查中了木马电脑方法

1、ARP地址及工作原理ARP协议(Address Resolution Protocol，地址解析协议 是TCP/IP底层协议。通 常用在网络故障进行诊断的时候，也是最常用的一种底层协议。它属于TCP/IP(通 常划分为7层的低层协议，负责将IP地址 解析成对应的MAC地址。当一个使用 TCP/IP协议进行数据交换或传输的应用程序需要从一台主机发送数据给另一台主 机时，它把信息分割并封装成包，附上目的主机的IP地址。然后,根据IP地址寻找 实际MAC地址的映射,这就需要发送ARP广播。当ARP找到了目的主机MAC 地址后，就可以形成待发送帧的完整以太网帧头。最后，协议栈将IP包封装到以太 网帧中

2、进行传送。用语言表述以上的内容枯燥而乏味，其实简单地理解，就是根据IP地址与MAC 的映射关系，为要发送的信息加上正确的，也是唯一的地址。 为了节省ARP缓冲区 内存，被解析过的ARP信息的保存周期都是有限的。如果一段时间内该信息没有被 参考过，则信息将被自动删除。若计 算机使用的是 Windows操作系统,ARP信息的 存活周期是2分钟,而在大部分交换机中，该值一般都是5分钟。ARP工作的其他几种形式1、反向ARP :反向ARP (Reverse ARP, RARP用于把MAC地址转换成对应 的IP地址。通常这种形式主要使用在系统自身无法保存 IP地址的环境里，例如无 盘站就是典型的例子。2

3、、代理ARP :代理ARP (PROXY ARP, 一般被路由器这样的网络 设备使用，用来代替处于其他网段的主机回答本网段主机的ARP请求。3、无为ARP :无为(Gratuitous ARP , GARP ARP也称为无故ARP ,就是计算机使用本机的IP地址作为 目标地址发送ARP请求。无为ARP主要有两种用途,一个作用是根据收到ARP响 应的话,说明网络中存在 重复的IP地址;另外一个作用是用来声明一个新的数据链 路标识。当一个网络设备收到一个arp请求时，如果发现arp缓冲区中已经存在发 送者的IP地址，则更新此IP地址所对应的MAC地址信息。ARP欺骗的表现ARP欺骗一般分为两种，一

4、种是对路由器ARP表的欺骗;另一种是 对内网PC 的网关欺骗。第一种ARP欺骗是截获网关数据，它通知路由器一系列错误的局域网 MAC地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更 新保存在路由器中，结果路由器 的所有数据只能发送到错误的 MAC地址，造成正常 的计算机无法收到 信息。第二种ARP欺骗是通过交换机的MAC地址学习机制, 伪造网关。它的原理是建立假的网关，让被它欺骗的计算机向假网关发送数据，而不 是通过正常的路由器或交换途径寻找网关，造成在同一网关的所 有计算机无法访问 网络。现在企业内部的局域网越来越普及，其中接入In ternet的企业也日 益增加。但 是

5、由于很多企业缺乏专业的网管人员，而网络管理的制度更 是缺乏,这就造成了局域 网内电脑感染ARP地址欺骗病毒的几率非常高。ARP地址欺骗的危害主要表现如下：1、网络访问时断时继，掉线频繁，网络访问速度越来越慢，有时则长时间不能上 网，双击任务栏中的本地连接图标，显示为已经连接，并且发现发送的数据包明显少于 接收的数据包；2、同一网段的所有上网机器均无法正常连接网络；3、打开windows任务管理器，出现可疑进程，如” MIEO.dat等进程；4、 如果是中了 ARP欺骗病毒的话，病毒发作时除了会导致同一局域 网内的其 他用户出现时断时续外，还可能会窃取用户密码（如QQ、网上银行以及其它脆弱系 统

6、帐号等，这是木马的惯用伎俩；5、 打开路由器的系统历史记录中看到大量的MAC更换信息。四、ARP病毒（或木马的检测方法1、已知中毒机器的MAC地址的情况下，可用NBTSCAN （下载地址：http:/dd. no nl oad/nbtsca n.ra工具快速查找。NBTSCAN 可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC 的 IP/和 MAC 地址。命令：“nbtscan/24 搜索整个 192.16820/24 网段,即 -54或 “nbtscan 527”搜

