扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

$ W* f0 r: X2 M7 Q/ Y& q

问：

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, 懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 8 }8 B; T% _ g; l, x像SHELL执行已经禁掉了.

答：

' T) h$ I) k" Z3 k! b

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， - E7 J9 e& A" @5 S; |5 Q我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 : z, b/ u) A i4 x( O5 O# a 再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll ' k, R$ E8 t+ X% G 9 S, K0 V9 \6 Q8 I然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" - |, w) s( g4 s0 c5 v8 i: E 于是就把ADODB.STREAM给卸载了。

7 y/ Z8 z9 ]7 V

２．查查ADODB.STREAM 用来干什么的~~~呵呵

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

４．

引用:

& W8 p1 z; w0 Z1 A* d! K, m2 _最初由 zzzevazzz 发布 ' b4 i0 [1 d, h根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 再根据HKEY_CLASSES_ROOT\C.. . {" d/ m7 [0 }6 v8 C. S3 F 以下省略......

6 J* a( }$ s4 r9 i* t9 v; W0 W% z 2 J3 M1 n+ H/ N- K3 Z你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊 9 a8 W; B9 W8 w4 y- U 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? ' w- Q( X( S; Z7 x! x! t& Y: ?那个dll还是保留好一点

% x# e3 e9 {6 N3 ]+ a

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

/ R7 g+ }& I1 q7 G7 ~, v) W5 X

６．

- c7 v0 [6 P! |# r

卸载了ADO 或者把adodb.stream改名 $ b/ ^ v* a" I' N0 r# F 都不是好办法 因噎废食的作法 $ m8 r! f, g+ c! a. a 6 n5 @$ H' A: v/ Q6 h4 L* l* x) N3 y没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

# |8 b$ n, [5 l( D9 F+ h& m6 {; V

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? ASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

" B, r. Q! G8 ?5 z4 @4 v4 V ]' W

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

１０．禁用了？？ 3 M- v# e# r/ A$ j我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 可能只是不让IE调用吧，即使安全级别降低。

& a0 z. p3 ^% i% F Q6 S4 {