扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

7 g) f% d; I% i( o* E# O( I' A

问：

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, 8 k6 Y) Z5 C$ m( O7 M4 Q懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.

答：

T8 i+ w4 K0 h

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 7 E6 |- x" l% U( g0 E我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 ) E( S m5 B" x1 f* ] 再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" $ X. G' |% S6 p& y, _; v 于是就把ADODB.STREAM给卸载了。

２．查查ADODB.STREAM 用来干什么的~~~呵呵

, m& W6 E% ~: y6 D

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

４．

& \' X7 c. X9 v

引用:

0 c6 y6 |6 x7 V9 S0 {

) y( i& [& V1 \ m) ?最初由 zzzevazzz 发布 根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 ! ]2 @6 N3 o }+ w8 j9 r 再根据HKEY_CLASSES_ROOT\C.. % F9 u2 W* d, ~+ a: W. x4 {3 k0 P以下省略......

! y) R# G/ d1 j( P! K3 [ 你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). % M9 Y% Q' z" n" b6 ~如果本机还有一些ado的应用,那么可能会出问题啊 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? 那个dll还是保留好一点

3 F8 \- z4 j! |

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

: H. a1 v5 }' u" n( q4 X: n

６．

卸载了ADO 或者把adodb.stream改名 & Q$ s7 X1 K, | ' i# n% w) g) m! `) S都不是好办法 因噎废食的作法 9 D4 N: q7 A' x+ e) A" v ; j* ]; O, V# O: u# H2 H没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? # o- z- _! P. n/ N6 @& o2 N; fASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

: d6 N/ Y/ m6 _7 }1 R0 o" A

１０．禁用了？？ 我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 可能只是不让IE调用吧，即使安全级别降低。

3 K5 }9 E, M' s" O/ U. E+ S' l6 H2 D