Autorun

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 14. september 2017; checks kræver 25 redigeringer .

Autorun ( eng.  autorun ) og automatisk afspilning autoplay ), eller volumenstyring ( eng.  Volume Management ) er en funktion i nogle operativsystemer og miljøer, der automatisk udfører bestemte handlinger, når et nyligt tilsluttet lagringsmedie eller nymonteret filsystem detekteres.

Hvis den bruges skødesløst, kan denne funktion være farlig, da en angriber kan få malware til at køre [1] [2] .

Microsoft Windows

AutoPlay-funktionen blev introduceret i Windows 95 for at gøre det lettere for ukvalificerede brugere at installere programmer og for at reducere opkald til helpdesk. Da en specielt optaget disk blev indsat i drevet, bestemte Windows tilstedeværelsen af ​​en speciel fil med instruktioner. Softwaren skrevet på disken opfattede instruktionerne som lancering til installationen på harddisken . For at maksimere sandsynligheden for at installere et program på en computer, skete de samme handlinger, hvis du dobbeltklikkede på højre museknap i Windows Stifinder på disken.

Autorun udføres af Explorer . I Windows 7 (og tidligere) kan dette gøres ved at tilføje en genvej til programmet til mappen "Startup" i Startmenuen . I Windows 8 er denne funktion blevet fjernet, implementeret på en mere kompleks, men mere funktionel måde - gennem værktøjet Task Scheduler (adgang til det: Startskærm > Indstillinger charm > Tiles > Vis administrative værktøjer > find værktøjet på listen over applikationer).

På filsystemsiden er det konfigureret ved hjælp af autorun.inf .

Autostart initialisering

Autostart starter, når et nyt lagermedie er installeret. Det næste trin er at underrette brugeren om de mulige handlinger, der kan udføres med mediet. Efter indlæsning af indstillingerne fra registreringsdatabasen, vil du se et vindue, hvor du kan udføre visse handlinger. Hvis mediet har en autorun.inf -fil , læses yderligere indstillinger fra den, og yderligere instruktioner udføres. Meddelelsen genereres i henhold til typen af ​​udstyr.

Sådan virker det

Når enheden modtager nye medier med en boot record, genererer "Media Change Notification" en hændelse. Operativsystemet informerer dig om de programmer, der kan bruges med mediet. Hvis en enhed har ændret en partition (i tilfælde af en cd) eller en port (USB), genererer systemet en WM_DEVICECHANGE broadcast-meddelelse til alle vinduer på øverste niveau. OS vil udløse en "grundlæggende" notifikation. Vinduer på øverste niveau er de vinduer, der er børn af skrivebordet .

Enheder uden en partition er de enheder, der ikke har et bogstav i etiketten "Denne computer". De håndteres ikke af autoplay.

Når Explorer modtager en partitionsændringsmeddelelse, gør den følgende:

  1. Kontrollerer, om autoload er aktiveret i registreringsdatabasen. Hvis autoload er deaktiveret for enheder eller for en given enhedstype, gør File Explorer intet mere. Der var fejl på dette sted.
  2. Kontroller tilstedeværelsen af ​​autorun.inf-filen i rodmappen på den indsatte medieenhed, hvis den findes, så bearbejd den.
  3. Sender en QueryCancelAutoPlay-meddelelse til alle baggrundsvinduer. Et program, der modtager denne besked, kan blokere autorun via RegisterWindowMessage. Andre applikationer, baggrunde eller aktive, kan underrettes ved hjælp af IQueryCancelAutoPlay COM -grænsefladen på Windows XP og nyere.
  4. Valgmenuen ændres. Brugeren vil dobbeltklikke på enhedsikonet i Stifinder eller højreklikke på det, kalder kontekstmenuen, som er specificeret af filen avtorun.inf.
  5. Tilføjer et ikon fra opstart og beskrivelsestekst på drevikonet.
  6. Kontrollerer, om der trykkes på en tast    . Hvis der trykkes på den i Windows XP, så stopper autoload-processen, hvis den er i Windows Vista og højere, vil den trykket tast ikke påvirke processen på nogen måde.⇧ Shift
  7. Afslutning er der tre mulige begivenheder:
    • ingen yderligere handling påkrævet
    • vinduet "Autorun actions" vil poppe op, eller det vil køre programmet beskrevet af open eller shellexecute nøglerne i autorun.inf filen i [autorun] sektionen.
    • autoload fra medier vil starte

