《在局域网查找中毒电脑》由会员分享,可在线阅读,更多相关《在局域网查找中毒电脑(16页珍藏版)》请在金锄头文库上搜索。
1、在局域网查找中毒电脑/arp 病毒清除在局域网查找中毒电脑!第一步骤: 找一台服务器(首先你要保证这台机器没有任何的病毒),然后建一个文件夹名为病毒,然后把这个文件夹开一下共享,名为:bd$. 要开所有权限.可读可写.第二个步骤:随便找几个 100K 以下的.EXE 文件放进这个病毒这个文件夹里面.以可以新建几个空的文本文档,然后把文件扩展名改成 exe第三个步骤:用工具查看哪台机器连了你这边机器的bd$这个共享文件夹的,哪台连接了,哪台就有病毒.而且你的病毒文件夹里面的.EXE 文件已经被感染了.用这个办法找到了许多中毒的机器,然后再加以防范,也找到了不少的病毒的样本,嘿嘿.,. 大家给我往
2、死里顶.哈哈.开这样的共享 bd$ 顾客不可能自己跑进来,只有病毒自己会跑进来,一进来,肯定就有病毒. 而且比较局部网哪台机器中毒,也非常好查,看看哪台机器连了你这个共享,哪台肯定中毒了.直接去 GHOST 就行了ARP 欺骗攻击的包处理办法通用的处理流程 1。先保证网络正常运行方法一:编辑一个*.bat 文件内容如下:arp.exe s*.*.*.*(gw ip) *(gw mac address)end 让网络用户点击就可以了!办法二:编辑一个注册表问题,键值如下:Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREM
3、icrosoftWindowsCurrentVersionRunMAC:=arp s *.*.*.* * gw ip and gw mac address 然后保存成 Reg 文件以后在每个客户端上点击导入注册表。前言:今年算是 ARP和 LOGO1 病毒对网吧的危害最大,在前期我们一般采用双向梆定的方法即可解决但是 ARP 变种 出现日期大概在 10 月份,大家也许还在为网关掉线还以为是电信的问题还烦恼吧,其实不然变种过程 ARP 病毒-变种 OK 病毒-变种TrojanDropper.Win32.Juntador.f 或 TrojanDropper.Win32.Juntador.C 现在的
4、这个 ARP 变种病毒更是厉害,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思“恭喜你”你中大奖了,呵呵先了解 ARP 变种病毒的特性吧:一:破坏你的 ARP 双向绑定批出理二:中毒机器改变成代理服务器又叫代理路由三:改变路由的网关 MAC 地址和 internat 网关的 MAC 地址一样病毒发作情况:现在的 ARP 变种 不是攻击客户机的 MAC 地址攻击路由内网网关,改变了它的原理,这点实在佩服直接攻击您的路由的什么地址你知道吗?哈哈猜猜吧不卖关了新的变种 ARP 直接攻击您路由的 MAC 地址和外网网关而且直接就把绑定 IP 与 MAC 的批处理文件禁用了。一会儿全掉线
5、,一会儿是几台几台的掉线。而且中了 ARP 的电脑会把那台电脑转变成内网的代理服务器进行盗号和发动攻击。如果大家发现中了 ARP 没有掉线,那说明你中了最新的变种,你只要重启了那台中了 ARP 病毒的电脑,那么受到 ARP 攻击的机子就会全部掉线内网的网关不掉包,而外网的 IP 和 DNS 狂掉,这点也是 ARP 变种的出现的情况,请大家留意。我在最后会公布解决的案例和相关补丁,请大家看完全文可能对你有帮助哦,不要急着下呵呵该病毒发作时候的特征为,中毒的机器会伪造某台电脑的 MAC 地址,如该伪造地址为网关服务器的地址,那么对整个网吧均会造成影响,用户表现为上网经常瞬断。 一、在任意客户机上进
6、入命令提示符(或 MS-DOS 方式),用 arp a 命令查看:C:WINNTsystem32arp -aInterface: 192.168.0.193 on Interface 0x1000003Internet Address Physical Address Type192.168.0.1 00-50-da-8a-62-2c dynamic192.168.0.23 00-11-2f-43-81-8b dynamic192.168.0.24 00-50-da-8a-62-2c dynamic192.168.0.25 00-05-5d-ff-a8-87 dynamic192.168.0.
