编者注:本文自幻影旅团转载而来,希望不会侵犯到版权:)
问:
我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的,6 M& q+ e- Y R" i4 |' D0 Y 懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.
/ d# L- Q, n. Q% X3 [答:
/ M1 K4 ^9 p1 i2 I2 p$ G0 M2 _( r1.根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID, 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4},每台主机上应该都一样。& t1 h1 w: v3 l1 F 再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值,找到这个ActiveX对应的dll。/ p; j5 _& R7 \7 q/ C7 Z 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 于是就把ADODB.STREAM给卸载了。
2 f- b( S6 R" k0 B1 P' ?7 P2.查查ADODB.STREAM 用来干什么的~~~呵呵
9 q+ N! [; A% L' i" X0 }- D3.最简单的办法 :去金山网站 找那个ADODB软件 把它卸载了!
4.
引用:
* C2 V3 u7 I8 v% c3 p9 K. @+ I4 N0 {4 X5 g5 E7 X- m% M 最初由 zzzevazzz 发布 根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID, 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4},每台主机上应该都一样。7 L/ D8 O: X* e! U 再根据HKEY_CLASSES_ROOT\C... P+ K. ?: f5 ]% e5 q6 ?2 r- E 4 y" D0 W; v( D8 O6 j" w9 _% q. H 以下省略......
; f6 \7 h$ q4 U5 r 你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊7 _) |/ |4 V# {2 b 6 X9 l! `. Y4 z# c 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧????, M3 M0 t. ]$ ]% A0 R. e 那个dll还是保留好一点
; G! q+ d q0 ~' N5.只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此
6.
卸载了ADO 或者把adodb.stream改名) S% s! D: m! b. A7 m: Z! @ 2 j( w0 n, A0 g- @ 都不是好办法 因噎废食的作法 0 m' v" f6 D* E L; z" w9 F5 z* P 没有了ADO ASP还剩下什么呢,还能作什么应用呢?
0 w5 h7 [# E; B9 Q: }0 ~7.打IE的补丁
; `3 W, ]9 F9 R2 D' k3 [1 s8.ASP木马在服务器上运行的跟打IE补丁有什么关系呢?& Q5 N0 U: a4 j5 R1 M8 ? V, d ASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?
9.由于ADODB.STREAM有很多问题,微软在今年6月份出了个补丁,把ADODB.STREAM给禁用了,这个补丁好像就是修改了注册表。
10.禁用了?? 我的2000sp4,xp sp1,xp sp2都可以用adodb.stream。 可能只是不让IE调用吧,即使安全级别降低。
K; V0 f! X1 }, W
| 欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) | Powered by Discuz! X2.5 |