Ændring af autorun-adfærd

Fortidens tilstand

I alle versioner af Windows før Windows XP blev enhver autorun.inf -fil , på ethvert medie, indlæst, og instruktionerne i den blev udført. Autostart krævede ingen yderligere handlinger fra brugeren. [3] Inklusive DRIVE_REMOVABLE, DRIVE_FIXED og DRIVE_REMOTE medietyper.

Autorun fungerer fra netværksmedier, hvis der er tildelt et bogstav til det. Autorun vil også virke på drevet, hvis der er indsat en diskette, der understøtter autorun. [fire]

Som standard er autoload fra netværk og flytbare medier i versioner af Windows ældre end Windows XP deaktiveret; det forbliver uændret på cd-drev og harddiske.

Tingenes tilstand nu

Indstillinger i registreringsdatabasen

Autorun kontrollerer værdierne i registreringsdatabasen og udfører handlinger for hver specifik enhed, afhængigt af dem. Disse indstillinger kan ændres på flere måder, en af ​​dem er at ændre gruppepolitikken .

Prioritetsnøglerne er NoDriveTypeAutoRun og  NoDriveAutoRun. Disse nøgler behandles før systemstart og før brugerlogon og er beskrevet mere detaljeret nedenfor.

Medietyper

Medierne i registreringsdatabasen er opdelt i følgende typer:

Indtast navn Betyder Beskrivelse
DRIVE_UNKNOWN 0x00000000 Medier, der ikke kan bestemmes (primære medier)
DRIVE_NO_ROOT_DIR 0x00000001 Beskadiget medie (umonteret medie)
DRIVE_REMOVABLE 0x00000002 Flytbare medier (diskette, USB-flashdrev)
DRIVE_FIXED 0x00000003 Disken kan ikke fjernes fra enheden (harddisk/SSD)
DRIVE_REMOTE 0x00000004 netværksdrev
DRIVE_CDROM 0x00000005 Medier i et cd-rom-, dvd-rom- eller BD-ROM-drev
DRIVE_RAMDISK 0x00000006 Mediet er en RAM-disk
DRIVE_NOT_DETERMINED 0x00000007 Udefineret enhed
DRIVE_NOT_FOUND 0x00000008 Disken er skubbet ud
[RESERVERET] 0x00000009 Reserveret til fremtidige teknologier

Sådan kontrolleres autoload-udførelsesnøgler

 Nøgler NoDriveAutoRun og  NoDriveTypeAutoRun registre kan eksistere to forskellige steder, i brugerindstillinger (HKEY_CURRENT_USER) og i maskinindstillinger (HKEY_LOCAL_MACHINE). Hvis nøglen er til stede i HKEY_LOCAL_MACHINE, ignoreres værdien i HKEY_CURRENT_USER. Deres værdier er ikke kombineret.

Når spørgsmålet om start af autoload afgøres, tages der hensyn til værdien af ​​begge NoDriveAutoRun nøgler  NoDriveTypeAutoRun. Hvis hver af tasterne siger, at du skal deaktivere autoload, så slukker den.

Eksempel

HKEY_LOCAL_MACHINE HKEY_CURRENT_USER
NoDriveAutoRun NoDriveTypeAutoRun NoDriveAutoRun NoDriveTypeAutoRun
0x08 (Ikke installeret) 0x03FFFFFF 0x95

her ser vi værdier NoDriveAutoRunfra 0x08, deaktivering af medie D og værdi for NoDriveTypeAutoRunfra 0x95, deaktivering af flytbare drev og netværksdrev. Per bruger bruges NoDriveAutoRunaldrig.

