扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

问：

) H' ]1 |4 A4 h1 m

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, 懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.

答：

1 a! x* C3 N$ M

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 0 Z0 r! ^; s2 \4 K& c9 E 8 V) b; r/ T4 i8 b9 Z: E再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 4 O6 O" |* x6 R3 L5 }; ?于是就把ADODB.STREAM给卸载了。

２．查查ADODB.STREAM 用来干什么的~~~呵呵

4 S- ?( M% ~8 ]3 S+ w+ S# [

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

b3 ~8 N1 T5 \! R+ c8 Y' _5 u! B2 S

４．

引用:

9 r0 ?0 Z' w/ G# `2 O m4 v最初由 zzzevazzz 发布 根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 再根据HKEY_CLASSES_ROOT\C.. $ a. ?! A0 P. i2 X" a 以下省略......

) v' l& x) \6 o

7 y' g9 x1 j! h! o* ` Q. D; q" E8 O( T你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊 $ A7 ` q Q$ H直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? . N+ h- Z* [" m6 v7 f8 |) a) o4 k那个dll还是保留好一点

6 Y) b/ b. f' Z/ u

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

: p9 U: D1 x' Z; z0 z6 z( H

６．

卸载了ADO 或者把adodb.stream改名 0 B: \7 w' M, c( j" U" t2 N " u: z! k" n: W& E都不是好办法 因噎废食的作法 , R0 h0 B5 A' a) `: k4 | 没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? 1 ` `/ k7 N) }- O7 _7 WASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

/ C7 C7 `1 g) g5 z

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

& M" d: B) Q7 m) S

１０．禁用了？？ T* `* h# j! E3 h3 y7 Y我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 0 I0 `- @- o+ }- Q; D4 s可能只是不让IE调用吧，即使安全级别降低。