных | Диапазон | По умолчанию |
---|---|---|---|
Автозапуск | REG_DWORD | 0 или 1 | 1 |
Для приводов CD-ROM изменить значения записи реестра на 0 отключит автоматическое уведомление о вставке только для приводов CD-ROM. Потребуется перезагрузка Windows.
Значение данных | Значение |
---|---|
0 | Не отправляет сообщение MCN |
1 | Отправляет сообщение MCN |
В Windows 95/98 / ME этот параметр можно изменить в Диспетчере устройств, доступном из системы на панели управления.
Параметры автозапуска для привода CD-ROM в Windows 98.Хотя запись в реестре называется «Автозапуск», она подавляет только сообщение MCN. Сообщение MCN вызывает запуск автозапуска, также дает указание оболочке Explorer обновить свои представления и содержимое.
Таким образом, только как побочный эффект, это отключает автозапуск для приводов CD-ROM. Однако теперь Explorer не обновляет свой вид при вставке нового компакт-диска; он будет показывать содержимое предыдущего компакт-диска, пока не будет нажата F5или пока не будет выбран пункт «Просмотр / обновление» в меню «Проводник». Это может привести к серьезной путанице для пользователей.
По этой причине никакой альтернативы об изменении носителя не следует отключать, если нет абсолютно альтернативы; Автозапуск можно отключить для отдельных дисков с помощью групповой политики или реестра.
HKLM \ SYSTEM \ CurrentControlSet \ Services \ Cdrom | |
Имя записи | Тип данных |
---|---|
AutoRunAlwaysDisable | REG_MULTI_SZ |
Эта запись используется для подавления сообщения MCN для конкретного типа Привод компакт- дисков, в первую очередь чейнджеры компакт-дисков. Данные представлены набором информационных устройств, которые соответствуют системам самими устройствами.
Значение по умолчанию для этой записи состоит из продуктов, определенных при тестировании Microsoft как поддерживающие автозапуск. Эту запись не следует внимательно по умолчанию.
Автозапуск может быть подавлен на определенных дисках и типах дисков с помощью методов, описанных в разделе Групповая политика. Однако редактор групповой политики недоступен в домашних версиях Windows XP и не предоставляет каких-либо детальных средств выбора дисков.
Однако групповая политика будет приемлемым методом отключения автозапуска для всего домена Windows.
Можно создать файл реестра, который при запуске вносит в реестр желаемые изменения.
Редактор реестра Windows версии 5.00 [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer] «NoDriveTypeAutoRun» = dword: 000000ff
|
В приведенном выше примере автозапуск был отключен для всех дисков и для всех пользователей. Этот пример запускает от имени администратора, и для того, чтобы вступили в силу, перезагрузка.
Windows Vista и более поздние версии Windows имеют параметр политики «Поведение по умолчанию для автозапуска», который может быть настроен на запрет чтения файла autorun.inf на любом объеме. Это позволяет избежать определенных сценариев, в которых вредоносное ПО использует функциональность autorun.inf для заражения машины. Предыдущие версии Windows не имели этого файла политики, использование сопоставления инициализации файлов эффективным решением.
Файл конфигурации автозапуска является стандартным файлом INI Windows , соответствующие вызовы API используются Windows при его получении. Эти вызовы API могут быть перенаправлены с помощью метода сопоставления файлов INI. Следующий файл реестра иллюстрирует обходной путь, где все настройки автозапуска берутся исключительно из раздела реестра HKEY_LOCAL_MACHINE \ Software \ DoesNotExist
:
Редактор реестра Windows 5.00 [HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf] @ = "@ SYS: DoesNotExist" |
этот ключ не существует, файл autorun.inf не содержит информации о настройках. Важно отметить, что это относится к любому autorun.inf в любом месте и на любом диске.
любой параметр политики, либо обходной путь отключают автозапуск, установка программного обеспечения с автозапуска компакт-диска или DVD, очевидно, больше не будет автоматической. Потребуется просмотреть файл autorun.inf на компакт-диске, а затем запустить соответствующую программу установки.
Microsoft признала, что «поскольку может быть выполнен без ведома или согласия пользователя, пользователи могут захотеть эту функцию из соображений безопасности». и выпустили «Fixit» для отключения автозапуска для пользователей, которым неудобно редактировать реестр.
От Windows 2000 до Windows Server 2008, записи реестра, относящиеся к автозапуску, не обрабатываются должным образом, что приводит к уязвимости системы безопасности. Windows 95 и Windows 98 не пострадали.
