检查本机的“ ARP 欺骗”木马染毒进程: http://www.hzjy.edu.cn/publish/con_img/1147857093890.gif 同时按住键盘上的“ CTRL ”和“ ALT ”和“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见上图。 在受到ARP欺骗木马程序(病毒)攻击时,用户可选择下列方法的一种处理。 方法一:下载Anti ARP Sniffer软件(附件一)保护本地计算机正常运行,安装配置前,请先查看附件二的帮助视频(下载地址:http://www.hzjy.edu.cn/publish/con_img/1147851866140.EXE)。同时把此软件设为自动纤运启动,步骤:先把Antiarp.exe生成桌面快捷方式à选"开始"à"程序"à双击"启动"à再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。 方法二:在“开始”à“程序” à“附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig 记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 192.168.112.1”。再输入并执行以下命令: arp –a 在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 本方法可在一定程简蔽度上减轻中毁咐梁木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令: arp –s 网关 IP 网关物理地址 (如 arp -s 192.168.112.1 00-01-e8-1f-35-54 ) 。 方法三:局域网ARP攻击免疫器(附件三)。(1)将这里面3个dll文件复制到windows\system32 里面,将npf 这个文件复制到 windows\system32\drivers 里面。(2)将这4个文件在安全属性里改成只读。也就是不允许任何人修改。
标签:arp,exe,机器
