最近流行的ARP病毒彻底清除方法
1、删除”病毒(一种具有隐蔽性破坏性传染性的恶意代码)组件释放者”程序:
“%windows%\System32\LOADHW.EXE”(window xp 系统目录为:“C:\WINDOWS\Syst em32\LOADHW.EXE”)
2、删除”发ARP欺骗包的驱动(驱动程序即添加到操作系统中的一小块代码,其中包含
有关硬件设备的信息)程序” (兼“病毒(一种具有隐蔽性破坏性传染性的恶意代码)守护程序”):
“%windows%\System32\drivers\n pf.sys”(window xp 系统目录为:“C:\WINDOWS\Syste m32\drivers\npf.sys”)
2、npf.sys病毒手工清除方法
3、病毒的查杀有很多种方式,下面就让我们来介绍一下手工查杀的方法。
4、npf.sys(%system32/drivers/npf.sys)是该npf病毒主要文件,病毒修改注册表创建系统服务
NPF实现自启动,运行ARP欺骗,在病毒机器伪造MAC地址时,不停地向各个机器发送ARP包堵塞网络,使得传输数据越来越慢,并且通过伪掉线来使用户重新登陆游戏,这样它就可以截取局域所有用户登陆游戏时的信息数据。
5、该病毒往往造成网络堵塞,严重时造成机器蓝屏!!!!。开始杀毒:
6、1.首先删除%system32/drivers/下的npf.sys文件
7、2.进入注册表删除
8、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf服务。
9、同时删除
10、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY-NPF
11、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY-NPF
12、 3.删这两键时,会提示无法删除,便右键,权限,设everyone控制,删除。
13、
14、
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到“NetGroup Packet Filter Driver”或“NetGroup Packet Filter” ,若没找到,请先刷新设
备列表
d. 右键点击“NetGroup Packet Filter Driver”或“NetGr oup Packet Filter”菜单,并选择”卸
载”
e. 重启windows系统
f. 删除“%windows%\System32\drivers\npf.sys”(window xp系统目录为:“C:WINDOWS\
System32\drivers\npf.sys”)
3、删除”命令驱动(驱动程序即添加到操作系统中的一小块代码,其中包含有关硬件设
备的信息)程序发ARP欺骗包的控制者”
“%windows%\System32\msitinit.dll”(window xp 系统目录为:“C:WINDOWS\System32\ msitinit.dll”)
4、删除以下”病毒(一种具有隐蔽性破坏性传染性的恶意代码)的假驱动(驱动程序即添加到操作系统中的一小块代码,其中包含有关硬件设备的信息)程序”的注册表服务项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
最后重起电脑就可以了~
单选题 1、下面,关于信息泄露,说法正确的是____。 A.信息的泄露只在信息的传输过程中发生 B.信息的泄露只在信息的存储过程中发生 C.信息的泄露在信息的传输和存储过程中都会发生 D.当信息加密后,在信息的传输和存储过程中就不再会发生信息泄露答案:C 2、下面,不是360安全卫士的重要功能的是______。 A.系统修复 B.木马防火墙 C.软件管家 D.系统升级 答案:D 3、计算机安全属性中的可用性是指_______。 A.得到授权的实体在需要时能访问资源和得到服务 B.网络速度要达到一定的要求 C.软件必须功能完整 D.数据库的数据必须可靠 答案:A 4、下面说法正确的是____。 A.信息的泄露在信息的传输和存储过程中都会发生 B.信息的泄露在信息的传输和存储过程中都不会发生 C.信息的泄露只在信息的传输过程中发生 D.信息的泄露只在信息的存储过程中发生 答案:A 5、一个未经授权的用户访问了某种信息,则破坏了信息的_____。 A.不可抵赖性 B.完整性 C.可控性 D.可用性 答案:C 6、下面,不能有效预防计算机病毒攻击的做法是______。 A.定时开关计算机 B.定期备份重要数据 C.定期用防病毒软件杀毒 D.定期升级防病毒软件 答案:A 7、下面,不是信息安全所包含的内容是______。 A.要保障信息不会被非法阅读 B.要保障信息不会被非法修改 C.要保障信息不会被非法泄露 D.要保障信息不会被非法使用
