扼杀asp木马---禁用ADODB.STREAM的讨论
<P>编者注:本文自幻影旅团转载而来,希望不会侵犯到版权:)</P><P>问:</P>
<P>我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的,
懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧,
像SHELL执行已经禁掉了.</P>
<P>答:</P>
<P>1.根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID,
我的XP上是{00000566-0000-0010-8000-00AA006D2EA4},每台主机上应该都一样。
再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值,找到这个ActiveX对应的dll。
我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll
然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
于是就把ADODB.STREAM给卸载了。</P>
<P>2.查查ADODB.STREAM 用来干什么的~~~呵呵</P>
<P>3.最简单的办法 :去金山网站 找那个ADODB软件 把它卸载了!</P>
<P>4.</P>
<P>引用: </P>
<P>
<I>最初由 zzzevazzz 发布</I>
<B>根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID,
我的XP上是{00000566-0000-0010-8000-00AA006D2EA4},每台主机上应该都一样。
再根据HKEY_CLASSES_ROOT\C..
以下省略...... </B></P>
<P>
你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样).
如果本机还有一些ado的应用,那么可能会出问题啊
直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧????
那个dll还是保留好一点</P>
<P>5.只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此</P>
<P>6.</P>
<P>卸载了ADO 或者把adodb.stream改名
都不是好办法 因噎废食的作法
没有了ADO ASP还剩下什么呢,还能作什么应用呢?</P>
<P>7.打IE的补丁</P>
<P>8.ASP木马在服务器上运行的跟打IE补丁有什么关系呢?
ASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?</P>
<P>9.由于ADODB.STREAM有很多问题,微软在今年6月份出了个补丁,把ADODB.STREAM给禁用了,这个补丁好像就是修改了注册表。</P>
<P>10.禁用了??
我的2000sp4,xp sp1,xp sp2都可以用adodb.stream。
可能只是不让IE调用吧,即使安全级别降低。</P>
<P>
页:
[1]