十一黄金周，小P和女朋友去人间天堂杭州游玩，长假后，小P准备兴高采烈和大家分享他成果：打开电脑，插入U盘，双击，随后，杀毒软件不断的提示系统有病毒。。。

    相信这一幕也曾经发生在您的身上（大名鼎鼎的熊猫烧香传播的主要途径也是U盘哦），深受其害的您在插入一些陌生U盘的时候，心里是否有一丝恐惧。要想克服这种恐惧，就要做到知己知彼。首先让我们从以下三点来了解U盘病毒。

（1）autorun.inf

    对于autorun.inf文件大家肯定不会陌生，大多数光盘为了自动播放都会有此文件。自动播放功能给用户提供了方便，但是同时，也给病毒的自动运行提供了便利。

    当我们双击移动磁盘分区盘符时，系统会识别Autorun.inf文件内容，根据Autorun.inf中所指向的病毒路径，查找并运行病毒程序。在一般情况下这个文件是具有系统隐藏的属性。但真正的病毒文件不是autorun.inf文件，而是此文件中指向的病毒程序。大多数杀毒软件会处理autorun中指向的病毒文件，

但是并不会删除autorun.inf文件本身（原因很简单，autorun本身是一个文本文件，且有好有坏，无法提取准确特征制作病毒码），这样删除完之后就会造成一个问题，当我们双击磁盘时，系统会提示你需要指定程序来打开该分区。原因是autorun中指向的文件已经被删除，系统不知道用那个程序来打开对应的分区。

解决此问题只需要删除每个磁盘根目录下的autorun.inf文件即可。

    对于autorun.inf文件的格式以及含义，都有详细的规定和说明，大家有兴趣可以通过网络查询。

（2）[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun]

    NoDriveTypeAutoRun这个键对应的值决定了是否运行对应类型的驱动器的自动播放功能，当我们通过组策略来关闭系统的自动播放功能的时候事实上也是通过修改此项的键值来实现。以下标识了该项的具体含义，我们可以改变该项的值来修改自动播放功能的设置。

系统的默认值是91（xp系统）。

（3）[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

    当用户双击分区盘符时，Windows系统就是通过该项来识别并调用Autorun.inf的。

    实际上，当系统识别出一个盘符时（即：一个移动设备接入系统时，系统识别该移动设备的盘符；或者当系统启动时，系统识别出硬盘分区的盘符），会查找该盘符的根目录下是否存在Autorun.inf文件。

如果发现Autorun.inf文件，则会读取其中的信息，写入到该注册表项中。

    此注册表主键下，记录并管理了系统对所有“盘符”的双击操作和右键菜单内容，当用户双击了分区盘符时，系统会直接从以上注册表项中查找读取对应的信息，找到适合该分区盘符的操作。

    找到以上关键点后，是不是我们对U盘病毒有了一个初步的了解呢，当然这只是抛砖引玉，大家如果有兴趣，可以查阅相关资料进行深入的研究，在了解了基本原理之后，大家心里是不是对U盘病毒的防御有了自己的看法。我也将在下篇文章中和大家一起探讨U盘病毒的防御。

Frank Zheng