答案:D 8、下面能有效预防计算机病毒的方法是______。 A.尽可能地多做磁盘碎片整理 B.及时升级防病毒软件 C.尽可能地多做磁盘清理 D.把重要文件压缩存放 答案:B 9、下列不属于可用性服务的技术是_____。 A.备份 B.身份鉴别 C.在线恢复 D.灾难恢复 答案:B 10、下面并不能有效预防病毒的方法是_______。 A.尽量不使用来路不明的U盘 B.使用别人的U盘时,先将该U盘设置为只读属性 C.使用别人的U盘时,先将该U盘用防病毒软件杀毒 D.别人要拷贝自己的U盘上的东西时,先将自己的U盘设置为只读属性答案:B 11、下面关于系统更新说法正确的是______。 A.其所以系统需要更新是因为操作系统存在着漏洞 B.系统更新后,可以不再受病毒的攻击 C.即使计算机无法上网,系统更新也会自动进行 D.所有的更新应及时下载安装,否则系统会很快崩溃 答案:A 12、计算机安全属性中的保密性是指_______。 A.用户的身份要保密 B.用户使用信息的时间要保密 C.用户使用的主机号要保密 D.确保信息不暴露给未经授权的实体 答案:D 13、在以下人为的恶意攻击行为中,属于主动攻击的是________。 A.截获数据包 B.数据窃听 C.数据流分析 D.身份假冒 答案:D 14、下面,说法正确的是_______。 A.计算机安全既包括硬件资源的安全、软件资源的安全以及系统安全 B.计算机安全包括除上述所说的内容外,还包括计算机工作人员的人身安全 C.计算机安全技术对安装了盗版软件的计算机无能为力 D.对未联网的计算机而言,计算机安全技术就是做好防病毒工作 答案:A 15、关于防火墙的功能,说法错误的是_____。
高手教你如何清除局域网中的ARP病 毒 作者: , 出处:IT专家网论坛,责任编辑: 吕烨, 2007-05-23 15:27 现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。 ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误; 局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。 处理办法 通用的处理流程 1.先保证网络正常运行 方法一:编辑一个***.bat文件内容如下: arp.exe s **.**.**.**(网关ip) **** ** ** ** **( 网关MAC地址) end 让网络用户点击就可以了!
第9部分计算机安全与职业道德判断题 (1) .[T]宏病毒可感染PowerPoint或Excel文件。 (2) .[T]计算机病毒在某些条件下被激活之后,才开始起干扰破坏作用。 (3) .[T]对重要程序或数据要经常备份,以便感染上病毒后能够得到恢复。 (4) .[T]当发现病毒时,它们往往已经对计算机系统造成了不同程度的破坏,即使清除了病毒,受到破坏的内容有时也很难恢复。因此,对计算机病毒必须以预防为主。 (5) .[F]计算机病毒只会破坏软盘上的数据和文件。 (6) .[T]计算机病毒也是一种程序,它能在某些条件下激活并起干扰破坏作用。 (7) .[F]计算机只要安装了防毒、杀毒软件,上网浏览就不会感染病毒。 (8) .[F]若一台微机感染了病毒,只要删除所有带毒文件,就能消除所有病毒.。 (9) .[F]若一张软盘上没有可执行文件,则不会感染病毒。 (10) .[F]CIH病毒能够破坏任何计算机主板上的BIOS系统程序。 (11) .[T]开机时应先开显示器后开主机电源,关机时应先关主机后关显示器电源。 (12) .[T]冷启动和热启动的区别是主机是否重新启动电源以及是否对系统进行自检。 (13) .[T]1991年我国首次颁布了《计算机软件保护条例》。 (14) .[T]由于盗版软件的泛滥,使我国的软件产业受到很大的损害。 (15) .[T]计算机职业道德包括不应该复制或利用没有购买的软件,不应该在未经他人许可的情况下使用他人的计算机资源。 (16) .[T]远程医疗、远程教育、虚拟现实技术、电子商务、计算机协同工作等是信息应用的新趋势。 (17) .[T]IT行业有一条法则恰如其分的表达了“计算机功能、性能提高”的发展趋势。这就是美国Intel 公司的创始人摩尔提出的“摩尔法则”。 (18) .[T]根据计算机领域十分着名的摩尔法则,芯片上能够集成的晶体管数量每18~月将增加1倍。 第9部分计算机安全与职业道德单选 (1) .[C]关于计算机病毒,正确的说法是______。 (A) 计算机病毒可以烧毁计算机的电子元件 (B) 计算机病毒是一种传染力极强的生物细菌 (C) 计算机病毒是一种人为特制的具有破坏性的程序 (D) 计算机病毒一旦产生,便无法清除 (2) .[D]防止计算机中信息被窃取的手段不包括______。 (A) 用户识别 (B) 权限控制 (C) 数据加密 (D) 病毒控制 (3) .[D]计算机感染病毒后,症状可能有______。 (A) 计算机运行速度变慢 (B) 文件长度变长 (C) 不能执行某些文件 (D) 以上都对 (4) .[C]防止软磁盘感染计算机病毒的有效方法是______。 (A) 保持计算机机房清洁 (B) 在软磁盘表面擦上酒精 (C) 使软磁盘处于写保护状态 (D) 软磁盘贴上标签,写好使用日期
