扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

) j, j, P0 a( s8 G: R) B

问：

* y" }' D# ?; i+ _6 q

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, 懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.

答：

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 : j2 C& K9 e$ f. E5 N; X+ J再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 0 ?+ C: Y: m1 `我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll $ F. D4 C) D( X ~2 t* R 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 8 N, A) x; {* d3 J 于是就把ADODB.STREAM给卸载了。

' r: \7 J) k" V1 F9 q$ V% G4 `

２．查查ADODB.STREAM 用来干什么的~~~呵呵

- z0 l9 s0 x! A, C

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

' j2 z& F. r" |4 \/ c

４．

+ M7 |: a' b9 L" ?/ K6 f

引用:

+ Q9 ?2 a. t2 [

最初由 zzzevazzz 发布 + o6 A1 J9 d3 c, A" w: K6 Q+ E根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 0 R( o, z4 F0 w- _ $ s6 b* ^ n8 q. u% u再根据HKEY_CLASSES_ROOT\C.. - k+ N; H5 L1 d0 [7 }, m 以下省略......

& A9 R7 N6 z4 k( {

你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). , n' f/ b8 a# `* `0 u如果本机还有一些ado的应用,那么可能会出问题啊 # l3 z) }+ l0 J: w- x直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? 那个dll还是保留好一点

g4 g# U! m4 U

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

: U7 w1 G2 T R3 {9 M4 A: B

６．

7 z3 V. W- e/ @' [2 f* s. G: r

卸载了ADO 或者把adodb.stream改名 * Q8 H( { o. `4 G + a, e. Z$ B! V6 p9 d都不是好办法 因噎废食的作法 ) A2 t* f- M5 Q6 z! H6 M* }) y ; w( H9 }* k/ H% R4 h7 ?没有了ADO ASP还剩下什么呢，还能作什么应用呢？

) a* r. w1 H' G, r) ?

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? 9 Z' L/ s& Z3 B1 V3 I0 w' AASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

. V3 O/ {* t) E4 h2 _4 \

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

& ?7 v0 u) B( G9 g a7 Q# w# H! W

１０．禁用了？？ 7 J* ^: t2 [. ^$ s+ ~9 g我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 9 Z; m: s3 Q9 T; Q# j1 t5 l可能只是不让IE调用吧，即使安全级别降低。

J; o( @0 f O) D# u