ARP欺骗Word文件下载.docx
- 文档编号:19168967
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:23
- 大小:1.06MB
ARP欺骗Word文件下载.docx
《ARP欺骗Word文件下载.docx》由会员分享,可在线阅读,更多相关《ARP欺骗Word文件下载.docx(23页珍藏版)》请在冰豆网上搜索。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
作为攻击源的主机伪造一个ARP响应包,此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同,此伪造的ARP响应包广播出去后,网内其它主机ARP缓存被更新,被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址,被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机,目的主机不能被正常访问。
四、ARP欺骗的症状
网络时断时通
网络中断,重启网关设备,网络短暂连通
内网通讯正常、网关不通;
频繁提示IP地址冲突;
硬件设备正常,局域网不通;
特定IP网络不通,更换IP地址,网络正常;
禁用-启用网卡,网络短暂连通;
网页被重定向。
……………………
五、ARP欺骗解决方案:
方案A:
IP-MAC绑定
通过双向IP-MAC绑定可以抵御ARP欺骗,解决由于ARP欺骗造成的网络掉线、IP冲突等问题,保证网络畅通。
1、客户机绑定网关IP-MAC:
在客户机设置网关IP与MAC为静态映射,
将如下内容复制到记事本中并保存为staticarp.reg,(网关IP、网关MAC根据实际情况填写,例:
"
staticarp"
="
arp–s192.168.0.100-01-02-03-04-05"
)
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"
arp–s网关IP网关MAC"
将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置,文件名为run.bat,(网关IP、网关MAC根据实际情况填写,例:
@eachoff
regedit/s.\runstaticarp.reg
arp-s网关IP网关MAC
双击运行run.bat
2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序
将staticarp.reg、run.bat保存到同一文件夹下,登录AhnlabPlicyCenterAdmin,服务器管理—登录分发软件—添加,<
要分发的文件夹>
选中保存staticarp.reg、run.bat的文件夹,<
执行压缩文件名>
中输入对所选择的文件夹压缩后生成的压缩文件的名称,<
登录包名称>
中输入应用程序名称,<
说明>
中输入简单说明,<
解压缩后执行文件>
中输入run.bat,单击<
确定>
。
AhnlabPlicyCenterAdmin—策略管理中选中需要分发的群组或客户机,点右键,紧急安全指令-分发,选中<
一般软件>
,选中要分发的软件,点击<
确认>
3、网关绑定客户机IP-MAC:
使用支持IP/MAC绑定的网关设备,在网关设备中设置客户机的静态IP-MAC列表。
注:
方案A可以抵御ARP欺骗,保证网络正常运行,但不能定位及清除ARP攻击源。
方案B:
利用ARP命令及nbtscan定位ARP攻击源
1、确定ARP攻击源MAC地址
ARP欺骗发作时,在受到ARP欺骗的计算机命令提示符下输入arp–a,APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址,则为ARP攻击源的MAC地址,一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;
在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。
2、定位ARP攻击源计算机
已全网面署APC2.5的环境:
在PolicyCenterAdmin2.5中,查找agent,查找ARP攻击源的MAC地址,定位攻击源计算机。
未布署APC2.5的环境:
运行NbtscanMAC扫描器gui.exe,输入局域网IP地址范围,点击开始,显示局域网内IP、计算机名与MAC对应关系,查找ARP攻击源MAC对应的IP地址及计算机名,根据IP地址及计算机名定位攻击源计算机。
Autorun病毒样例分析
一、感染症状
1、每个盘符下生成隐藏文件autorun.inf、auto.exe
2、在c:
\windows\system32下生成30F3CB56.exe、A89F7741.DLL文件,其中A89F7741.DLL为病毒下载器
3、新增服务:
651085B(c:
\windows\system32\30F3CB56.EXE)
4、更改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为0,阻止显示隐藏文件
5、下载木马病毒到c:
\windows、c:
\windows\system32、IE缓存等文件夹,病毒文件修改日期较新,无公司签名。
Autorun病毒有若干变种,不同变种的autorun病毒下载的木马病毒文件也不相同;