最近流行的ARP病毒彻底清除方法 1、删除”病毒(一种具有隐蔽性破坏性传染性的恶意代码)组件释放者”程序: “%windows%\System32\LOADHW.EXE”(window xp 系统目录为:“C:\WINDOWS\Syst em32\LOADHW.EXE”) 2、删除”发ARP欺骗包的驱动(驱动程序即添加到操作系统中的一小块代码,其中包含 有关硬件设备的信息)程序” (兼“病毒(一种具有隐蔽性破坏性传染性的恶意代码)守护程序”): “%windows%\System32\drivers\n pf.sys”(window xp 系统目录为:“C:\WINDOWS\Syste m32\drivers\npf.sys”) 2、npf.sys病毒手工清除方法 3、病毒的查杀有很多种方式,下面就让我们来介绍一下手工查杀的方法。 4、npf.sys(%system32/drivers/npf.sys)是该npf病毒主要文件,病毒修改注册表创建系统服务 NPF实现自启动,运行ARP欺骗,在病毒机器伪造MAC地址时,不停地向各个机器发送ARP包堵塞网络,使得传输数据越来越慢,并且通过伪掉线来使用户重新登陆游戏,这样它就可以截取局域所有用户登陆游戏时的信息数据。 5、该病毒往往造成网络堵塞,严重时造成机器蓝屏!!!!。开始杀毒: 6、1.首先删除%system32/drivers/下的npf.sys文件 7、2.进入注册表删除 8、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf服务。 9、同时删除 10、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY-NPF 11、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY-NPF 12、 3.删这两键时,会提示无法删除,便右键,权限,设everyone控制,删除。 13、 14、 a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备” b. 在设备树结构中,打开”非即插即用….” c. 找到“NetGroup Packet Filter Driver”或“NetGroup Packet Filter” ,若没找到,请先刷新设 备列表 d. 右键点击“NetGroup Packet Filter Driver”或“NetGr oup Packet Filter”菜单,并选择”卸 载” e. 重启windows系统 f. 删除“%windows%\System32\drivers\npf.sys”(window xp系统目录为:“C:WINDOWS\ System32\drivers\npf.sys”) 3、删除”命令驱动(驱动程序即添加到操作系统中的一小块代码,其中包含有关硬件设 备的信息)程序发ARP欺骗包的控制者”
计算机病毒 1.下面哪个渠道不是计算机病毒传染的渠道? A: 硬盘 B: 计算机网络 C: 操作员身体感冒 D: 光盘 2.下面哪种恶意程序对网络威胁不大? A: 计算机病毒 B: 蠕虫病毒 C: 特洛伊木马 D: 死循环脚本 3.计算机病毒的主要危害有 A: 干扰计算机的正常运行 B: 影响操作者的健康 C: 损坏计算机的外观 D: 破坏计算机的硬件 4.计算机病毒是一种______。 A: 微生物感染 B: 化学感染 C: 特制的具有破坏性的程序 D: 幻觉 5.计算机病毒的特点具有___。 A: 传播性,潜伏性,破坏性 B: 传播性,破坏性,易读性 C: 潜伏性,破坏性,易读性 D: 传播性,潜伏性,安全性 6.计算机病毒的主要特点是 A: 人为制造,手段隐蔽 B: 破坏性和传染性 C: 可以长期潜伏,不易发现 D: 危害严重,影响面广 7.计算机病毒是一种 A: 特殊的计算机部件 B: 游戏软件 C: 人为编制的特殊程序 D: 能传染的生物病毒 8.下面哪种属性不属于计算机病毒? A: 破坏性 B: 顽固性 C: 感染性 D: 隐蔽性 9.下面哪种功能不是放火墙必须具有的功能?