автозапуск отключен, Windows не должна выполнять последовательность активации дальше, чем проверка реестра. Однако он анализирует любой найденный файл autorun.inf и делает все, кроме последнего действия, чтобы вызвать автозапуск или запустить приложение.
Это оставляет пользователя уязвимым для атак со стороны уязвимых, которые используют autorun.inf для изменения поведения двойного щелчка и контекстного меню. Двойной щелчок по значку диска заразит машину. Щелчок правой кнопкой мыши и выбор параметров «Исследовать» или «Открыть» в контекстном меню не является обходным решением, поскольку эти элементы меню могут быть задействованы через систему autorun.inf.
Эта ошибка была исправлена в ряде обновлений безопасности, подробно описанных в статье 967715 базы знаний Microsoft.
NoDriveTypeAutoRun
можно сбросить до значения по умолчанию. Это связано с тем, что настройки групповой политики в домене вступают в силу. Это не ошибка.включен (включен), тогда автозапуск может не работать.
Установщики Windows также будут работать неправильно из-за доступа «Локальная система» к CD-ROM будет отклонен.
Этот параметр групповой политики соответствует записи реестра:
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon | |||
---|---|---|---|
Имя записи | Тип данных | Диапазон | По умолчанию |
allocatecdroms | REG_SZ | 0 или 1 | 0 |
Функциональность автозапуска некоторое время использовалась как вектор отрицательного ПО. До Windows Vista действие по умолчанию с типом привода CD-ROM заключалось в выполнении всех инструкций autorun.inf без подсказок и предупреждений. Это делает несанкционированные компакт-диск одним из преступников заражения.
К той же категории относится CD-ROM со смешанным содержимым. Аудио компакт-диск, который, по мнению пользователя, вообще не будет содержать программного обеспечения, может содержать раздел данных с autorun.inf. Некоторые компании, такие как Sony BMG, использовали этот вектор для установки вредоносного ПО, защита защиты от копирования звуковых дорожек.
U3 флеш-накопители, эмулируя устройство CD-ROM, также может заставить Windows выполнять команды из autorun.inf, найденного на эмулируемом CD-ROM.
Такие устройства, как Huawei E220 HSDPA-модем, корректно используют этот метод автоматической установки драйверов для самого модема. Однако воткнуть флешку из неизвестного источника - неразумный ход. USB Switchblade и аналогичные инструменты сделали атаки на флэш-накопители U3 тривиальными. Учитывая простоту написания атак на основе сценария, антивирусное программное обеспечение может оказаться неэффективным в предотвращении кражи данных и паролей.
Червь Conficker в действии снимок экрана в Windows 7.С помощью стандартного флеш-накопителя можно использовать атаки социальной инженерии, чтобы побудить пользователя нажать на соответствующий элемент в диалоговом окне AutoPlay. Заманчиво Действие строка перспективных бесплатных игр или порнографии бы заманить многих пользователей в ловушку. В любой момент двойной щелчок по значку диска приведет к автоматическому использованию autorun.inf, в ловушку которой могут попасть более опытные пользователи.
Любой пользователь может настроить автозапуск, чтобы принимать за него различные решения; при установке соответствующего флажка в диалоговом окне «Автозапуск» запуск вредоносного ПО на флэш-накопителе происходит автоматически и автоматически.
Вредоносная программа AutoRun была расширена для использования жестких дисков, фоторамок и других цифровых устройств. Осторожность при обращении с внешними устройствами является приоритетом безопасности. Распространенность заражения вредоносным ПО с помощью AutoRun и USB-флеш-памяти был задокументирован в исследовании Microsoft 2011 года, в котором анализировались данные из более чем 600 миллионов систем по всему миру в первой половине 2011 года. USB-накопителями, использующими функцию показания автозапуска в Microsoft Windows, были вызваны 26 процентов всех заражений системы Windows. Этот вывод согласуется с другими статистическими данными, такими как ежемесячный отчет антивирусной компании ESET о наиболее часто обнаруживаемых вредоносных программах, в которых используется autorun.inf занесено в первую десятку угроз в 2011 году.
В дополнение к основным мерам безопасности, которое включает в себя
подверженность этим атакам можно минимизировать за счет использования параметров групповой политики и реестра. Следующие политики безопасности являются кратким изложением политик, описанных в этой статье:
KB971029
. добавлен в официальный канал Центра обновления Windows. Поведение задачи автозапуска Windows 7 теперь становится значением по умолчанию для всех текущих версий ОС Windows.Кроме того, Microsoft рекомендовала следующие действия, в основном во время Conficker атаки червя:
823732