منع ASP أحصنة طروادة

ASP Trojan هو برنامج موقع ويب مكتوب في ASP. يمكن أن يعمل طالما أن المساحة يمكن أن تعمل ASP ، مما يجعل من الصعب اكتشاف ASP Trojans. فكيف نمنع ASP أحصنة طروادة؟ لنلقي نظرة على المحتوى المحدد الآن.

قم بتعديل ثلاثة مكونات لمنع ASP Trojan Attacks.FilesystemObject Component-عمليات التشغيل العادية على الملفات. wscript.shell-can cann kernel system لتشغيل أوامر dos.shell.Application component-can call kernel النظام لتشغيل أوامر DOS.

1. استخدم مكون FileSystemObject

1. يمكنك منع ضرر أحصنة طروادة عن طريق تعديل السجل وإعادة تسمية هذا المكون.

HKEY_CLASSES_ROOT/ SCRIPTING.FILESYSTEMOBJECT/ تتم إعادة تسميتها إلى أسماء أخرى ، مثل: تغيير إلى ملفات fileystemobject_good واستخدم هذا المكون للاتصال به بشكل طبيعي.

2. أيضا تغيير قيمة CLSID. HKEY_CLASSES_ROOT/SCRIPTING.FILESYSTEMOBJECT/CLSID/عنصر يمكن حذفها لمنع ضرر مثل هذه أحصنة طروادة.

3. تسجيل الخروج من الأمر المكون: regsrv32/u c: /winnt/system/scrrun.dll إذا كنت ترغب في التعافي ، فأنت بحاجة فقط إلى إزالة/u لإعادة تسجيل مكونات ASP ذات الصلة أعلاه.

4. منع المستخدمين الضيوف من استخدام scrrun.dll لمنع استدعاء أمر المكون هذا:

cacls c: /winnt/system32/scrrun.dll/e/d الضيوف

2. استخدم مكون wscript.shell

1. يمكنك منع ضرر أحصنة طروادة عن طريق تعديل السجل وإعادة تسمية هذا المكون.

hkey_classes_root/ wscript.shell/ و hkey_classes_root/ wscript.shell.1/ تتم إعادة تسمية إلى أسماء أخرى ، مثل: تغيير إلى wscript.shell_changename أو wscript.shell.1_changename

يمكنك استدعاء هذا المكون بشكل طبيعي عند الاتصال به في المستقبل

2. قم أيضًا بتغيير قيمة CLSID HKEY_CLASSES_ROOT/WSCRIPT.SHELL/CLSID/ITEM VALUE HKEY_CLASSES_ROOT/WSCRIPT.SHELL.1/CLSID/ITEM

يمكن أيضًا حذفها لمنع ضرر مثل هذه أحصنة طروادة.

3. استخدم مكون shell.application

1. يمكنك تعديل السجل وإعادة تسمية هذا المكون لمنع ضرر أحصنة طروادة.

hkey_classes_root/ shell.application/ و hkey_classes_root/ shell.application.1/ تتم إعادة تسمية إلى أسماء أخرى ، مثل: تغيير إلى shell.application_changename أو

shell.application.1_changename

يمكنك استدعاء هذا المكون بشكل طبيعي عند الاتصال به في المستقبل

2. قم أيضًا بتغيير قيمة CLSID HKEY_CLASSES_ROOT/shell.Application/CLSID/ITEM VALUE HKEY_CLASSES_ROOT/shell.application

يمكن أيضًا حذفها لمنع ضرر مثل هذه أحصنة طروادة.

3. منع المستخدمين الضيوف من استخدام shell32.dll لمنع استدعاء الأمر المكون:

cacls c: /winnt/system32/shell32.dll/e/d الضيوف

4. استدعاء cmd.exe

قم بتعطيل مستخدم مجموعة الضيوف للاتصال بأمر cmd.exe:

cacls c: /winnt/system32/cmd.exe/e/d الضيوف

خامسا. علاج المكونات الخطرة الأخرى:

Adodb.Stream (classid: {00000566-0000-0010-8000-00aa006d2ea4})

wscript.network (Classid: 093ff999-1e0-4079-9525-9614C3504B74)

wscript.network.1 (Classid: 093ff999-1e0-4079-9525-9614c3504b74)

بشكل عام ، لن يتم تحقيق المكونات أعلاه. احذفه مباشرة. إذا استخدمت بعض برامج ASP صفحات الويب ما سبق

بالنسبة لمكونات ، ما عليك سوى استخدام اسم المكون الذي قمنا بتغييره عند كتابة رمز ASP لاستخدامه بشكل طبيعي. بالطبع إذا

إذا كنت متأكدًا من عدم استخدام المكونات أعلاه في برنامج ASP الخاص بك ، فيجب عليك فقط حذفها والشعور بالراحة.

طريقة حذف سريعة:

start-regedit ، افتح محرر التسجيل ، اضغط على Ctrl+F للعثور عليه ، أدخل ما أعلاه بدوره بدوره

اسم المكون مثل wscript.shell و classid المقابل ، ثم حذف الاسم أو تغييره.

ما سبق هو المحرر الجديد لتقديم طرق منع طروادة ASP. يمكنك ممارسة ذلك بنفسك لمعرفة ما إذا كان سيحقق النتائج المتوقعة.