A: 抵挡网络入侵和攻击 B: 提供灵活的访问控制 C: 防止信息泄露 D: 自动计算 10.计算机病毒是一种___。 A: 幻觉 B: 程序 C: 生物体 D: 化学物 11.下列叙述中正确的是 A: 计算机病毒只传染给可执行文件 B: 计算机软件是指存储在软盘中的程序 C: 计算机每次启动的过程之所以相同,是因为RAM 中的所有信息在关机后不会丢失 D: 硬盘虽然安装在主机箱内,但它属于外存 12.关于计算机病毒,下列说法正确的是 A: 计算机病毒是一种程序,它在一定条件下被激活,只对数据起破坏作用,没有传染性B: 计算机病毒是一种数据,它在一定条件下被激活,起破坏作用,并没有传染性 C: 计算机病毒是一种程序,它在一定条件下被激活,起破坏作用,并有极强的传染性,但无自我复制能力 D: 计算机病毒是一种程序,它在一定条件下被激活,破坏计算机正常工作,并有极强的传染性 13.目前最好的防病毒软件的作用是 A: 检查计算机是否染有病毒,消除已感染的任何病毒 B: 杜绝病毒对计算机的感染 C: 查出计算机已感染的任何病毒,消除其中的一部分 D: 检查计算机是否染有病毒,消除已感染的部分病毒 14.下列说法中错误的是___。 A: 计算机病毒是一种程序 B: 计算机病毒具有潜伏性 C: 计算机病毒是通过运行外来程序传染的 D: 用防病毒卡和查病毒软件能确保微机不受病毒危害 15.关于计算机病毒的传播途径,不正确的说法是___。 A: 通过软件的复制 B: 通过共用软盘 C: 通过共同存放软盘 D: 通过借用他人的软盘 16.防火墙技术主要用来 A: 减少自然灾害对计算机硬件的破坏 B: 监视或拒绝应用层的通信业务 C: 减少自然灾害对计算机资源的破坏 D: 减少外界环境对计算机系统的不良影响 17.宏病毒是随着Office 软件的广泛使用,有人利用宏语言编制的一种寄生于_____的宏中 的计算机病毒。 A: 应用程序
手把手教你如何清除局域网中的ARP病毒 如今局域网中感染ARP病毒的状况比拟多,整理和防备都比拟艰难,给不少的网络办理员造成了许多的困惑。下面就是个人在处置这个难题的一些经历,一起也在网上翻阅了不少的参考资料。 ARP病毒的表现 有时分无法正常上彀,有时分有好了,包含拜访网上邻居也是如此,复制文件无法完结,呈现过错;局域网内的ARP包爆增,运用ARP查询的时分会发现不正常的MAC地址,或许是过错的MAC地址对应,还有就是一个MAC地址对应多个IP的状况也会有呈现。ARP进犯的原理ARP诈骗进犯的包通常有以下两个特色,满意之一可视为进犯包报警:榜首以太网数据包头的源地址、方针地址和ARP数据包的协议地址不匹配。或许,ARP数据包的发送和方针地址不在本人网络网卡MAC数据库内,或许与本人网络MAC数据库MAC/IP不匹配。这些通通榜首时间报警,查这些数据包(以太网数据包)的源地址(也有能够假造),就大致晓得那台机器在建议进犯了。如今有网络办理东西比方网络执法官、P2P终结者也会运用相同的方法来伪装成网关,诈骗客户端对网关的拜访,也就是会获取发到网关的流量,然后完成网络流量办理和网络监控等功能,一起也会对网络办理带来潜在的损害,就是能够很简单的获取用户的暗码等关联信息。 处置方法 通用的处置流程 1.先包管网络正常运转 方法一:修改一个***.bat文件内容如下: arp.exes**.**.**.**(网关ip)************(网关MAC地址)end 让网络用户点击就能够了! 方法二:修改一个注册表难题,键值如下: WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVers ion\Run]"MAC"="arps网关IP地址网关MAC地址" 然后保管成Reg文件今后在每个客户端上点击导入注册表。 2.找到感染ARP病毒的机器 a、在电脑上ping一下网关的IP地址,然后运用ARP-a的指令看得到的网关对应的MAC地址能否与实际状况相符,如不符,可去查找与该MAC地址对应的电脑。 b、运用抓包东西,剖析所得到的ARP数据报。有些ARP病毒是会把通往网关的途径指向本人,有些是宣布虚伪ARP回答包来混杂网络通信。最新电影https://www.doczj.com/doc/1d1942955.html,榜首种处置比拟简单,第二种处置比拟艰难,若是杀毒软件不能正确辨认病毒的话,往往需求手艺查找感染病毒的电脑和手艺处置病毒,比拟艰难。 c、运用MAC地址扫描东西,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判别感染ARP 病毒对应MAC地址和IP地址。 预防措施 1、及时晋级客户端的操作系统和应用程式补丁;
