arp病毒查杀_arp杀毒软件那个好_360清除arp病毒(5)

这样。如果一个局域网中存在这样的ARP病毒电脑的话。顷刻间。整个网段的电脑将会全部中毒！沦为黑客手中的僵尸电脑！。

电脑定位。这种方法比较简便。不利用第三方工具。

利用系统自带的ARP命令即可完成。上文已经说过。当局域网中发生ARP欺骗的时候。ARP病毒电脑会向全网不停地发送ARP欺骗广播。这时局域网中的其它电脑就会动态更新自身的ARP缓存表。将网关的MAC地址记录成ARP病毒电脑的MAC地址。这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址。就知道中毒电脑的MAC地址了。查询命令为 ARP －a。

需要在cmd命令提示行下输入。输入后的返回信息如下：Internet Address Physical Address Type192.168.0.1 00-50-56-e6-49-56 dynamic这时。由于这个电脑的ARP表是错误的记录。因此。该MAC地址不是真正网关的MAC地址。而是中毒电脑的MAC地址！这时。再根据网络正常时。全网的IP—MAC地址对照表。查找中毒电脑的IP地址就可以了。

由此可见。在网络正常的时候。保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址。保存下来。以备后用。现在网上有很多ARP病毒定位工具。其中做得较好的是Anti ARP Sniffer。下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。首先打开Anti ARP Sniffer 软件。输入网关的IP地址之后。

再点击红色框内的“枚举MAC”按钮。即可获得正确网关的MAC地址.接着点击“自动保护”按钮。即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时。该数据包会被Anti ARP Sniffer记录。该软件会以气泡的形式报警。这时。我们再根据欺骗机的MAC地址。对比查找全网的IP－MAC地址对照表。即可快速定位出中毒电脑。当局域网中有ARP病毒欺骗时。往往伴随着大量的ARP欺骗广播数据包。这时。

流量检测机制应该能够很好的检测出网络的异常举动。此时Ethereal 这样的抓包工具就能派上用场。以上三种方法有时需要结合使用。互相印证。这样可以快速准确的将ARP中毒电脑定位出来。

病毒查杀。较老类型的ARP病毒运行特征比较隐蔽。

电脑中毒时并无明显异常现象。这类病毒运行时自身无进程。通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项也很特殊。并非常规的Run键值加载。也不是服务加载。而是通过注册表的AppInit_DLLs键值加载实现开机自启动的。这一点比较隐蔽。因为正常的系统AppInit_DLLs键值是空的。也正由于这个特点。利用Autoruns这个工具软件就可以快速扫描出病毒文件体。

ARP病毒文件主体。该文件虽然扩展名为log。看似很像是系统日志文件。但其实。它是一个不折不扣的病毒！除了Log形式的病毒文件。还有一些以Bmp作为扩展名的病毒文件。同样。这些病毒文件也不是图片文件。而是EXE格式的可执行文件。在同目录下还有同名的dll文件。这些都是病毒体。%WinDir%\ KB*.log或者%WinDir%\ *.bmp%WinDir%\同名.dll如何区别正常的log日志文件。

bmp图片文件和病毒文件呢？其实很简单。用记事本程序打开该文件。查看其文件头是否有“MZ”的标记即可。找到这些文件后。arp病毒查杀可以先清除注册表中的相关键值。然后重启系统到安全模式下。手动删除文件即可。对于最近多发的。修改WEB请求页面的新型ARP病毒。则改变了病毒文件的表现形式。现对简单。利用系统进程查看和启动项查看注册表的Run键值。可以明显发现病毒的文件。另外。利用KV 的未知病毒扫描程序进行检测。也是一个好办法。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-40046-5.html