同一autorun病毒在不同时间、不同电脑感染时所下载的木马病毒也有可能不同,病毒发布者只需更换互联网上的木马病毒链接即可实现新木马病毒的快速传播,这也增加了杀毒软件全部查杀autorun病毒下载的所有木马病毒的难度。
6、新增注册表启动项:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
二、手动清除
若V3不能全部查杀时,可按以下步骤手动处理:
1、重启系统按F5键进安全模式;
2、更改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为1;
3、删除注册表项\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\651085B
4、更改文件夹选项,显示所有文件和文件夹
5、在各磁盘分区上点右键—打开,将各分区下的auto.exe、autorun.inf文件备份后删除;
6、将c:
\windows\system32文件夹中的文件按修改时间排序,在修改时间较新的文件中确认病毒文件,备份后删除;
7、将IE缓存文件夹中的文件按类型排序后,将可执行文件备份后删除;
8、删除注册表中病毒相关的启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
9、重新启动系统,确认各分区下未再次生成autorun.inf、auto.exe;
10、将备份的病毒文件加密码virus压缩成zip格式发送到suppoort@。
三、Autorun病毒的预防
1、关闭自动播放
点“开始”→“运行”,在对话框中输入“gpedit.msc”,“确定”,在组策略“计算机配置”→“管理模板”→“系统”,双击“关闭自动播放”,在“设置”中选“已启用”,“关闭自动播放:
所有驱动器”,确定;
2、在各磁盘分区、优盘分别建立名为autorun.inf、auto.exe的文件夹,阻止生成autorun.inf和auto.exe病毒文件;
3、培养良好的电脑使用习惯,使用“右键-打开”打开磁盘分区,从而避免双击打开优盘及磁盘分区时触发autorun病毒;
对外来优盘、下载的文件查杀病毒后再使用;
避免访问非法网站、个人网站等危险站点。
AV终结者病毒实例分析
1、更改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox2,隐藏“文件夹选项”中的“隐藏受保护的操作系统文件”项,阻止显示系统属性的文件
2、在每个盘符下生成autorun.inf、icnskem.exe,并会下载VBurl.exe到C:
\
3、在C:
\programFiles下生成meex.exe
4、在C:
\programFiles\CommonFiles\MicrosoftShared下生成具有隐藏/系统属性的文件xoqommy.inf、tydfjbr.exe
5、在C:
\programFiles\CommonFiles\System下生成具有隐藏/系统属性的文件xoqommy.inf、amtrtpn.exe
6、增加amtrtpn.exe、tydfjbr.exe的启动项
7、添加注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOpeions,实现映像劫持,阻止运行反病毒软件、
系统分析/修复工具等工具软件
8、进程中有amtrtpn.exe、tydfjbr.exe两个进程互相守护,结束其中任一进程时,任务管理器也同时被结束,待再次打开任务管理器时,被结束的进程已经再次运行。
9、下载病毒文件到C:
\DocumentsandSettings\Administrator\LocalSettings\Temp
10、下载病毒文件到
C:
\DocumentsandSettings\Administrator\LocalSettings
\TemporayInternetFiles
11、下载病毒文件到C:
\windows\Fonts文件
12、添加注册表项,使病毒注入Explorer.exe进程
13、修改系统时间为2001年
二、手动清除
1.结束tydfjbr.exe和amtrtpn.exe进程任务管理器->
进程选项卡->
查看->
选择列->
勾上"
PID(进程标识符)"
新建文本文档killprocess.txt,内容如下:
ntsd-cq-pPID1
ntsd-cq-pPID2
把PID1和PID2,改成tydfjbr.exe和amtrtpn.exe进程的ID。
将该killprocess.txt文件扩展名改成.bat
双击killprocess.bat,结束tydfjbr.exe和amtrtpn.exe进程
2.删除注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中amtrtpn.exe、tydfjbr.exe的启动项
3.删除注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOpeions
4.删除注册表项
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecutehooks项中病毒相关的键
5.修改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox,显示文件夹选项中的“隐藏受操作系统保护的系统文件”,显示系统属性文件
6.在文件夹选项中,去掉选择“隐藏受保护的操作系统文件”,选择“显示所有文件和文件夹”