计算机病毒的主要危害有: 1.病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒(D1SK KILLER),内含计数器,在硬盘染毒后累计开机时间48小时内激发,激发的时候屏幕上显示“Warning!! Don'tturn off power or remove diskette while Disk Killer is Prosessing!” (警告!D1SK KILLER ll1在工作,不要关闭电源或取出磁盘),改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复,不要轻易放弃。 2.占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS功能进行传染,这些DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。 3.抢占系统资源除VIENNA、CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发,总是修改一些有关的中断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。 4.影响计算机运行速度病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在: (1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视,这相对于计算机的正常运行状态既多余又有害。 (2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态,CPU 每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行;而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。 (3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢,而且软盘正常的读写顺序被打乱,发出刺耳的噪声。 5.计算机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力,经过长时间调试完善,软件才能推出。但在病毒编制者看来既没有必要这样
局域网中了ARP病毒不断遭到攻击怎么查出是哪个机器中的病毒? 问题补充:我家是局域网整个楼用这一个网。。 那天突然出现无数IP攻击。。显示网关欺骗(我用的360ARP防火墙) 我都拦截了但是还是严重影响了网络。。经常导致掉线。。。 每天都有好多IP攻击。有时候一个IP就攻击上万次。 我从网上查了是某个机器了ARP病毒但是我的机器没中 第一想知道怎么能查出是哪个机器中了ARP病毒。 第二是怎么能防御使我的机器不掉线。。 高手来帮忙下。。小妹谢了现在玩个游戏都不行。,挺郁闷。。 问题补充:如何在客户机运行路由跟踪命令。。 满意答案好评率:100% 一、首先诊断是否为ARP病毒攻击 1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击“开始”按钮 - 选择“运行” - 输入“cmd” 点击"确定"按钮,在窗口中输入“arp -a”命令)如果发现网关的MAC 地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。 2、利用Anti ARP Sniffer软件查看(详细使用略)。 二、找出ARP病毒主机 1、用“arp –d”命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的arp –a命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,windows中有ipconfig/all命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以取到PC的真实IP地址和MAC地址。 命令:“nbtscan -r 192.168.80.0/24”(搜索整个192.168.80.0/24网段, 即 192.168.80.1-192.168.80.254);或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段,即192.168.80.25-192.168.80.137。输出结果第一列是IP地址,最后一列是MAC地址。这样就可找到病毒主机的IP地址。 2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:tracert –d https://www.doczj.com/doc/1d1942955.html,,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。 当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。 三、处理病毒主机 1、用杀毒软件查毒,杀毒。 2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒) 四、如何防范ARP病毒攻击 1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC 地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
