扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

& ~6 x: H( M# I T* |

问：

) a7 |5 i1 _+ c

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, ' L) B* `* `5 Y& \, T+ r) n8 ~* H懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, $ Y [7 T- ?2 G% C ?* W像SHELL执行已经禁掉了.

答：

/ b4 }8 P1 [+ u

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 $ C* v$ X8 L! j' C1 e5 k7 I4 u : S. f4 d4 u0 R, h6 h再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll / t n! m2 a2 x* z2 X然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" ! G, Y! J5 X) H/ P于是就把ADODB.STREAM给卸载了。

% I1 @6 V5 w4 O/ G" E

２．查查ADODB.STREAM 用来干什么的~~~呵呵

0 q8 ]9 L. C6 C) s! ^

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

４．

引用:

最初由 zzzevazzz 发布 根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 + @# Z* P! W" _: e1 _- H $ {$ j( [; B4 m8 C& U, A再根据HKEY_CLASSES_ROOT\C.. * v' R. ^% P) Z, @7 k 以下省略......

1 W4 U8 m1 ]8 J* ?# o5 a

0 j- U3 N" \+ F! P7 ~& ^% D6 b你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). , ?+ \4 j2 k* A6 y如果本机还有一些ado的应用,那么可能会出问题啊 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? 那个dll还是保留好一点

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

% |' h; {8 u* P& ^0 m7 }2 }

６．

' t0 x: j1 d$ J5 c1 C- Y/ J. a* V

卸载了ADO 或者把adodb.stream改名 ( y6 K0 V g; d( q 4 ^2 E! E3 N4 n! F q& l$ v) V都不是好办法 因噎废食的作法 ( E5 K6 `4 P. B 1 L. Q! E K1 W z2 ~: |没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

% V4 P8 `& P; F7 i

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? ' G' f- D, _9 Q6 X0 G- uASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

１０．禁用了？？ 3 p8 H9 h) R' L6 q& ]3 @0 \我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 : I2 H5 |' B- P0 ~* ]可能只是不让IE调用吧，即使安全级别降低。

' ^" {! u4 c* W4 A( X" K0 M