ARP电脑病毒预防方法
1 命令行法 这种方法比较简便,不利用第三方工具,利用系统自带的(WWW.OASD.CN)ARP命令即可完成。上文已经说过,当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下: Internet Address Physical Address Type192.168.0.1 00-50-56-e6-49-56 dynamic这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。 2 工具软件法 现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。 首先打开Anti ARP Sniffer 软件,输入网关的IP地址之后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址,如图5。 图5 输入网关IP地址后,枚举MAC.jpg (72.11 KB)2008-12-12 14:17图5 输入网关IP地址后,枚举MAC接着点击“自动保护”按钮,即可保护当前网卡与网关的正常通讯。如图6。 图6 点击自动保护按钮.jpg (97.28 KB)2008-12-12 14:17图6 点击自动保护按钮当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。如图7。 图7 Anti ARP Sniffer 的拦截记录.jpg (60.87 KB)2008-12-12 14:17图7 Anti ARP Sniffer 的拦截记录这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。 3 Sniffer 抓包嗅探法 当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。如图8。 图8 用Ethereal抓包工具定位出ARP中毒电脑.jpg (68.27 KB)2008-12-12 14:17图8 用Ethereal抓包工具定位出ARP中毒电脑从图8中的红色框内的信息可以看出,192.168.0.109 这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发送ARP广播包的情况是存在的,但是假如不停的大量发送,就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。 以上三种方法有时需要结合使用,互相印证,这样可以快速正确的将ARP中毒电脑定位出来。ARP病毒电脑查杀方法较老类型的ARP病毒运行特征比较隐蔽,电脑中毒时并无明显异常现象,这类病毒运行时自身无进程,通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项也很特殊,并非常规的Run键值加载,也不是服务加载,而是通过注册表的AppInit_DLLs 键值加载实现开机自启动的,这一点比较隐蔽,由于正常的系统AppInit_DLLs键值是空的。也正由于这个特点,利用Autoruns这个工具软件就可以快速扫描出病毒文件体,如图9。 图9 Autoruns工具检测出病毒文件主体.jpg (108.91 KB)2008-12-12 14:17图9 Autoruns工具检测出病毒文件主体上图中红色框内的部分,就是ARP病毒文件主体,该文件固然扩展名为log,看似很像是系统日志文件,但实在,它是一个不折不扣的病毒!除了Log形式的病毒文件,还有一些以Bmp作为扩展名的病毒文件,同样,这些病毒文件也不是图片文件,而是EXE格式的可执行文件,在同目录下还有同名的dll文件,这些都是病毒体。 %WinDir% KB*.log 或者 %WinDir% *.bmp %WinDir%同名.dll 如何区别正常的log日志文件,bmp图片文件和病毒文件呢?实在很简单,用记事本程序打开该文件,查看其文件头是否有“MZ”的标记即可,如图10就是一个名字为“KB896475.log”的病毒文件。 图10 一个ARP病毒文件体.jpg (45.38 KB)2008-12-12 14:17图10 一个ARP病毒文件体找到这些文件后,可以先清除注册表中的相关键值,然后重启系统到安全模式下,手动删除文件即可。 对于最近多发的,修改WEB请求页面的新型ARP病毒,则改变了病毒文件的表现形式,现对简单,利用系统进程查看和启动项查看注册表的Run键值,可以明显发现病毒的文件,另外,利用KV 的未知病毒扫描程序进行检测,也是一个好办法。
页:
[1]