1.描述计算机病毒的概念和特征 答:在《计算机信息系统安全保护条例》中明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。其特征有:1、可执行性;2. 寄生性;3. 诱惑欺骗性;4. 非授权性;5. 针对性;6. 衍生性;7. 传染性;8. 潜伏性;9. 可触发性;10. 隐蔽性;11. 破坏性; 12. 持久性;13. 不可预见性 2.叙述计算机病毒的四大功能模块及其作用。 答:1、感染标志;2、引导模块;3感染模块;4、破坏表现模块 引导模块是感染、破坏表现模块的基础; 感染模块是病毒的核心; 破坏表现模块依赖感染模块扩大攻击的范围。 3.描述宏病毒、脚本病毒、木马和蠕虫的特征,及其防范策略。答:宏病毒是使用宏语言编写的恶意程序。或者说是利用宏语言编写的一个或多个具有病毒特点的宏的集合。 1、office文档大量使用,传播快; 2、宏语言编写方便,变种多; 3、宏语言可以调用系统函数,破坏性大; 4、Office文档可以再不同平台使用,多平台感染。 1、在Normal模板发现有AutoOpen或Document_Open、Document_Close 等自动宏,而自己又没有加载,这就有可能有病毒了。 2、禁止所有自动执行的宏。
3、提高office软件自身对宏的审核与限制。如:Word菜单\工具\宏\安全性\有两个选项:安全级应为“中及其以上”, 4、可靠发行商应不信任对VB项目的访问。 5、提高office软件自身对宏的审核与限制。 6、对于已染毒的模板文件(Normal.dot),应先将其中的自动宏清除,然后将其置成只读方式。 7、对于其他已染毒的文件均应将自动宏清除。 8、对于在另存菜单中只能以模板方式存盘.或者无法使用“另存为(Save As)”,或不能再被转存为其它格式的文件。 9、平时使用时要加强预防。对来历不明的宏最好删除。 10、安装反病毒软件。 脚本病毒是用脚本语言(如VBscript、Javascript、PHP等)编写而成的恶意代码。 脚本语言的特点: 1.语法结构简单。 2.学习使用容易。 3.以解释方式执行。 4.开发较快,广泛使用。 5.执行较慢。 一般防范: 1.卸载VB脚本依赖的WSH。 2.增强IE安全设置。
如何能够快速检测定位出局域网中的ARP病毒电脑?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。 识别ARP 可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确的网关IP地址和MAC地址,并且实时监控来自全网的ARP数据包。当发现有某个ARP数据包广播,来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候,ARP欺骗发生了。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。 一般情况下,被ARP被攻击后,局域网内会出现以下两种现象: 1、不断弹出―本机的XXX段硬件地址与网络中的XXX段地址冲突‖的对话框。 2、计算机不能正常上网,出现网络中断的症状。 很多管理员认为有高级功能防火墙,可以得到相应的保护,恰恰相反,防火墙会误以为这是正常的请求数据包,不予拦截。由此而见,需要我们找到问题根源,找到源头,才能真正解决问题所在。当你的局域网内出现上面症状后,根据局域网大小,方可使用以下三种方法来检测ARP中毒电脑: 检测ARP攻击 一、工具软件法:网上已经有很多ARP病毒定位工具软件,目前网络中做得较好的是ARP防火墙。打开ARP防火墙,输入网关IP地址后,再点击红色框内的―枚举MAC‖按钮,即可获得正确网关的MAC地址,接着点击―自动保护‖按钮,即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。 二、命令行法:在受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,在cmd命令提示行下输入查询命令为arp -a。这时,由于这个电脑的ARP表是错误的记录,因此,该MAC 地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时在根据全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。如果我们没有对IP地址和MAC地址进行绑定,甚至MAC地址也没有记录,此时就可以使用以下策略:在能上网的计算机上,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来;如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,再运行arp –a。 三、Sniffer 抓包嗅探法:当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动。局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。如此台192.168.0.109 电脑正是一个ARP中毒电脑。 此时利用网络监视器就可以抓取网络中的数据包,先查出发送arp数据的电脑的IP(可能是假的)及MAC 地址,然后找对应的机器就很容易找到中毒的机器了。 ARP病毒的清除 处理原则:及时恢复网络,再查找根源,最后清除病毒。 比如:有一台计算机中ARP病毒后,第一时间不能确定具体的那台计算机,这种情况下,可先保证网络正常运行:
