欢迎来到天天文库
浏览记录
ID:37745790
大小:2.33 MB
页数:30页
时间:2019-05-30
《浅析流行病毒的清除》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、浅析流行病毒的清除-江民科技培训2008.03这个页面看有什么异常流行病毒No.6ARP病毒……ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。ARP协议的基本功能:通过目标设备的IP地址,查询目标设备的MAC地址。ARP缓存表:在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当一台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓
2、存表里的对应关系进行发送。ARP病毒的实现机理假设一个只有三台电脑组成的局域网,该局域网由交换机(Switch)连接。其中一个电脑名叫A,代表攻击方;一台电脑叫S,代表源主机,即发送数据的电脑;另一台电脑名叫D,代表目的主机,即接收数据的电脑。准备发送数据(1)首先查询自身的ARP缓存表内是否有目标机的ARP数据记录。(2)S电脑会向网内发送广播,询问“我的IP是192.168.1.2,硬件地址是MAC2,我想知道IP地址为192.168.1.3的电脑的硬件地址是多少?”准备发送数据正常的数据回复(3)这时,全网络的电脑都收到该ARP广播包了,包括A电脑和D电脑。实施ARP欺骗(★)但
3、是当此时,沉默寡言的A电脑也回话了:“我的IP地址是192.168.1.3,我的硬件地址是MAC1”。ARP欺骗成功(★)这样就导致以后凡是IP地址为192.168.1.2的S电脑要发送给D电脑,都将会发送给MAC地址为MAC1的A电脑。A电脑竟然劫持了由S电脑发送给D电脑的数据!这就是ARP欺骗的过程。ARP病毒检测工具(1)现在网上有很多ARP病毒定位工具,其中做得较好的是AntiARPSniffer(现在已更名为ARP防火墙)AntiARPSniffer这个工具软件可以较为快捷的定位ARP中毒电脑ARP病毒检测工具启动防火墙后,其会自动识别到网关MAC地址,并记录网络内的ARP数
4、据信息。如发现有ARP攻击,其在任务栏的图标会有闪烁并辅以弹出气泡的提示。ARP病毒检测工具局域网中存在ARP欺骗时,该数据包会被AntiARPSniffer记录,该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。上图为通过ARP防火墙检测出感染ARP病毒的电脑MAC和IP地址信息。该防火墙还可将攻击日志保存为文本,以便进行打印后核对。ARP病毒检测工具(2)当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal这样的抓包工具
5、就能派上用场。ARP病毒检测工具从红色框内的信息可以看出,192.168.0.109这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。而这台192.168.0.109电脑正是一个ARP中毒电脑。双剑合璧以上两种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。流行病毒No.5镜像劫持病毒(进程镜像劫持类病毒)病毒样本名称:trojandownloader.agent.qwc病毒特点:强力关闭安全软件,使其无法运行。镜像劫持病毒的特征⑴病毒运行后会自我复制到被感染计算机的系统目录下
6、system32目录,并重新命名为“dllhos.exe”。⑵修改被感染计算机中的注册表键值HKLMSoftwareMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions,其采用进程映像劫持技术,使接近五十种杀毒、安全软件开启时都会按照注册表中的键值启动dllhos.exe,导致安全软件无法正常使用。镜像劫持病毒特征注册表HKLMSoftwareMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions键值下的内容截图流行病毒No.4机器狗病毒……第一
7、代变种病毒样本名称:Trojan.DogArp.a病毒特点:覆盖系统文件,穿透系统还原软件机器狗病毒变种第一代的特征⑴病毒运行后会在被感染计算机的系统目录下System32文件夹内创建一个恶意程序“userinit.exe”,或者直接覆盖原有的“userinit.exe”。该程序为木马下载器,会在被感染计算机的后台连接黑客指定站点获取其它恶意程序,并在下载后自动安装。⑵通过在被感染计算机的系统目录下System32drivers文件夹内释
此文档下载收益归作者所有