LANARP欺骗病毒的检测与查杀方法
如何找到ARP中毒的计算机,接下来的操作是如何杀死病毒。要注意的一点是,当你发现中毒的计算机时,你应该立即拔掉中毒计算机的网络线路,这样它就不会继续干扰整个网络的运行。对于ARP病毒的计算机查杀方法,首先可以使用杀毒软件杀毒,但现在病毒极为广泛,很可能遇到杀毒软件检查的情况,这时候你需要使用手动杀毒解决方案,这里有一些经验。
根据一些经验,旧ARP病毒的运行特性是相对隐蔽的。电脑中毒无明显异常。这种病毒运行过程本身,并注入到explorer.exe进程来隐藏自己,注册表启动项也很特殊,运行关键负载是不经常,也没有服务的负载,而是通过注册表项appinit_dlls从开始加载启动,这一点更加微妙,因为系统appinit_dlls值是正常的空的。也正是因为这一特点,使用Autoruns软件可以快速扫描病毒文件,如图1:
U3000 U3000
图1 Autoruns工具检测到的病毒文件体
在以上部分的红色框中,ARP是主要的病毒文件,虽然文件扩展名日志看起来像系统日志文件,但实际上它是百分之一百病毒!除了日志文件的病毒文件外,还有一些作为扩展到bmp病毒文件,同样,这些病毒的文件不是图片文件,而是EXE格式的可执行文件,在同一目录中作为同名文件的DLL文件,这些都是病毒。
%windir% KB *。日志
或
%windir% *. BMP
%windir% 谐音。DLL
如何区分正常的日志文件、bmp图片文件和病毒文件实际上非常简单。使用记事本程序打开的文件是否有文件头MZ标志。例如,图2是一个名叫kb896475.log病毒文件。
U3000 U3000
图2 ARP病毒文件体
找到这些文件后,您可以清除注册表中的相关键值,然后将系统重新启动到安全模式,然后手动删除该文件。
最近,一种新的ARP病毒修改了Web请求页面,改变了病毒文件的格式。现在,通过使用系统进程视图和启动项来查看注册表的运行键值,可以很容易地看到病毒的文件。
ARP病毒的网络免疫
由于ARP病毒的网络特性,一些技术手段可以用来对网络中的ARP病毒欺骗进行免疫,即使网络中存在ARP中毒的计算机,当发送欺骗ARP数据包时,其他计算机也不会修改其ARP缓存表。数据包总是发送到正确的网关。更常见的方法是双向绑定方法。
双向绑定法,顾名思义,是绑定IP-MAC地址的两端。一端是在路由器中,所有PC用户输入到一个静态表,即IP-MAC绑定。一端是局域网中的每个客户端和网关的静态ARP信息设置在客户端,被称为PC的IP-MAC绑定。设置方法在客户如下:
新建记事本,输入以下顺序:
ARP -D
ARP -S 192.168.0.1 00-e0-4c-8c-9a-47
ARP -d命令清空ARP缓存,和ARP -S 192.168.0.1 00-e0-4c-8c-9a-47命令是正确的网关IP地址和MAC地址绑定,在系统启动目录的批处理文件,可以从运行时间开机,这一步叫做固化arp.bi-directional结合是常用的网吧。
此外,很多交换机和路由器厂商也推出了自己的防御ARP病毒的软件产品,如华为H3C AR 18-6x系列千兆以太网路由器可以实现免疫ARP局域网,路由器提供MAC和IP地址绑定功能,可以根据用户的配置,一个特定的IP地址和MAC地址之间关系的形成,一个消息,声称是从这个IP地址发送的,如果它的MAC地址不在规定的关系对地址,路由器会丢弃它,这是一种避免IP地址假冒攻击。