无惧上传类的"反病毒"解决方案 -- 77家的会客厅 3rgb.com

Weather:雾 ,东南风３－４级 ,最高气温31 ℃

2005-07-22

　　引题：大约两个月前，突然发现网站后台的上文件上传功能不能用说了，说是找不到类文件。上FTP一看，果然，clsUP.asp文件不见了，很是奇怪，于是重新上传，但FTP软件确认已经上传，而无论怎么刷新都看不到内容。这是怎么了？郁闷了N天，后来在本地打开此文件时，RISING竟然报警说有病毒。我晕！于是上网去搜，果然，由于无惧上传类用的是ado.stream上传，现在大多杀毒软件把其列为病毒，因为其对WIN系统存在“潜在”危险。去无惧上传类的官方网站，也有人问此问题，只是梁无惧似乎没予以理采。

　　之后，只好不用此类，而直接用FCKeditor里面的上传功能，好用是好用，但是无法批量上传文件，并且在向日志内容里面插入的时候不方便，因为用无惧的类，可以很自由的定义一些功能，以符合自己的网站。但是在后来的一个机会里发现，不只是无惧上传类用的是ado.stream来上传，很多上传类都用此，而非FSO。那为什么就单单把无惧上传类列为病毒呢？

　　从ASP木马说起，ASP木马最基本的一个功能就是文件上传，那么就去看看他里面是怎么用的，不看不知道，一看吓一跳，原来里面用的正是无惧上传类，只是经过“改装”过，但里面的一些关键代码还是没变的，最搞笑的是，变量声明没变，于是俺回来试着改一点点东西看看。

在无惧上传类的上传文件分析函数中，有这么一段变量声明Dim RequestBinDate,sSpace,bCrLf,sInfo,iInfoStart,iInfoEnd,tStream,iStart,oFileInfo，把其中几个变量的位置变一下，改变一下各个变量的顺序看一下，再上传，OMG，竟然传上服务器了，也就是说NORTON终于把clsUP.asp放过了。天理何在啊？一种技术被恶意应用了，那么这种技术就是恶意的吗？这些所谓的杀毒软件们啊~~那么同理，如果ASP木马中也用此方法改了，那杀毒软件的“病毒识别码”不是又失效了？

Dim RequestBinDate,iInfoEnd,bCrLf,sInfo,sSpace,iInfoStart,oFileInfo,tStream,iStart，就是这么简单，改下顺序，这个世界就清静了~~