扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

问：

6 s, k1 q5 [2 z* [

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, - _0 [1 f* G; J8 {4 q3 F懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.

9 c* d- o0 O& A

答：

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 . _" J/ _" @& T! t, k' \7 i1 Y再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 3 t( k# }( ?2 r+ a0 X* A7 H1 B我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" : f: o* D- x) `& R5 _ $ S# N& ^% L/ p6 j; s7 ^' `/ ~于是就把ADODB.STREAM给卸载了。

２．查查ADODB.STREAM 用来干什么的~~~呵呵

/ P7 C' V, }4 D8 U' U0 t* T# \

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

４．

引用:

最初由 zzzevazzz 发布 9 }" P8 p E- F: }根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 再根据HKEY_CLASSES_ROOT\C.. # c& u7 ?( `2 `! ` ( G V$ v" B3 q, O7 F以下省略......

你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? 那个dll还是保留好一点

, k$ v) @2 g, p0 s- P

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

) t2 d7 e2 B; }

６．

+ }, T* k+ D. }, c

卸载了ADO 或者把adodb.stream改名 9 J {7 K i2 S/ j, P! t 8 p9 x, A9 _2 Q5 u都不是好办法 因噎废食的作法 7 Y: E7 R& T% v; B( j : u% G3 W6 H8 J. G没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

1 g0 T+ p' ]1 J0 ~6 P

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? 0 `3 n: e9 ]$ u9 d) bASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

１０．禁用了？？ ( @7 C! G8 P% _/ r" q% w我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 % p. {# q0 e6 j. E2 T, |# [可能只是不让IE调用吧，即使安全级别降低。