<![CDATA[静怡家园]]>

<![CDATA[静怡家园]]> http://www.zhanghaijun.com/index.php zh-cn http://www.zhanghaijun.com/post// <![CDATA[禁用VBScript.Encode组件使加密网马失效]]> 碟舞飞扬 <webmaster@zhanghaijun.com> Fri, 13 Feb 2009 12:38:22 +0000 http://www.zhanghaijun.com/post// 这样的代码，其原由就是asp木马用了VBScript.Encode这个组件加密
其实VBScript.Encode这个组件经常被用来加密一些ASP的木马后门以达到免杀效果，还有一些程序的作者也会在ASP中使用加密以达到保护版权的目的，但是其实VBScript.Encode的加密功能非常弱，很容易被人还原出源代码，而在asp后门免杀领域，它又被用的最多，那么我们自然很容易想到可以通过禁用VBScript.Encode这个组件来实现是加密脚本失效的目的，从而可以使很多免杀的asp木马毫无用武之地。

下面介绍禁用VBScript.Encode的方法（使用IIS做为WEB服务器和虚拟主机的用户）：
运行regedit打开注册表编辑器，展开至:
HKEY_CLASSES_ROOT\VBScript.Encode
按右键-权限-去除users组读取权限或者是加入虚拟主机用户组的拒绝权限均可
或者是直接删除VBScript.Encode这个注册表项也可，当然这样做我觉得野蛮了点^_^

修改好注册表后，重启IIS，然后我们找个加密后的asp木马来试试，运行后即提示：

引用

Active Server Pages 错误 'ASP 0129'

未知的脚本语言

/ggd.asp，行 1

在服务器上找不到脚本语言 'vBScRipt.EncOdE'。

嘿嘿，这下可好，任你ASP木马怎么做免杀和加密，传到我的服务器上就毫无用处啦。
经过这样设置后，一般对正常的ASP文件运行均无影响，需要用到加密的，经常是asp后门还有就是一些见不得阳光的东西，所以说负面影响很小。

嘿嘿，服务器安全方面小小的技巧，刚刚想到的，特意写出来与大家分享下 ]]> http://www.zhanghaijun.com/post//#blogcomment <![CDATA[[评论] 禁用VBScript.Encode组件使加密网马失效]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.zhanghaijun.com/post//#blogcomment