扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

问：

( r8 a- {" g8 _7 c' B, O

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, " V) A. A9 ~; {$ R懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, % J/ t: }6 J& e* n像SHELL执行已经禁掉了.

答：

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 8 ^6 X# Q9 w; w* {% B$ l我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 1 M: X% q a% t# @" m1 U; O- H , i, t- u. L) j/ i' `再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 5 e2 q+ p, u% ~/ n9 m我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll 然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 于是就把ADODB.STREAM给卸载了。

) t, u5 v" `5 A' q: b x' s2 r

２．查查ADODB.STREAM 用来干什么的~~~呵呵

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

# p+ G( o+ A6 Z% S1 J

４．

" n! q, S- L, V2 I

引用:

2 g8 Z0 N$ ~+ [( O8 I

/ a( ]; D0 T0 x最初由 zzzevazzz 发布 % G {6 z( w7 f6 x根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 1 ?2 |" s- i$ a6 N, @' p我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 再根据HKEY_CLASSES_ROOT\C.. , V# V( z7 p# \ 4 [, k& q: v. Q/ f* k* l* B+ T以下省略......

, J$ n. Q$ ^! j9 R! N- q

0 h5 t. E- f+ W$ |你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). 如果本机还有一些ado的应用,那么可能会出问题啊 直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? " }/ h4 C6 F. } i& N那个dll还是保留好一点

+ q @3 P- k3 x s

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

６．

- ]+ u* L3 N% G ?* m) F b

卸载了ADO 或者把adodb.stream改名 & |4 z3 Z. L _& T都不是好办法 因噎废食的作法 # f m p$ E _( {: G: e 没有了ADO ASP还剩下什么呢，还能作什么应用呢？

７．打IE的补丁

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? ; y" j1 p2 m/ T0 ZASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

１０．禁用了？？ ) B0 M) r4 y' v. d' o我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 可能只是不让IE调用吧，即使安全级别降低。

) _( V. X0 W5 w( t* c s