æ们åä½çç½ç»å两é¨åï¼ä¸¤é¨åç½ç»è¿éãä¸é¨åå¨è·¯ç±ä¸å®è¡ipåmacå
¨ç»å®ï¼å
æ¬ç½å
³ï¼ï¼æ²¡æåºç°åç
æ¯å½±åçæ
åµï¼å¦ä¸é¨åå该ç
æ¯å½±åæ¯è¾å¤§ãæ们è¿è¾¹æ²¡æç¨é²ç«å¢ï¼æå
³é²ç«å¢çé®é¢æä¹ä¸å¤ªæ¸
æ¥ãå¨æ²¡ä¸æ¯ç计ç®æºä¸æå¼ç½é¡µæ示ä¸downloaderãä¸è¿å°ç®å为æ¢æ们ç¨ç诺顿ï¼çæçç
æ¯è½¯ä»¶ä¾ç¶ä¸è½æ¥æ该ç
æ¯ãç½ä¸çä¸æå·¥å
·å¥½åä¹ä¸é¡¶äºãæ们æç»é½æ¯ç¨æå¨æ¸
é¤æ¹æ³è§£å³é®é¢ãåç¹èµæç»ä½ ï¼å«å®æç»éªï¼ï¼å¸æå¯¹ä½ æç¨å¦ã
ç¹å¾ï¼
该ç
æ¯åç§æå±åç½âææâä¹ç§°ï¼é¤å
·å¤ä»¥å¾ARPç
æ¯åä½çç¹å¾ï¼è¯¸å¦ï¼å±åç½å
é¨å计ç®æºä¸è½æ£å¸¸ä¸ç½ï¼ææ¯ææ计ç®æºåä¸è½ä¸ç½ï¼è¿ææ æ³æå¼Webç½é¡µææå¼Web ç½é¡µé度è¾æ
¢ä»¥åå±åç½è¿æ¥æ¶ææ¶ç»å¹¶ä¸ç½éè¾æ
¢çç°è±¡ä»¥å¤ï¼å®è¿ä¼åå±åç½å
åé伪é çARP欺éªå¹¿æï¼å¹¶å°åææç计ç®æºç³»ç»ä¼ªè£
æå±åç½ç½å
³ï¼å½å±åç½ä¸ç计ç®æºç³»ç»ååºè®¿é®Webç½é¡µè¯·æ±çæ¶åï¼ä¼ªè£
æç½å
³ç计ç®æºç³»ç»ä¼æWebç½é¡µä¸è½½ä¸æ¥å¹¶å¨å
¶ä¸æ·»å ä¸æ®µæ¶æå°å代ç ä¸å¹¶åéç»ååºè¯·æ±ç计ç®æºï¼é æ该计ç®æºç³»ç»è®¿é®Webç½ç«æ¶ä¼ä¸»å¨è¿æ¥è¯¥æ¶æç½åã并ä¸ä¼å¯¼è´å±åç½å
ä»»æçµè访é®ç½é¡µæ¶ï¼æå¼çç½é¡µé½è¢«ææ¯è½¯ä»¶æ¥å带æ¯ï¼åæ¶è¯¥å¸¦æ¯ç½é¡µä¼éè¿å¾®è½¯çMS06-014åMS07-017两个系ç»æ¼æ´ç»çµèæ¤å
¥ä¸ä¸ªæ¨é©¬ä¸è½½å¨ï¼è该æ¨é©¬ä¸è½½å¨ä¼ä¸è½½10å¤ä¸ªæ¶æ§ç½æ¸¸æ¨é©¬ï¼å¯ä»¥çå¤æ¬¾ç½ç»è´¦å·åå¯ç ã
é²èæªæ½ï¼
1ãç«å³å级æä½ç³»ç»ä¸çé²ç
æ¯è½¯ä»¶åé²ç«å¢ï¼åæ¶æå¼âå®æ¶çæ§âåè½ï¼å®æ¶å°æ¦æªæ¥èªå±åç½ç»ä¸çåç§ARPç
æ¯åç§ã
2ãç«å³æ ¹æ®èªå·±çæä½ç³»ç»çæ¬ä¸è½½å¾®è½¯MS06-014ï¼
http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspxï¼åMS07-017ï¼
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspxï¼ä¸¤ä¸ªç³»ç»æ¼æ´è¡¥ä¸ç¨åºï¼å°è¡¥ä¸ç¨åºå®è£
å°å±åç½ç»ä¸åå¨è¿ä¸¤ä¸ªæ¼æ´ç计ç®æºç³»ç»ä¸ï¼é²æ¢ç
æ¯åç§çææåä¼ æã
