ARP病毒清除方法
2007-10-08 22:53
183 查看
原贴:http://www.szmoka.cn/bbs/redirect.php?fid=24&tid=1597&goto=nextnewset
ARP病毒清除方法
ARP病毒病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%/SYSTEM32/LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%/System32/drivers/npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f. 删除%windows%/System32/drivers/npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%/System32/msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf
三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
[ 本帖最后由 蓝天 于 2007-6-26 11:27 编辑 ]
附件: 您所在的用户组无法下载或查看附件
ARP病毒清除方法
ARP病毒病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%/SYSTEM32/LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%/System32/drivers/npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f. 删除%windows%/System32/drivers/npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%/System32/msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf
三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
[ 本帖最后由 蓝天 于 2007-6-26 11:27 编辑 ]
附件: 您所在的用户组无法下载或查看附件
相关文章推荐
- arp病毒清除方法
- 最近流行的ARP病毒彻底清除方法
- ARP病毒清除方法
- Ubuntu13.04 resolv.conf 总是被清除-网上很多转摘的方法没法用
- js清除缓存的几种方法
- js清除缓存的几种方法
- js清除缓存的几种方法
- varnish清除缓存的方法
- 清除浮动的原理和方法
- Magento清除缓存(clear cache)和创建缓存(create cache)的方法
- cmd.exe病毒清除方法
- 浅析清除session的几种方法
- Oracle session连接数和inactive的问题记录(清除方法)
- 清除浮动的原理和方法
- 关于Adobe捆绑Bonjour的清除方法
- 阻止元素被选中及清除选中的方法
- CSS中float引起层飘出上级层的解决方案,清除浮动的好方法
- Linux系统清除Grub的几种方法
- CSS常见问题及解决(四)清除浮动的原理和方法
- 如何清除eclipse的workspace目录呢?(myeclipse的清除方法一样!)