현재 인기 있는 ASP 트로이 목마는 주로 세 가지 기술을 사용하여 서버에서 관련 작업을 수행합니다.
1. FileSystemObject 구성 요소 사용
FileSystemObject는 파일에 대해 일반 작업을 수행할 수 있습니다.
레지스트리를 수정하고 이 구성 요소의 이름을 바꾸면 이러한 트로이 목마의 피해를 방지할 수 있습니다.
HKEY_CLASSES_ROOTScripting.FileSystemObject
이름을 FileSystemObject_ChangeName과 같은 다른 이름으로 변경합니다.
나중에 이 구성요소를 호출할 때 이를 사용하여 이 구성요소를 정상적으로 호출할 수 있습니다.
또한 clsid 값을 변경하십시오.
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDProject 값
이러한 트로이 목마의 피해를 방지하기 위해 삭제할 수도 있습니다.
이 구성 요소 등록 취소 명령: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
이 구성 요소가 호출되지 않도록 하려면 게스트 사용자가 scrrun.dll을 사용하지 못하도록 합니다.
다음 명령을 사용하십시오: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. WScript.Shell 구성 요소 사용
WScript.Shell은 시스템 커널을 호출하여 기본 DOS 명령을 실행할 수 있습니다.
레지스트리를 수정하고 이 구성 요소의 이름을 바꾸면 이러한 트로이 목마의 피해를 방지할 수 있습니다.
HKEY_CLASSES_ROOTWScript.Shell
그리고
HKEY_CLASSES_ROOTWScript.Shell.1
이름을 WScript.Shell_ChangeName 또는 WScript.Shell.1_ChangeName과 같은 다른 이름으로 변경합니다.
나중에 이 구성요소를 호출할 때 이를 사용하여 이 구성요소를 정상적으로 호출할 수 있습니다.
또한 clsid 값을 변경하십시오.
HKEY_CLASSES_ROOTWScript.ShellCLSID프로젝트 값
프로젝트의 HKEY_CLASSES_ROOTWScript.Shell.1CLSIDvalue
이러한 트로이 목마의 피해를 방지하기 위해 삭제할 수도 있습니다.
3. Shell.Application 구성 요소 사용
Shell.Application은 시스템 커널을 호출하여 기본 DOS 명령을 실행할 수 있습니다.
레지스트리를 수정하고 이 구성 요소의 이름을 바꾸면 이러한 트로이 목마의 피해를 방지할 수 있습니다.
HKEY_CLASSES_ROOTShell.Application
그리고
HKEY_CLASSES_ROOTShell.Application.1
이름을 Shell.Application_ChangeName 또는 Shell.Application.1_ChangeName과 같은 다른 이름으로 변경합니다.
나중에 이 구성요소를 호출할 때 이를 사용하여 이 구성요소를 정상적으로 호출할 수 있습니다.
또한 clsid 값을 변경하십시오.
HKEY_CLASSES_ROOTShell.ApplicationCLSID프로젝트 값
HKEY_CLASSES_ROOTShell.ApplicationCLSID프로젝트 값
이러한 트로이 목마의 피해를 방지하기 위해 삭제할 수도 있습니다.
이 구성 요소가 호출되지 않도록 하려면 게스트 사용자가 shell32.dll을 사용하지 못하도록 설정하세요.
다음 명령을 사용하십시오: cacls C:WINNTsystem32shell32.dll /e /d guest
참고: 모든 작업을 적용하려면 웹 서비스를 다시 시작해야 합니다.
4. Cmd.exe 호출
게스트 그룹 사용자가 cmd.exe를 호출하지 못하도록 설정
cacls C:WINNTsystem32Cmd.exe /e /d 손님
위의 4단계 설정은 기본적으로 현재 널리 사용되는 여러 트로이 목마를 방지할 수 있지만 가장 효과적인 방법은 포괄적인 보안 설정을 사용하여 서버 및 프로그램 보안을 특정 표준에 도달하도록 하는 것입니다. 그런 다음에만 보안 수준을 더 높게 설정하여 더 많은 침입을 방지할 수 있습니다. .