计算机病毒知识测试题(单选) 姓名得分: 注:每题5分,满分100分 1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确B)只有(2)正确 C)(1)和(2)都正确D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 4.计算机病毒造成的危害是_____ A)使磁盘发霉B)破坏计算机系统 C)使计算机内存芯片损坏D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病B)会感染致病 C)不会感染D)会有厄运 7.以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8.下列4项中,不属于计算机病毒特征的是______ A)潜伏性B)传染性C)激发性D)免疫性 9.下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒
一招绝杀ARP病毒 信不信由你,对于一般网络来讲,95%以上的问题都是发生在内网。现实中,很难想象外部人员攻破了防火墙,进到内网转了一圈然后扬长而去这样的事情发生。事情往往是这样的,一台电脑因上网或使用U盘中了毒,然后以它为“中心”影响到了公司内网;或有不轨之徒,将未授权的电脑轻松地接入了内网,因为内网没有任何安全策略,导致所有资源一览无余,同时TA还可以进行一些破坏活动,比如ARP攻击。 如何才能让内网变得更加安全?其实答案非常简单——牢牢管住每台交换机上的每个端口。对交换机端口实施有效的管理,其目的是抑制存在风险的流量进入网络,只要做到这一点,什么ARP攻击,DHCP攻击等等,一切都将是浮云。要知道,在内网中搞破坏其实很简单,所以我们必须具备一定的风险防御手段。 飞鱼星防攻击安全联动系统(ASN) 注解:当路由器发现内网有SYN FLOOD类别的DDoS攻击时,它会将管理指令发给交换机,交换机在相关端口执行命令,关闭攻击源所在的端口,并实施5分钟的断网惩罚,以保护整体网络的安全和稳定。 今天我们要介绍的不是一款产品,而是一套方案——飞鱼星防攻击安全联动系统(ASN)。ASN系统由路由器和交换机两部分组成,由于引入了交换机,所以这套系统可以将管理策略延伸至网络的末端,也就是交换机的每个端口上。除了“延伸”了可管理性,ASN系统的另一大特点是设备间的联动,只需将交换机接入网络,路由器就可以自动查找
并接管交换机。这种设计的一大优势就是简化管理,试想,也许管理1台交换机很容易,但如果是10台交换机,甚至是更大型的网络该怎么办?集中管理手段还是很必要的。 飞鱼星 6200图片评测论坛报价网购实价 我们先来看一下ASN联动系统的核心组件——路由器。本次试用我们拿到的是Volans-6200,这是一款全千兆多WAN防火墙宽带路由器,针对网吧应用进行了大量优化。6200内置了64位处理器,1G主频,内存达到了256M,最高支持40万条网络会话。6200提供2个千兆WAN口,4个千兆LAN口,这样的配置可完全满足网吧核心千兆组网的需求,而且为日后网络扩容提供了足够的性能冗余,典型带机量为400台左右。
计算机病毒 1. 下面哪个渠道不是计算机病毒传染的渠道? A: 硬盘 B: 计算机网络 C: 操作员身体感冒 D: 光盘 2. 下面哪种恶意程序对网络威胁不大? A: 计算机病毒 B: 蠕虫病毒 C: 特洛伊木马 D: 死循环脚本 3. 计算机病毒的主要危害有 A: 干扰计算机的正常运行 B: 影响操作者的健康 C: 损坏计算机的外观 D: 破坏计算机的硬件 4. 计算机病毒是一种______。 A: 微生物感染 B: 化学感染 C: 特制的具有破坏性的程序 D: 幻觉 5. 计算机病毒的特点具有___。 A: 传播性,潜伏性,破坏性 B: 传播性,破坏性,易读性 C: 潜伏性,破坏性,易读性 D: 传播性,潜伏性,安全性 6. 计算机病毒的主要特点是 A: 人为制造,手段隐蔽 B: 破坏性和传染性 C: 可以长期潜伏,不易发现 D: 危害严重,影响面广 7. 计算机病毒是一种 A: 特殊的计算机部件 B: 游戏软件 C: 人为编制的特殊程序 D: 能传染的生物病毒 8. 下面哪种属性不属于计算机病毒? A: 破坏性 B: 顽固性 C: 感染性 D: 隐蔽性 9. 下面哪种功能不是放火墙必须具有的功能?
A: 抵挡网络入侵和攻击 B: 提供灵活的访问控制 C: 防止信息泄露 D: 自动计算 10. 计算机病毒是一种___。 A: 幻觉 B: 程序 C: 生物体 D: 化学物 11. 下列叙述中正确的是 A: 计算机病毒只传染给可执行文件 B: 计算机软件是指存储在软盘中的程序 C: 计算机每次启动的过程之所以相同,是因为RAM中的所有信息在关机后不会丢失 D: 硬盘虽然安装在主机箱内,但它属于外存 12. 关于计算机病毒,下列说法正确的是 A: 计算机病毒是一种程序,它在一定条件下被激活,只对数据起破坏作用,没有传染性 B: 计算机病毒是一种数据,它在一定条件下被激活,起破坏作用,并没有传染性 C: 计算机病毒是一种程序,它在一定条件下被激活,起破坏作用,并有极强的传染性,但 无自我复制能力 D: 计算机病毒是一种程序,它在一定条件下被激活,破坏计算机正常工作,并有极强的传 染性 13. 目前最好的防病毒软件的作用是 A: 检查计算机是否染有病毒,消除已感染的任何病毒 B: 杜绝病毒对计算机的感染 C: 查出计算机已感染的任何病毒,消除其中的一部分 D: 检查计算机是否染有病毒,消除已感染的部分病毒 14. 下列说法中错误的是___。 A: 计算机病毒是一种程序 B: 计算机病毒具有潜伏性 C: 计算机病毒是通过运行外来程序传染的 D: 用防病毒卡和查病毒软件能确保微机不受病毒危害 15. 关于计算机病毒的传播途径,不正确的说法是___。 A: 通过软件的复制 B: 通过共用软盘 C: 通过共同存放软盘 D: 通过借用他人的软盘 16. 防火墙技术主要用来 A: 减少自然灾害对计算机硬件的破坏 B: 监视或拒绝应用层的通信业务 C: 减少自然灾害对计算机资源的破坏 D: 减少外界环境对计算机系统的不良影响 17. 宏病毒是随着Office 软件的广泛使用,有人利用宏语言编制的一种寄生于_____的宏中 的计算机病毒。 A: 应用程序
