ASP木馬是用ASP編寫的網站程序���,只要能運行ASP的空間就能運行,因此使得ASP木馬很難被發現�,那么我們要如何防范ASP木馬呢?現在我們就去看看具體內容吧��。
修改三個組件來達到防asp木馬攻擊.FileSystemObject組件---對文件進行常規操作.WScript.Shell組件---可以調用系統內核運行DOS命令.Shell.Application組件--可以調用系統內核運行DOS命令.
一.使用FileSystemObject組件
1.可以通過修改注冊表�����,將此組件改名�,來防止此類木馬的危害.
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/改名為其它的名字���,如:改為FileSystemObject_good自己以后調用的時候使用這個就可以正常調用此組件了.
2.也要將clsid值也改一下HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/項目的值可以將其刪除��,來防止此類木馬的危害.
3.注銷此組件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll如果想恢復的話只需要去掉 /U 即可重新再注冊以上相關ASP組件
4.禁止Guest用戶使用scrrun.dll來防止調用此組件命令:
cacls C:/WINNT/system32/scrrun.dll /e /d guests
二.使用WScript.Shell組件
1.可以通過修改注冊表�����,將此組件改名,來防止此類木馬的危害.
HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/改名為其它的名字,如:改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后調用的時候使用這個就可以正常調用此組件了
2.也要將clsid值也改一下HKEY_CLASSES_ROOT/WScript.Shell/CLSID/項目的值HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/項目的值
也可以將其刪除,來防止此類木馬的危害�。
三.使用Shell.Application組件
1.可以通過修改注冊表����,將此組件改名��,來防止此類木馬的危害���。
HKEY_CLASSES_ROOT/Shell.Application/及HKEY_CLASSES_ROOT/Shell.Application.1/改名為其它的名字�����,如:改為Shell.Application_ChangeName或
Shell.Application.1_ChangeName
自己以后調用的時候使用這個就可以正常調用此組件了
2.也要將clsid值也改一下HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值
也可以將其刪除,來防止此類木馬的危害。
3.禁止Guest用戶使用shell32.dll來防止調用此組件命令:
cacls C:/WINNT/system32/shell32.dll /e /d guests
四.調用cmd.exe
禁用Guests組用戶調用cmd.exe命令:
cacls C:/WINNT/system32/Cmd.exe /e /d guests
五.其它危險組件處理:
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
按常規一般來說是不會做到以上這些組件的��。直接刪除掉.如果有部分網頁ASP程序利用了上面
的組件的話呢��,只需在將寫ASP代碼的時候用我們更改后的組件名稱即可正常使用。當然如果
你確信你的ASP程序中沒有用到以上組件�����,還是直接刪除心中踏實一些.
快速刪除方法:
開始--運行--Regedit����,打開注冊表編輯器,按Ctrl+F查找�,依次輸入以上
Wscript.Shell等組件名稱以及相應的ClassID����,然后進行刪除或者更改名稱.
以上就是錯新小編為大家介紹防范ASP木馬的辦法�����,大家可以親自動手實踐一下��,是不是會達到預想的效果。