3ãæ£æ¥æ¯å¦å·²ç»ä¸æ¯ï¼
a. å¨è®¾å¤ç®¡çå¨ä¸, åå»âæ¥çâæ¾ç¤ºéèç设å¤â
b. å¨è®¾å¤æ ç»æä¸,æå¼âéå³æå³ç¨è®¾å¤â
c. æ¥æ¾æ¯å¦åå¨ï¼âNetGroup Packet Filter Driverâ æ âNetGroup Packet Filterâï¼å¦æåå¨ï¼å°±è¡¨æå·²ç»ä¸æ¯ã
4ã对没æä¸æ¯æºå¨ï¼å¯ä»¥ä¸è½½è½¯ä»¶Anti ARP Snifferï¼å¡«å
¥ç½å
³ï¼å¯ç¨èªå¨é²æ¤ï¼ä¿æ¤èªå·±çipå°å以åç½å
³å°åï¼ä¿è¯æ£å¸¸ä¸ç½ã
5ã对已ç»ä¸æ¯çµèå¯ä»¥ç¨ä»¥ä¸æ¹æ³æå¨æ¸
é¤ç
æ¯ï¼
(1)å é¤:%windows%\\System32\\LOADHW.EXE (æäºçµèå¯è½æ²¡æ)
(2)a. å¨è®¾å¤ç®¡çå¨ä¸, åå»âæ¥çâæ¾ç¤ºéèç设å¤â
b. å¨è®¾å¤æ ç»æä¸,æå¼âéå³æå³ç¨è®¾å¤â
c. æ¾å° âNetGroup Packet Filter Driverâ æ âNetGroup Packet Filterâ
d. å³ç¹å»ï¼âå¸è½½â
e. éå¯ç³»ç»
(3)å é¤:%windows%\\System32\\drivers\
pf.sys
(4)å é¤%windows%\\System32\\msitinit.dll(æäºçµèå¯è½æ²¡æ)
(5)å é¤æ³¨å表æå¡é¡¹:å¼å§ãè¿è¡ãregeditãæå¼ï¼è¿å
¥æ³¨å表ï¼å
¨æ³¨å表æç´¢npf.sysï¼ææ件æå¨æ件夹Npfæ´ä¸ªå é¤.(åºè¯¥æ2个).è³æ¤arpç
æ¯æ¸
é¤.
(6)æ ¹æ®ç»éª,该ç
æ¯ä¼ä¸è½½å¤§éç
æ¯,æ¨é©¬åæ¶æ软件,并修æ¹winsocks,导è´ä¸è½æå¼ç½é¡µ,ä¸è½æå¼netmeetingç,为æ¤è¿éè¦åä¸é¢å æ¥å·¥ä½:
a.ç¨æ¸
çå©æ,360ç软件æ¸
çæ¶æ软件,æ¨é©¬.
b.æ£æ¥å¹¶å é¤ä¸åæ件并ç¸å
³å¯å¨é¡¹:
1)%windows%\\System32\
wizwmgjs.exe(ä¸è¬è¯ºé¡¿ä¼é离)
2)%windows%\\System32\
wizwmgjs.dll(ä¸è¬è¯ºé¡¿ä¼é离)
3)%windows%\\System32\\ravzt.exe(ä¸è¬è¯ºé¡¿ä¼é离)
4)%windows%\\System32\\ravzt.dat
3)%windows%\\System32\\googleon.exe
c.éç½®winsocks(å¯ä»¥ç¨å
åç软件修å¤,ä¸é¢ä»ç»ä¸ä¸ªæ¯è¾ç®åçåæ³):
å¼å§>è¿è¡>CMD,è¿å
¥å½ä»¤æ示符,è¾å
¥cd..å车,ä¸ç´éåºè³cçæ ¹ç®å½,å¨C:>ä¸è¾å
¥netsh winsock resetå车,ç¶åææ示éå¯è®¡ç®æº
ç¸å
³è½¯ä»¶ç½ä¸éå¤å¯è§ï¼å°±ä¸æä¾äºã