GAMETUZI MSN aipaotuzi@https://www.doczj.com/doc/1d1942955.html, ARP病毒终极解决方案 说明: 现在网络上ARP类病毒及其变种越来越多,导致网络时断时续,严重影响到公司关健业务如ARP/CRM/OA/APS等应用系统的运行。同时很多用户投诉我们网络部,而我们有苦难言。在采取了一定的技术手段后,目前一切运行正常。即使有ARP病毒发作,影响面很少。针对ARP类病毒,我个人观点如下: 一、检查ARP病毒 检查网络中是否有ARP类病毒,有如下方法: 1、在PC电脑上,输入arp –a 如果看到的网关的MAC和实际不一样,则可 以是感染了ARP类病毒 2、在中心交换机上,输入:sh arp 看到很多IP地址对应的MAC一样,则说 明那个MAC的电脑感染了病毒(远程VPN用户的IP地址除外,因为 VPN用户拨入成功并获取IP地址后,IP对应的是VPN服务器上的MAC 地址) 3、也可以在路由器或交换机上使用debug arp查看或sh logging显示有IP地 址冲突信息 4、如果网关为linux,可以使用命令:tcpdump -nn –i eth0 arp检测,如果出 现如下信息,则说明192.168.0.2感染了arp病毒。 15:01:53.597121 arp who-has 192.168.0.1 tell 192.168.0.2 15:01:53.597125 arp who-has 192.168.0.1 tell 192.168.0.2 15:01:53.617436 arp who-has 192.168.0.2 tell 192.168.0.2 15:01:53.617440 arp who-has 192.168.0.2 tell 192.168.0.2
1现代社会中人们把()做为构成世界的三大要素: A物质、能量、知识 B物质、能量、信息 C财富、能量、知识 D精神、物质、知识 2、不属于信息的主要特征的是()。 (A)普遍性 (B)科学性 (C)依附性 (D)共享性 3、判断信息的价值可以从信息的 ( ) 进行判断。 (A)多样性、时效性 (B)准确性、客观性、权威性、时效性和适用性 (C)时效性、公开性 (D)共享性、权威性 4、小红同学在做一份电子报刊时,上网查找了一些资料,这是()过程。 A.信息的存储B.信息的收集C.信息的传递D.信息的处理 5、现代信息技术的核心是() A、计算机和网络通信技术 B、计算机技术 C、传感技术 D、多媒体技术 5、不同的信息在计算机中都是以()数据存储的。 A.十六进制 B.十进制 C.八进制 D.二进制 6、十进制数110与二进制数11111哪个大?() A.不是同一进制的数,无法比较 B.十进制数110大 C.二进制数11111大 D.一样大 7、下列可以表达和传递信息的是( ) A、只有文字 B、只有符号和语言 C、只有信号、指令和代码 D、语言、文字、符号、信号、指令、代码等都可以 8、信息技术是指( ) A、信息的获取和存储过程中所涉及的相关技术 B、信息的加工处理、传递、利用和服务过程中所涉及的相关技术 C、信息的获取、存储、加工处理、传递、利用和服务 D、信息的获取、存储、加工处理、传递、利用和服务过程中所涉及的相关技术 8.[ ]关于计算机病毒,正确的说法是______。 (A)计算机病毒可以烧毁计算机的电子元件 (B)计算机病毒是一种传染力极强的生物细菌 (C)计算机病毒是一种人为特制的具有破坏性的程序 (D)计算机病毒一旦产生,便无法清除 9.[ ]防止计算机中信息被窃取的手段不包括 ______。 (A)用户识别 (B)权限控制 (C)数据加密 (D)病毒控制 10.[ ]计算机感染病毒后,症状可能有______。 (A)计算机运行速度变慢 (B)文件长度变长 (C)不能执行某些文件 (D)以上都对 11.[ ]防止软磁盘感染计算机病毒的有效方法是______。 (A)保持计算机机房清洁 (B)在软磁盘表面擦上酒精 (C)使软磁盘处于写保护状态 (D)软磁盘贴上标签,写好使用日期 12.[ ]计算机病毒的特点是______。 (A)传播性、潜伏性和破坏性 (B)传播性、潜伏性和易读性 (C)潜伏性、破坏性和易读性 (D)传播性、潜伏性和安全性 13.[ ]为了预防计算机病毒,应采取的正确步骤之一是______。 (A)每天都要对硬盘和软盘进行格式化 (B)决不玩任何计算机游戏 (C)不同任何人交流 (D)不用盗版软件和来历不明的磁盘 14.[ ]计算机病毒会造成计算机______的损坏。 (A)硬件、程序和数据 (B)硬件和程序 (C)程序和数据 (D)硬件和数据
ARP病毒专杀工具,ARP病毒入侵原理和解决方案 【故障原因】 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么,嗅探成功。 A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C 连接不上了。D对接收到A发送给C的数据包可没有转交给C。 做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。