7、 索 5- 127网段,即5-27输出结 果第一列是IP地址，最后一列是 MAC地址。NBTSCAN的使用范例：假如查找一台MAC地址为“00DC-76-93-89-C2'的中毒主机,可以使用如下步 骤完成查找：1将文件包中的nbtscan.exe和 cygwin1.dll解压缩放到根目录下。2运行cmd ,在出现的DOS窗口中输入：C:nbtsca n -r /24这里需要根据用户实际网段输入，回车。C:Docume nts and Setti ngsme>C:nbtsca n -r 192

8、.168.2.1/24 Warni ng: -r option not supported un der Win dows. Running without it.Doi ng NBT name scan for addresses from /24IP address NetBIOS Name Server User MAC address Sendto failed: Cannot assign requested address 0 SERVER 00-11-09-EC-92-9111 LLF192.

9、168.2.121 UTT-HIPER 00-13-46-E2-78-F9192.1682 175 JC 00-0B-2F-07-D5-AE192.1682223 test1233通过查询IP-MAC对应表，查出“00DC-76-93-89-C2'的病毒 主机的IP地址为 “23 ”2、MSS用户查找法：在MSS服务器管理内,安全设置”-> “MAC-IP地址安全”使用 全网扫描”功 能可得到当前MSS服务器上ARP地址的缓存表，在ARP欺骗病毒（或木马开始运 行的时候,局域网内所有或部分主机的 MAC地址更新为病毒主机的 MAC地址（也 就是扫描出的列表中

10、，所有或部分 主机的的MAC地址与病毒主机的MAC地址相 同五、ARP病毒（或木马的预防或解决措施1、清空ARP缓存：大家可能都曾经有过使用 ARP的指令法解决过ARP欺骗 问题,该方法是针对ARP欺骗原理进行解决的。一般来说 ARP欺骗 都是通过发送 虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络 设备，用虚假的或错误 的MAC地址与IP地址对应关系取代正确的对应 关系。若是一些初级的 ARP欺骗, 可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新 获得正确的对应关系，具体解决过程如下：第一步:通过点击桌面上任务栏的 开始”-> 运行”然后输入cmd后

11、回车，进入 cmd（黑色背景命令行模式；第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本 地系统ARP 缓存中IP和MAC对应关系的信息；第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清 空，这样错误 的ARP缓存信息就被删除了，本机将重新从网络中获得正 确的ARP信息，达到局域 网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP 欺骗数据包，这时使用清空 ARP缓存的方法将无能为力了。下面将接收 另外一 种，可以解决感染ARP欺骗病毒的方法。2、指

12、定ARP对应关系：其实该方法就 是强制指定ARP对应关系。由 于绝大部分ARP欺骗病毒都是针对网关 MAC地址 进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器 要上网发送数 据包给网关时就会因为地址错误而失败，造成计算机无法上网。第一步：我们假设网关地址的 MAC信息为00-14-78-a7-77-5c 对应 的IP地址为 192.16821。指定ARP对应关系就是指这些地 址。在感 染了病毒的机器上，点击桌面-任务栏的 开始”运行”输入cmd后回车，进入cmd命令行模式；第二 步：使用arp -s命令来添加一条 ARP地址对应关系， 例如arp -s 192.168

13、.2.1 00-14- 78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网 络连接将恢复正常了；第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文 件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。3、添加路由信息应对ARP欺骗：一般的ARP欺骗都是针对网关的，那么我 们是否可以通过给本机添 加路由来解决此问题呢。只要添加了路由，那么上网时 都通过此路由出 去即可，自然也不会被 ARP欺骗数据包干扰了。 第一步：先通 过点击桌面上任务栏的 开始”运行”然后输入cmd后回车，进入cmd（黑色背 景命令行模式；第二步：手动添加路由，详细的命令如下：删除默认的路由：route delete 添加路由：metric 1;确认修改:route change route add -p mask 54此方法对网关固定的情况比较适合，如果将来更改了网 关，那么就需要 更改所有的客户端的路由配置了。4、安装杀毒软件：安装杀毒软件并及时升级，另外建议有条件的企业可以使用网络版的防病毒软件，例如趋势、诺顿等。单机用