数学建模社区-数学中国

标题: 扼杀asp木马---禁用ADODB.STREAM的讨论 [打印本页]

作者: 韩冰 时间: 2004-11-22 23:55
标题: 扼杀asp木马---禁用ADODB.STREAM的讨论

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

问：

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, 6 ]" V& j( {3 q( f% D2 K懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧,6 T7 N$ g% Q) J6 B, O 像SHELL执行已经禁掉了.

答：

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 9 P( I' z+ ^% d" v1 l我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。% P' r- g ~+ d6 V * z1 B$ B2 Y" O# v% ` 再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。" `! v! g8 H4 f 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll 8 X) H) _$ H' S5 u4 E 8 S) m9 h, L# a1 B! @/ I, s9 i7 R然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" ; B* w% p9 m- I+ N$ m# B * G" \, V4 ~5 t2 D& z/ w于是就把ADODB.STREAM给卸载了。

２．查查ADODB.STREAM 用来干什么的~~~呵呵

３．最简单的办法：去金山网站找那个ADODB软件把它卸载了！

４．

引用:

2 T! w* k) x5 o 最初由 zzzevazzz 发布 * Z X& l: L, i) X根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID，% p9 g$ T8 M B- k: C2 w7 } 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。, T/ ^9 m7 {. J3 U( V & ?0 |% D, Q2 g: G9 i 再根据HKEY_CLASSES_ROOT\C.. % r- p2 Q2 z3 T , Z5 b- A+ b2 C1 s! F以下省略......

" g H; _ K. J$ C9 } 0 l/ R/ k$ w5 L2 a8 _, x你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 8 i5 Z7 h* h" _6 V g3 U; E如果本机还有一些ado的应用,那么可能会出问题啊$ k- \( |5 {3 |) b * K3 Y4 S. w4 N! A: L. _ 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧????. R0 ~" g) u' W/ Q 那个dll还是保留好一点

５．只要asp可用 asp木马就会存在你认为删除了就有用吗我觉得并非如此

６．

卸载了ADO 或者把adodb.stream改名 ( s) Q9 U" o9 h. \ : b9 F& @' V7 u8 S都不是好办法因噎废食的作法9 _; M3 _# i9 H+ D& T + h7 P) U. a0 i" S$ a没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢?& }& l8 X: [3 G) V- ] ASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

１０．禁用了？？* L- J0 Z3 Q2 h/ `: ?5 Q 我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 l. K/ K. M z* _' v% A可能只是不让IE调用吧，即使安全级别降低。

欢迎光临数学建模社区-数学中国 (http://www.madio.net/)