ASP Trojan은 ASP에서 작성된 웹 사이트 프로그램입니다. 공간이 ASP를 실행할 수있는 한 실행될 수 있으므로 ASP 트로이 목마를 발견하기가 어렵습니다. 그렇다면 ASP 트로이 목마를 어떻게 막아야합니까? 지금 특정 콘텐츠를 살펴 보겠습니다.
ASP Trojan 공격을 방지하기 위해 세 가지 구성 요소를 수정하십시오 .FilesyStemObject 구성 요소-files.wscript.shell 구성 요소에서 정기적 인 작업을 수행합니다. CAN 시스템을 호출하여 DOS 명령을 실행하려면 Kernel을 호출하십시오.
1. FileSystemObject 구성 요소를 사용하십시오
1. 레지스트리를 수정하여 해당 트로이 목마의 피해를 방지 하고이 구성 요소의 이름을 바꿀 수 있습니다.
HKEY_CLASSES_ROOT/ SCRIPTING.FILESYSTEMOBJECT/와 같은 다른 이름으로 이름이 바뀌면 FileSystemObject_good로 변경 하고이 구성 요소를 사용하여 정상적으로 호출하십시오.
2. 또한 CLSID 값을 변경하십시오. HKEY_CLASSES_ROOT/SCRIPTING.FILESYSTEMOBJECT/CLSID/항목 값을 삭제하여 그러한 트로이 목마의 피해를 방지 할 수 있습니다.
3.이 구성 요소 명령에서 로그 아웃하십시오. regsrv32/u c : /winnt/system/scrrun.dll 복구하려면 위의 관련 ASP 구성 요소를 다시 등록하려면/u 만 제거하면됩니다.
4.이 구성 요소 명령 호출을 방지하기 위해 손님 사용자가 scrun.dll을 사용하지 않도록 금지합니다.
CACLS C : /WINNT/SYSTEM32/SCRRUN.DLL/E/D 게스트
2. wscript.shell 구성 요소를 사용하십시오
1. 레지스트리를 수정하여 해당 트로이 목마의 피해를 방지 하고이 구성 요소의 이름을 바꿀 수 있습니다.
hkey_classes_root/ wscript.shell/ 및 hkey_classes_root/ wscript.shell.1/와 같은 다른 이름으로 이름이 바뀌 었습니다. wscript.shell_changename 또는 wscript.1_changename
미래에 호출 할 때이 구성 요소를 정상적으로 호출 할 수 있습니다.
2. 또한 clsid hkey_classes_root/wscript.shell/clsid/항목 값 hkey_classes_root/wscript.shell.1/clsid/항목 값의 값을 변경합니다.
또한 그러한 트로이 목마의 피해를 방지하기 위해 삭제 될 수 있습니다.
3. Shell.application 구성 요소를 사용하십시오
1. 레지스트리를 수정 하고이 구성 요소의 이름을 바꾸어 그러한 트로이 목마의 피해를 방지 할 수 있습니다.
hkey_classes_root/ shell.application/ 및 hkey_classes_root/ shell.application.1/와 같은 다른 이름으로 이름이 바뀌 었습니다.
shell.application.1_changename
미래에 호출 할 때이 구성 요소를 정상적으로 호출 할 수 있습니다.
2. 또한 clsid hkey_classes_root/shell.application/clsid/항목 값 hkey_classes_root/shell.application/clsid/항목 값의 값을 변경합니다.
또한 그러한 트로이 목마의 피해를 방지하기 위해 삭제 될 수 있습니다.
3.이 구성 요소 명령 호출을 방지하기 위해 손님 사용자가 Shell32.dll을 사용하지 않도록 금지합니다.
CACLS C : /WINNT/SYSTEM32/SHELL32.DLL/E/D 게스트
4. cmd.exe에 전화하십시오
Guests Group 사용자가 CMD.exe 명령을 호출하도록 비활성화하십시오.
CACLS C : /WINNT/SYSTEM32/CMD.EXE/E/D 게스트
V. 다른 위험 구성 요소의 처리 :
adodb.stream (classID : {00000566-0000-0010-8000-00AA006D2EA4})
wscript.network (classID : 093ff999-1EA0-4079-9525-9614C3504B74)
wscript.network.1 (classID : 093FF999-1EA0-4079-9525-9614C3504B74)
일반적으로 위의 구성 요소는 달성되지 않습니다. 직접 삭제하십시오. 일부 웹 페이지 ASP 프로그램이 위의 것을 사용하는 경우
구성 요소의 경우 ASP 코드를 작성하여 정상적으로 사용할 때 변경 한 구성 요소 이름을 사용하십시오. 물론
위의 구성 요소가 ASP 프로그램에서 사용되지 않는다고 확신하는 경우 삭제하고 더 편안하게 느끼면됩니다.
빠른 삭제 방법 :
START-Run-Regedit, Registry 편집기를 열고 Ctrl+F를 눌러 위의 하나를 입력하십시오.
wscript.shell 및 해당 ClassID와 같은 구성 요소의 이름을 삭제하거나 변경하십시오.
위의 것은 ASP 트로이 목마를 방지하는 방법을 소개하는 새로운 편집자입니다. 예상 결과를 얻을 수 있는지 확인하기 위해 직접 연습 할 수 있습니다.