7.备份并删除前述“一、感染症状”2、3、4、5、9、10中的病毒文件
8.由于资源管理中无法显示C:
\Windows\Fonts文件夹中除字体文件以外的其他格式文件,所以需要先重新启动计算机,开始-运行-cmd,在命令行模式下执行如下命令:
清除病毒文件的系统/隐藏属性,然后将所有dll文件copy到备份文件夹,删除C:
\Windows\Fonts下的所有dll和exe文件。
9.修改系统时间至正常时间
10.将V3不能查杀的病毒文件加密码virus压缩成zip格式发送到support@
2、在各磁盘分区、优盘分别建立名为autorun.inf、icnskem.exe的文件夹,阻止生成autorun.inf和icnskem.exe病毒文件;
3、培养良好的电脑使用习惯,使用资源管理器的文件夹栏打开磁盘分区和优盘,从而避免双击打开优盘及磁盘分区时触发autorun病毒;
“磁碟机”分析与预防
如何判定是否种了磁碟机:
1.某些常用安全软件打不开,或打开后立即被关闭;
2.无法进入Windows安全模式;
3.无法正常显示系统隐藏文件;
4.任务管理器中有两个lsass.exe和smss.exe进程;
5.使用Winrar浏览\system32\com\目录有以下病毒文件:
osystemroot%\system32\com\lsass.exe
o%systemroot%\system32\com\smss.exe
o%systemroot%\system32\com\netcfg.dll
o%systemroot%\system32\com\netcfg.000
6.硬盘根目录下有pagefile.pif和autorun.inf文件;
7.系统目录下存在dnsq.dll文件。
感染该病毒后主要有如下症状:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;
4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示;
5、在所有磁盘中添加autorun.inf和pagefile.pif,使得用户双击打开磁盘的同时运行病毒,从而可以U盘、活动硬盘传播。
6、病毒感染.exe文件导致其图标发生变化;
7、会对局域网发起ARP攻击,并篡改下载链接为病毒链接,从病毒服务器下载最新病毒;
8、弹出钓鱼网站
磁碟机病毒的主要传播渠道是:
1、U盘/移动硬盘/数码存储卡
2、局域网ARP攻击
3、感染文件
4、恶意网站下载
5、其它木马下载器下载
病毒分析:
病毒运行后会在每个磁盘下生成pagefile.exe和Autorun.inf文件,并每隔几秒检测文件是否存在,修改注册表键值,破坏“显示系统文件”功能。
每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项,如被修改则重新破坏。
病毒执行后,会删除病毒主体文件。
同时病毒会监lsass.exe、smss.exe、dnsq.dll文件,如果假设不存在的话则重新生成。
当拷贝失败后,病毒会调用rd/s/q命令删除原来的文件,再重新写入。
病毒会连接恶意网址下载大量木马病毒。
1.从以下网址下载脚本http:
//www.****.****/*.htm、.....。
2.生成名为”MCIProgramComApplication”的窗口。
3.程序会删除注册表
SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
4.查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:
RsRavMon、McShield、PAVSRV…
5.启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。
6.遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。
预防方案:
1、关闭U盘的“自动播放功能”。
运行可执行程序时先进行杀毒。
2、及时升级系统漏洞。
3、将病毒库升级到最新,并开启防病毒软件的实时监控。
手工查杀方法:
这个“磁碟机”一般中招后病毒均通过调用系统程序cmd.exe加载此驱动。
行了。
从CMD入手:
1、关闭所有安全软件。
2、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(一定要改两个目录的文件)。
重启系统看看。
3、重启系统后,检查system32和dllcache目录。
发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe。
这个cmd.exe的logo不同于正常的cmd.exe这个cmd是无法运行的,这个就是病毒现从I386目录里找出来的,那病毒也无法运行了。
4、接下来将所有病毒文件手工删除(如果那个cmd.exe管用,那么NetApi000.sys可加载既病毒即可加载,病毒已经完整运行了。
病毒文件是删不掉的)。
5、病毒文件清理干净以后,删除system32目录下那个异常的cmd.exe。
将system32和dllcache目录下的cm.dll改回cmd.exe。
(此方法涉及修改系统文件,初学者慎用!
此方法可以在专杀工具无法开启的情况下使用。
,在病毒不能运行的情况下再开启杀毒软件或者专杀工具事半功倍
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARP 欺骗