扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

问：

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, - j5 z/ J$ d1 R5 N* h: j, h懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 3 S% e7 ]* v6 w像SHELL执行已经禁掉了.

答：

* G3 T! _: K$ V3 y# E0 m0 [* {% T

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， * ~* o! t6 | | D我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 8 ?7 ^. c! C* f& }! M6 i 4 O8 W( {3 A) i再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 5 m, V! g8 w( n/ } , u1 _7 m( Y+ \于是就把ADODB.STREAM给卸载了。

, o) F+ s3 U9 W

２．查查ADODB.STREAM 用来干什么的~~~呵呵

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

" ~5 s1 m: c/ o. O5 [/ b

４．

引用:

* |" W! v- w% p. o5 P! _8 K

最初由 zzzevazzz 发布 % b6 d" V3 U1 j# m9 [9 L根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 ; q+ X% _1 v5 ^9 f4 N4 x* t再根据HKEY_CLASSES_ROOT\C.. + _/ u8 ~# b/ x. R. I) a 以下省略......

. W) v5 ]" U4 b# N [- x4 j你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊 - w$ H* e/ C) @3 ^* O% N8 A直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? 那个dll还是保留好一点

; B6 y% V$ `4 V# M$ d. F

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

６．

卸载了ADO 或者把adodb.stream改名 3 v/ c7 l @6 ]都不是好办法 因噎废食的作法 0 D* ]: Y5 _4 |: m. E 7 [6 j+ t+ s( @& e没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? , @3 f, B: Y- v5 W( Z- D e) QASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

% B7 ^- X" x% ~$ d

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

% U" M" ~7 G8 S4 U

１０．禁用了？？ 4 L1 m0 T9 ~; h9 x. L我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 可能只是不让IE调用吧，即使安全级别降低。