大部分ASP木马都是基于FileSystemObject和shell.application两个组件来完成所有控制操作的,它们均具有远程删除、新建、修改文件或文件夹的功能,具有比较大的破坏力。作为网络管理员来说一定要将网页木马的遗留场所进行封存,本文将逐步说明如何禁掉上面提到的两个组件,并将这些组件设置为只容许管理者一人使用。 当某些程序需要使用这两个组件时该怎么办呢?其实我们可以通过注册表修改组件的Progid值来实现。 第一步:执行开始->运行 输入regedit 后回车进入注册表编辑器 第二步:在打开的注册表编辑器中找到“HKEY_CLASSES_ROOT/Scrigting. FileSystemObject” 项。 第三步:将其中的“Scripting.FileSystemObject”改为 “Scripting.FileSystemObjectkillfso”即可。 小提示:其实细心的读者就会发现修改前后的差别了,只是后面多出了 “killfso” 几个字母,当然这几个字母管理员可以随便改,但需要记住这个名字。 第四步:这样我们在调用该组件的时候就需要写成:Set对象名 =Server.CreateObject(“Progid”) 。其中的 Progid=Scripting.FileSystemObjectkillfso, 也就是写成我们改过后的字符串。 第五步:我们再按照上面的方法找到“HKEY_CLASSES_ROOT/Shell.Application”, 将 “Shell.Application” 改为您自己想要的字符串即可。调用时同样按照第四步的命令[ming ling]调用。 方法[fang fa]三:修改CLSID值 这个道理同上面讲的一样,就是通过注册表来修改CLSID值实现。我们只要找到“HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID” 和“HKEY_CLASSES_ROOT/Shell.Application/CLSID”这2个组件[zu jian]的CLSID 值 , 并将它们修改为您喜欢的 , 然后在调用时注明即可。 小提示:需要注意的是,调用CLSID值要写成:object runat=server id=fsl scope=page classid=“clsid:CLSID 值 其中默认情况下CLSID值为 “0D43FE01-F093-11CF-8940-00A0C9054228” 。 另外,我们还要注意 Adodb.stream 组件。这个组件主要是用来上传/ 下载文件的,虽然没有上面两个组件那么强大,但与其他组件一起使用时,还是有一定的危险的,ASP木马经常使用这些高权限的组件进行攻击,所以需要我们对这些组件有所防范。