扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

问：

/ H5 V% m( J* f1 v; Y0 R

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, 懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 4 ^+ Y* ?" W/ n1 O3 D/ H& l, [/ L* S像SHELL执行已经禁掉了.

5 s0 J- f. _2 _9 x( x

答：

8 p9 i, u4 v+ R* Q

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， - l# A: F x: |; g9 G9 |我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 ; q0 c* @1 \! i# D再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 U: O+ t; I! x! V5 ?7 @" }, G& _6 S我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll . T" \, n& H% m! J5 G- ` - J, a$ I/ d4 d( W# C I# F, B然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" ) b# _8 W) j2 i于是就把ADODB.STREAM给卸载了。

# @, e* y- G% I7 {! w/ ]4 l S7 g8 H, S

２．查查ADODB.STREAM 用来干什么的~~~呵呵

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

# D2 m" w! R3 o6 l. R! Z% ?4 B+ c

４．

1 N% j! [' c& b7 n! Q& e

引用:

/ H4 Q' a: B& ~3 j7 I2 v

最初由 zzzevazzz 发布 根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 ! v' `8 \# _& n" ?& Z / | x% B$ d4 t; ?/ C4 V- n' ?再根据HKEY_CLASSES_ROOT\C.. 7 @( e0 }/ S6 L! g$ L, o' S以下省略......

. L7 _# {/ S* \/ ?8 O# B* E5 s , `6 T6 m' T% ?, K1 v你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊 9 J2 g2 @1 o2 a8 \& b8 q 9 w0 V7 c, k) ?直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? ) f# n' Q6 |, X# w! q! @( O那个dll还是保留好一点

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

６．

卸载了ADO 或者把adodb.stream改名 都不是好办法 因噎废食的作法 - O& l1 \7 h3 u- O9 U) H 没有了ADO ASP还剩下什么呢，还能作什么应用呢？

9 r' T$ a- N1 F2 s# o* N

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? $ S; F4 M4 R$ c& D; `$ U' zASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

7 `( V$ q: n$ I* c9 G

１０．禁用了？？ 我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 & W0 p/ _7 s1 w8 s' D7 d可能只是不让IE调用吧，即使安全级别降低。