returnil的autorun.inf免疫

webstar

今天要到外面用U盘，想在上面建一个autorun.inf目录来免疫，谁知道一建好，目录就不见了，以为没建成，再试一次；谁知系统提示重名，无法创建；
于是很奇怪，在GUI下显示所有文件，显示系统隐藏文件都看不到有autorun.INF，用winrar也看不到，更奇怪的是在dos下用dir/A也看不到，怎么会重名？后来用dos下md在autorun.inf目录下再建一个目录，用dos命令行输入路径，终于看到了，确实已经存在autorun.inf目录；后来到硬盘的每个分区里去试，都是如此，看不到autorun.inf的。。。。奇怪了。。。。后来费了半天曲折的功夫，才发现原来是returnil的autorun.inf免疫功能在搞搞震。
这个autorun.inf免疫功能可以让每个分区，包括U盘，下的autorun.inf目录或文件全都不可见，新建autorun.inf的时候当然提示重名不可创建了，可能它就是用这种方法来免疫的吧；不过我按照常见的创建autorun.inf目录，目录里利用文件名漏洞创建不可删目录来免疫U盘的方法基本无用，回来发现还是中招了，原来自己创建的autorun.inf目录被木马删除，木马自己创建了一个新的autorun.inf文件，幸好被及时发现了。
不知道各位大虾知不知道returnil的autorun.inf免疫的原理，这样我们自己在U盘上用这种方法免疫，就不担心中招了。

SONGBOWEN

好像是文件属性的问题。。。
文件的属性，在Windows里是用8位二进制数值表示的，常见的制只读、隐藏、系统、存档等属性，只占用了4个二进制位，文件夹或文件占一个二进制位，还有3个二进制位不知道是做什么用的，应该是这三个二进制位中的一个或多个控制的。

webstar

呵呵，谢谢提示
现在木马病毒挺厉害，普通可见autorun.inf目录方法基本不管用，只要木马能发现有autorun.inf目录，总是有方法可以删除的；如果让木马判断autorun.inf目录不存在，它去创建的时候自然会重名出错；这种autorun.inf免疫思路还挺不错的。。。
等有时间再好好研究一下

wangjay1980

给你个WANGSEA大侠的U盘免疫工具，比较强。

当然，你也可以去作者的网盘下载http://wangsea.ys168.com/

[ 本帖最后由 wangjay1980 于 2008-9-18 23:24 编辑 ]

SONGBOWEN

额，玩这个小程序的时候，不小心把E盘搞成了这个样子



好吧，我承认，我把它脱壳调试了，但是调试的时候发生了一点小意外……

wu5920

   不是在同一文件夹下  不允许有同名文件的吗???    你那怎么....

fufuji97

有必要如此强调免疫吗，关闭了硬盘自动播放，再小心点应该没事啊

SONGBOWEN

原帖由 wu5920 于 2008-9-18 19:59 发表
   不是在同一文件夹下  不允许有同名文件的吗???    你那怎么....

因为文件分配表出错了