「陰謀」在斷網之後——查殺arp病毒
arp欺騙這個概念我們在以前的文章曾多次講到,簡單的說就是區域網中的攻擊者通過傳送偽造的資料報給路由器,從而達到嗅探或讓區域網中任一計算機斷線的目的。當然,arp欺騙能夠做到的不僅僅如此,就像最近很猖狂的arp病毒——傳奇殺手,利用的就是arp欺騙,讓使用者斷線,迫使使用者重新登入傳奇伺服器,然後再通過arp欺騙嗅探資料報中的傳奇帳戶資訊。下面就讓我們以「傳奇殺手」為例,介紹一下arp病毒的原理和清除方法。
什麼是arp病毒
arp病毒可以分為兩類,一種是純攻擊性質的,就是讓整個區域網無法上網,這類病毒多發於網咖,因此arp病毒是令網咖業主最頭痛的一類病毒。還有一種是帶有竊取使用者資訊目的的,就像上文中提到「傳奇殺手」。不過就算arp病毒再怎麼改變,其利用的原理還是arp欺騙,只不過它在普通的arp欺騙的基礎上加入了自動傳播和木馬等模組。
arp病毒的危害是很大的,單機使用者感染後可能感受不到,但是對於區域網使用者來說就是一種災難。最明顯的現象就是整個區域網癱瘓,區域網中所有計算機都無法上網,因此使用者也無法通過網路尋找相關的解決方法。如果再帶上木馬的話,後果就相當嚴重了。
「傳奇殺手」的簡單分析
「傳奇殺手」的病毒名為loadhw.exe,執行後會在c:/windows/system32/drivers目錄中生成npf.sys檔案,並在c:/windows/system32/目錄生成msitinit.dll檔案。npf.sys的作用是傳送arp欺騙資料報的驅動程式,也就是進行arp欺騙。msitinit.dll的作用是控制npf.sys傳送arp欺騙資料報的時間。至於loadhw.exe嘛,就是竊取使用者傳奇帳號資訊的罪魁禍首了。
病毒執行後,會將loadhw.exe新增進系統的啟動項,和以往的一些病毒略有不同的是,病毒修改系統項時,是在登錄檔的[hkey_local_machine/software/microsoft/windows/currentversion/runonce]位置處修改的,也就是說,系統啟動時會自動執行病毒,然後會自動將該處的建立的鍵值刪除,這樣就增加了病毒的隱蔽性。
再來說說「傳奇殺手」的傳播。「傳奇殺手」會偽裝成winpcap驅動程式,看過前幾期文章的朋友應該知道,要對網路進行底層的管理,winpcap是最好的選擇。因此有很多網咖會安裝winpcap,如果不仔細,很可能被「傳奇殺手」偽裝的winpcap所迷惑。重要的是,「傳奇殺手」雖然是病毒,但是其同時具有winpcap的功能,只不過其病毒檔案npf.sys會替換掉正常winpcap中的npf.sys檔案。所以網咖在安裝winpcap時,不能分辨出這是偽裝的「傳奇殺手」也就不足為奇了。
圖1.被「調包」的npf.sys檔案
至於「傳奇殺手」的危害,我們在本文開頭已經提到了,就是讓網咖內的所有使用者斷線,然後當使用者重新登入傳奇伺服器時趁機竊取使用者的帳戶資訊。具體就不再闡述了。
病毒的手工清除
「傳奇殺手」的清除還是比較簡單的,可以根據以下步驟進行清除。
step1.刪除位於c:/windows/system32/目錄的病毒主程式loadhw.exe。
step2.刪除位於c:/windows/system32/drivers目錄的npf.sys檔案。
step3.在裝置管理器中, 單擊」檢視」選單,選擇「顯示隱藏的裝置」,雙擊展開「非即插即用驅動程式」。
step4.找到其中的「netgroup packet filter driver」,右鍵單擊之,選擇「解除安裝」。
step5.刪除位於c:/windows/system32/目錄的msitinit.dll檔案。
step6.執行「登錄檔編輯器」,刪除病毒服務hkey_local_machine/system/currentcontrolset/services/npf。
圖2.刪除病毒服務項
step7.重新啟動系統。
arp病毒的簡單防禦
防範arp病毒的方法,其實就是防範arp欺騙的方法。最簡單並且一勞永逸的方法就是設定路由器將區域網中計算機網絡卡的mac位址和ip位址進行繫結。或者使用「anti arp sniffer」等arp欺騙防範工具,這類工具的使用都比較簡單,點一下按鈕即自動開始防範arp欺騙,相信聰明的讀者們都能輕鬆搞定。
圖3.anti arp sniffer
python arp斷網攻擊 區域網arp斷網攻擊
前言 使用計算機時間稍長的人,大多經歷過各種病毒氾濫的年代,當然現在也有很多病毒,只是現在的病毒已經很隱蔽了,而且行為也愈發的不可捉摸。我們今天記錄一下,早些時候,經常遇到的arp斷網攻擊。通俗的講,arp就是乙個問路的協議,資料要到達某乙個裝置,必須要知道其對應的mac位址,如何知道呢?那就是廣播...
ARP 斷網測試
1.膝上型電腦,配置如下 電腦品牌 華碩 asus 系統版本 microsoft windows 專業版 版本 10.0.17134.1069 膝上型電腦通過 wifi 連線入網際網路。2.pycharm 軟體,配置如下 版本 pycharm 2018.3.3 community edition b...
kali 區域網斷網攻擊
區域網斷網攻擊 將某個ip或者整個ip斷網 arp攻擊需要用到arpspoof工具 終端 arpspoof h arpspoof i inte ce c own host both t target r host arpspoof i 網絡卡 t 目標ip 閘道器 獲取網絡卡 ifconfig ka...