扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

: S* J0 S, a8 v" j; S/ {) O/ M/ X \

问：

1 ~( t2 d; M0 | K" z/ d- J$ }) X

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, v8 w; z! s2 C, r) k# K4 P: L懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.

3 W. W. Q, w! E# H

答：

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 8 a" t. O* t/ V' g) j 6 F a' r+ T; {, U! O& ^/ `再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 + D* X1 V* a, m! k3 [0 x3 M8 Y我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll * {) |. U; a* c0 B. `+ p 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" * p4 U, Y: [; X: H' G. @ d7 |# \9 \" D 于是就把ADODB.STREAM给卸载了。

4 i7 d# e% p* ]4 Y; J

２．查查ADODB.STREAM 用来干什么的~~~呵呵

8 J0 [. ~) H J, C! T# \

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

４．

S: p X6 n- m" z' T

引用:

- O! k5 Y$ k& E# v( J$ K最初由 zzzevazzz 发布 根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， " h8 l( d( I+ _我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 ' F7 n' \5 D0 G% l5 l # u0 q; s# Q1 V( w1 v9 S8 W$ R再根据HKEY_CLASSES_ROOT\C.. 以下省略......

: n* p4 k# a5 u' U* E

3 u/ t* d) i$ f/ ]8 Y4 t: R你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). . E& ~7 l/ T( _4 |5 d$ R如果本机还有一些ado的应用,那么可能会出问题啊 ) z! X% o3 C! s J4 m$ a5 b * u+ L( w, z+ X直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? 那个dll还是保留好一点

' s" N( H, K: K* \4 {. M3 F

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

６．

" G9 {* k+ ^, k0 X' K( J4 P

卸载了ADO 或者把adodb.stream改名 # ]" e- `; R5 F! z! N6 }( K& [都不是好办法 因噎废食的作法 ) J0 C. I! |7 I/ S$ [) j& r没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? ASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

１０．禁用了？？ ' {* E" C. y6 }6 u/ G# w, _我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 % u' {9 C$ M7 J, E% J6 {; ^' Y可能只是不让IE调用吧，即使安全级别降低。

, E8 H" S- R6 t% z! G0 Z& {