7、200 00-50-ba-fa-59-fe dynamic可以看到有两个机器的 MAC 地址相同,那么实际检查结果为 00-50-da-8a-62-2c 为 192.168.0.24 的 MAC 地址,192.168.0.1 的实际 MAC 地址为 00-02-ba-0b-04-32,我们可以判定 192.168.0.24 实际上为有病毒的机器,它伪造了192.168.0.1 的 MAC 地址。二、在 192.168.0.24 上进入命令提示符(或 MS-DOS 方式),用 arp a 命令查看:C:WINNTsystem32arp -aInterface: 192.168.0.24 on I
8、nterface 0x1000003Internet Address Physical Address Type192.168.0.1 00-02-ba-0b-04-32 dynamic192.168.0.23 00-11-2f-43-81-8b dynamic192.168.0.25 00-05-5d-ff-a8-87 dynamic192.168.0.193 00-11-2f-b2-9d-17 dynamic192.168.0.200 00-50-ba-fa-59-fe dynamic可以看到带病毒的机器上显示的 MAC 地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行
9、转发而导致,该机重启后网吧内所有电脑都不能上网,只有等 arp 刷新 MAC 地址后才正常,一般在 2、3 分钟左右。三、如果主机可以进入 dos 窗口,用 arp a 命令可以看到类似下面的现象:C:WINNTsystem32arp -aInterface: 192.168.0.1 on Interface 0x1000004Internet Address Physical Address Type 192.168.0.23 00-50-da-8a-62-2c dynamic192.168.0.24 00-50-da-8a-62-2c dynamic192.168.0.25 00-50-d
10、a-8a-62-2c dynamic192.168.0.193 00-50-da-8a-62-2c dynamic192.168.0.200 00-50-da-8a-62-2c dynamic该病毒不发作的时候,在代理服务器上看到的地址情况如下:C:WINNTsystem32arp -aInterface: 192.168.0.1 on Interface 0x1000004Internet Address Physical Address Type192.168.0.23 00-11-2f-43-81-8b dynamic192.168.0.24 00-50-da-8a-62-2c dyna
11、mic192.168.0.25 00-05-5d-ff-a8-87 dynamic192.168.0.193 00-11-2f-b2-9d-17 dynamic192.168.0.200 00-50-ba-fa-59-fe dynamic 病毒发作的时候,可以看到所有的 ip 地址的 mac 地址被修改为 00-50-da-8a-62-2c,正常的时候可以看到 MAC 地址均不会相同。成功就是潜意识的等待-学无止境!至弱即为至强一步一步按步骤操作解决办法一:一、采用客户机及网关服务器上进行静态 ARP 绑定的办法来解决。1 在所有的客户端机器上做网关服务器的 ARP 静态绑定。首先在网关服务器
12、(代理主机)的电脑上查看本机 MAC 地址C:WINNTsystem32ipconfig /allEthernet adapter 本地连接 2:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)Physical Address. . . . . . . . . : 00-02-ba-0b-04-32Dhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . .
13、: 192.168.0.1Subnet Mask . . . . . . . . . . . : 255.255.255.0然后在客户机器的 DOS 命令下做 ARP 的静态绑定C:WINNTsystem32arp s 192.168.0.1 00-02-ba-0b-04-32注:如有条件,建议在客户机上做所有其他客户机的 IP 和 MAC 地址绑定。2 在网关服务器(代理主机)的电脑上做客户机器的 ARP 静态绑定首先在所有的客户端机器上查看 IP 和 MAC 地址,命令如上。然后在代理主机上做所有客户端服务器的 ARP 静态绑定。如:C:winntsystem32 arp s 192.16
14、8.0.23 00-11-2f-43-81-8bC:winntsystem32 arp s 192.168.0.24 00-50-da-8a-62-2cC:winntsystem32 arp s 192.168.0.25 00-05-5d-ff-a8-87。3 以上 ARP 的静态绑定最后做成一个 windows 自启动文件,让电脑一启动就执行以上操作,保证配置不丢失。 二、有条件的网吧可以在交换机内进行 IP 地址与 MAC 地址绑定三、IP 和 MAC 进行绑定后,更换网卡需要重新绑定,因此建议在客户机安装杀毒软件来解决此类问题:该网吧发现的病毒是变速齿轮 2.04B 中带的,病毒程序在
15、http:/ 可下载到:解决方法二:1:在网关路由上对客户机使用静态 MAC 绑定。ROUTE OS 软路由的用户可以参照相关教程,或是在 IP-ARP 列表中一一选中对应项目单击右键选择“MAKE STATIC”命令,创建静态对应项。用防火墙封堵常见病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及 P2P 下载2:在客户机上进行网关 IP 及其 MAC 静态绑定,并修改导入如下注册表: (A)禁止 ICMP 重定向报文 ICMP 的重定向报文控制着 Windows 是否会改变路由表从而响应网络设备发送给它的
16、 ICMP 重定向消息,这样虽然方便了用户,但是有时也会被他人利用来进行网络攻击,这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应 ICMP 的重定向报文,从而使网络更为安全。 修改的方法是:打开注册表编辑器,找到或新建“HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPIPParamters”分支,在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD 型)的值修改为 0(0 为禁止 ICMP 的重定向报文)即可。 (B)禁止响应 ICMP 路由通告报文 “ICMP 路由公告”功能可以
