佛山E网工作室
www.gdasp.com
专业网站建设和推广 信心保证
热线电话:0757-6331 5297,158 1783 3537
      最新资讯
年中优惠,机不可失:标
手机网页设计指南
佛山永网(E网工作室)
百度收涨4.83% 股
Facebook陷入抄
京东商城陷入调整漩涡
唯品会周四跌5.32%
美国电商消费者满意度调
年底电商乱象:阿里20
传“开心农场”开发团队
杨元庆减持2900万联
张近东回应苏宁无电商基
新浪调整架构划分门户及
曹国伟邮件曝光新浪20
人大常委会今日表决加强
分析称新浪微博或将踏上
传阿里巴巴战略投资新浪
百度市值首次超越腾讯
CNNIC:中国网民规
谷歌地图升级新增250
         行业资讯 >> 永网教您挂马如何解决
永网教您挂马如何解决
发布人:管理员  发布时间:2011年7月12日  浏览 3233 次
分享 |

 

     用记事本打开一些加密后的asp木马,经常会在开头一段发现<%@ LAngUAgE = vBScRipt.EncOdE %>这样的代码,其原由就是asp木马用了VBScript.Encode这个组件加密
  其实VBScript.Encode这个组件经常被用来加密一些ASP的木马后门以达到免杀效果,还有一些程序的作者也会在ASP中使用加密以达到保护版权的目的,但是其实VBScript.Encode的加密功能非常弱,很容易被人还原出源代码,而在asp后门免杀领域,它又被用的最多,那么我们自然很容易想到可以通过禁用VBScript.Encode这个组件来实现是加密脚本失效的目的,从而可以使很多免杀的asp木马毫无用武之地。
  下面介绍禁用VBScript.Encode的方法(使用IIS做为WEB服务器和虚拟主机的用户):
  运行regedit打开注册表编辑器,展开至:
HKEY_CLASSES_ROOT\VBScript.Encode
  按右键-权限-去除users组读取权限或者是加入虚拟主机用户组的拒绝权限均可
  或者是直接删除VBScript.Encode这个注册表项也可,当然这样做我觉得野蛮了点^_^
  修改好注册表后,重启IIS,然后我们永网www.yongnet.com找个加密后的asp木马来试试,运行后即提示:

引用内容
Active Server Pages 错误 'ASP 0129'
未知的脚本语言
/ggd.asp,行 1

  在服务器上找不到脚本语言 'vBScRipt.EncOdE'。
  嘿嘿,这下可好,任你ASP木马怎么做免杀和加密,传到我的服务器上就毫无用处啦。
经过这样设置后,一般对正常的ASP文件运行均无影响,需要用到加密的,经常是asp后门还有就是一些见不得阳光的东西,所以说负面影响很小。
  嘿嘿,服务器安全方面小小的技巧,刚刚想到的,特意写出来与大家分享下

 




    (本站大部分文章来自网络收集和整理,如有侵权请联系我们,24小时内处理.)



佛山市红盾信息网
网络110报警