由于arp防火墙是基于应用层的,所以对局域网arp病毒仍是束手无策,前些时候邻居(同一局域网)告诉我他的电脑总是提示我对他进行攻击。不光是我,其他用户也是在互相的攻击,经常搞的网络性能恶劣下降,无奈之下很多邻居重做了系统,可我那里有那功夫去费这么大的劲折腾,只好自己动手杀毒了。具体步骤如下:
1、删除 ”病毒组件释放者”程序:
我用的系统是window xp ,在系统目录下找到:“C:\WINDOWS\System32\LOADHW.EXE”
2、删除 “发ARP欺骗包的驱动程序” :
“%windows%\System32\drivers\npf.sys” (window xp 系统目录为:“C:\WINDOWS\System32\drivers\npf.sys” )
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” ,若没找到,请先刷新设备列表
d. 右键点击 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” 菜单,并选择”卸载”
e. 重启windows系统
f. 删除“%windows%\System32\drivers\npf.sys” (window xp系统目录为:“C:WINDOWS\System32\drivers\npf.sys” )
3、删除 ”命令驱动程序发ARP欺骗包的控制者”
“%windows%\System32\msitinit.dll” (window xp 系统目录为:“C:WINDOWS\System32\msitinit.dll” )
4、删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
最后重起电脑就可以了~
最好将电脑和路由器的ip与mac绑定:
在命令提示符下键ARP -D ,删除ip与mac地址的映射
然后再将路由器ip和本机IP分别与自己的mac绑定即可解决,如本机IP :192.168.0.100 mac为08-10-17-42-b1-68
路由IP为:192.168.0.1 mac为08-10-17-42-b1-68
在命令提示符下
键入ARP -S 192.168.0.1 08-10-17-42-b1-68 回车
再键入ARP -S 192.168.100 08-10-17-42-b1-68 回车
即可!
补充:查杀ARP病毒的前提是找到中奖的主机,我这里就介绍一个小小的经验抛砖引玉吧
案例 我们模拟一个简单的局域网环境,主机A IP:192.168.18.10 MAC: d8-5d-4c-22-9a-aa
网关ip:192.168.18.1 MAC: d0-a1-f1-cf-62-ab
如果在以后的生产中,假如主机A中了ARP病毒我们就可以在网内的任意一台主机上做如下操作找出幕后真凶
在主机B的命令行模式下输入:
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.18.20 --- 0x2 //本地主机的ip
Internet Address Physical Address Type
192.168.18.1 d8-5d-4c-22-9a-aa dynamic
192.168.18.10 d8-5d-4c-22-9a-aa dynamic
可以看到网关和主机A 的mac地址一样了,这样我们就可以基本上确定是谁中标了。
这只是针对菜鸟才可行的办法,如果公司内有高手的话,它把mac地址随便的改,那可就要稍微的麻烦点,这就要看公司的管理制度和管理员的水平了。
