|
时间:2009-10-30 10:17:46 |
|
|
无惧上传类的"反病毒"解决方案
引题:大约两个月前,突然发现网站后台的上文件上传功能不能用说了,说是找不到类文件。上FTP一看,果然,clsUP.asp文件不见了,很是奇怪,于是重新上传,但FTP软件确认已经上传,而无论怎么刷新都看不到内容。这是怎么了?郁闷了N天,后来在本地打开此文件时,RISING竟然报警说有病毒。我晕!于是上网去搜,果然,由于无惧上传类用的是ado.stream上传,现在大多杀毒软件把其列为病毒,因为其对WIN系统存在“潜在”危险。去无惧上传类的官方网站,也有人问此问题,只是梁无惧似乎没予以理采。
之后,只好不用此类,而直接用FCKeditor里面的上传功能,好用是好用,但是无法批量上传文件,并且在向日志内容里面插入的时候不方便,因为用无惧的类,可以很自由的定义一些功能,以符合自己的网站。但是在后来的一个机会里发现,不只是无惧上传类用的是ado.stream来上传,很多上传类都用此,而非FSO。那为什么就单单把无惧上传类列为病毒呢?
从ASP木马说起,ASP木马最基本的一个功能就是文件上传,那么就去看看他里面是怎么用的,不看不知道,一看吓一跳,原来里面用的正是无惧上传类,只是经过“改装”过,但里面的一些关键代码还是没变的,最搞笑的是,变量声明没变,于是俺回来试着改一点点东西看看。
在无惧上传类的上传文件分析函数中,有这么一段变量声明Dim RequestBinDate,sSpace,bCrLf,sInfo,iInfoStart,iInfoEnd,tStream,iStart,oFileInfo,把其中几个变量的位置变一下,改变一下各个变量的顺序看一下,再上传,OMG,竟然传上服务器了,也就是说NORTON终于把clsUP.asp放过了。天理何在啊?一种技术被恶意应用了,那么这种技术就是恶意的吗?这些所谓的杀毒软件们啊~~那么同理 ,如果ASP木马中也用此方法改了,那杀毒软件的“病毒识别码”不是又失效了?
|
|
|
|
|
|
|
|
|