Placering af autorun nøgler i registreringsdatabasen

Autoload i registreringsdatabasen er præsenteret flere steder:

  • For alle systembrugere:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] - programmer, der kører, når du logger på systemet. Denne sektion er ansvarlig for at starte programmer for alle brugere af systemet.
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] - programmer, der kun kører én gang, når brugeren logger på systemet. Derefter fjernes programnøglerne automatisk fra denne registreringsnøgle. Denne sektion er ansvarlig for at starte programmer for alle brugere af systemet.
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] - programmer, der kun kører én gang, når systemet starter. Dette afsnit bruges ved installation af programmer, for eksempel til at køre konfigurationsmoduler. Derefter fjernes programnøglerne automatisk fra denne registreringsnøgle. Denne sektion er ansvarlig for at starte programmer for alle brugere af systemet.
    • Tjenester:
      • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] - programmer, der indlæses ved systemstart, før brugeren logger på Windows.
      • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] - programmer herfra indlæses kun én gang, når systemet starter.
  • For den nuværende bruger:
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] - programmer, der kører, når den aktuelle bruger logger på systemet
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] - programmer, der kun kører én gang, når den aktuelle bruger logger på systemet. Derefter fjernes programnøglerne automatisk fra denne registreringsnøgle.

Eksempler på brug af autostart registreringsdatabaseposter

For for eksempel automatisk at starte Notesblok, når den aktuelle bruger logger på, skal du åbne registreringseditoren (regedit.exe), gå til sektionen [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] og tilføje følgende nøgle:

"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

Gruppepolitik

Kun gruppepolitikker påvirker indstillingerne i registreringsdatabasen NoDriveTypeAutoRun. Politikindstillinger er tilgængelige for hver bruger eller for hver maskine separat i særlige grene af HKLM- og HKCU-registret [5] [6] Den politik, der er beskrevet for maskinen, har højere prioritet end brugerens politik.

Når en politik er aktiveret, tilføjer gruppepolitik  NoDriveTypeAutoRun en post til registreringsdatabasen. Hvis politikken er deaktiveret, eller flaget ikke er konfigureret, fjerner gruppepolitikkerne posten fra maskinens registreringsdatabase og indstiller brugerens politik til standard. Systemet vil derefter som standard fungere som i parameterafsnittet NoDriveTypeAutoRun.

Politikkernes navn, deres placering og indstillinger kan variere afhængigt af systemet.

Autostart på andre operativsystemer

xfce

Volumenstyring er implementeret i Thunar filhåndtering , som kan konfigureres til at gøre:

  • automatisk montering og/eller automatisk visning af flytbare medier ved tilslutning og indsættelse.
  • lancering af programmer og åbning af filer på tilsluttede medier.
  • start af brænderen, når en tom optisk disk er indsat.
  • medieafspilning på cd'er , video-cd'er , dvd'er og/eller bærbare afspillere .
  • importere fotos fra digitale kameraer og/eller synkronisere med PDA'er, når de er tilsluttet.
  • Starter det angivne program, når en printer, USB-tastatur, mus eller grafisk tablet er tilsluttet .

Se også

Noter

  1. Myrtle and Guava: Episode 1 Arkiveret 18. april 2021 på Wayback Machine . securelist.ru
  2. Der sker ikke vira? Afsnit "E-mai & IM"  (utilgængeligt link) . Computerra
  3. https://support.microsoft.com/en-us/help/136214/how-to-test-autorun-inf-files . support.microsoft.com. Hentet 31. oktober 2017. Arkiveret fra originalen 7. november 2017.
  4. Aktivering og deaktivering af AutoRun (Windows  ) . msdn.microsoft.com. Hentet 31. oktober 2017. Arkiveret fra originalen 7. november 2017.
  5. NoDriveTypeAutoRun  . _ technet.microsoft.com. Hentet 2. november 2017. Arkiveret fra originalen 23. januar 2011.
  6. NoDriveAutoRun  . _ technet.microsoft.com. Hentet 2. november 2017. Arkiveret fra originalen 26. august 2017.