编者注:本文自幻影旅团转载而来,希望不会侵犯到版权:)
问:
9 ? r) t L" b% |: H8 ?我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, 懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.
答:
0 M6 f: d$ O) Z2 t$ r1.根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID,- h5 \7 i4 D2 T" n1 O& ] 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4},每台主机上应该都一样。 5 D# K* K) u+ U/ E5 T 再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值,找到这个ActiveX对应的dll。5 l# V( l& n; J) u) f, V 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll ) V7 ^; r3 K; ]) Q* j0 w 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 1 _( D. S0 y6 v/ i/ b8 D% w5 D 于是就把ADODB.STREAM给卸载了。
6 Z3 \# H; h, V+ m' k; b/ A' T2.查查ADODB.STREAM 用来干什么的~~~呵呵
3.最简单的办法 :去金山网站 找那个ADODB软件 把它卸载了!
4.
. U3 M8 J) ~6 o0 x引用:
' }4 M/ B6 a. y) }( E/ e/ M最初由 zzzevazzz 发布/ |* X6 D% A" q/ I Y; r( W2 | 根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID,/ J) f3 P9 P% Q+ ? 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4},每台主机上应该都一样。. @3 J' T$ K. [+ V 再根据HKEY_CLASSES_ROOT\C.. 以下省略......
% P" U4 w4 [8 R) [" S5 f4 f . E0 p. H5 h9 M2 b 你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧????* p' }9 ]' d! s$ }3 w 那个dll还是保留好一点
, d1 L7 k2 U. O: d5.只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此
6.
; L' f2 I7 t& W8 {6 v9 z& b' `卸载了ADO 或者把adodb.stream改名 ' I7 N9 \- ]; Z2 H6 c 都不是好办法 因噎废食的作法 没有了ADO ASP还剩下什么呢,还能作什么应用呢?
+ K% ?9 T4 e" ?% t- {4 @. b7.打IE的补丁
- [- S5 u. P% x8.ASP木马在服务器上运行的跟打IE补丁有什么关系呢?. u m+ z2 a; {1 T# u ASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?
9.由于ADODB.STREAM有很多问题,微软在今年6月份出了个补丁,把ADODB.STREAM给禁用了,这个补丁好像就是修改了注册表。
4 `- ^: D# | ~: }5 r: D10.禁用了??& l9 b0 g) b' X6 s5 T- S 我的2000sp4,xp sp1,xp sp2都可以用adodb.stream。 可能只是不让IE调用吧,即使安全级别降低。
| 欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) | Powered by Discuz! X2.5 |