为你改变一生

ARP欺骗方式分为二种:ARP欺骗方式一:广播错误的网关MAC,以使PC找到不真正的网关.(根本的解决方法:每台PC上作静态ARP设定)ARP欺骗方式二:欺骗网关,告诉它错误的终端MAC,以使数据收不回来.(通常的解决办法:路由器为每台作IP,MAC绑定.《我是网管》论坛，中国最大的网管交流阵营！-M }GMO?6t:y

论坛现在频繁掉线的网吧很多.但为何掉线.许多网管朋友.不是很清楚.网吧掉线的原因很多.现在我给大家讲一下现在很流行的一种木马.<传奇网吧杀手>.基本上东北地区的网吧都被这一木马弄的身心疲惫.但是现在有解决的方法了.D| FLK8FQ
中病毒特征: 网吧不定时的掉线.(重启路由后正常),网吧局域网内有个别机器掉线.网管,网吧,网管天书,网络,病毒,木马,安全,软件,论坛&ug'D+M]'s;e
木马分析 : 传奇杀手木马,是通过ARP欺骗,来或取局域网内发往外网的数据.从而截获局域内一些网游的用户名和密码.
木马解析:中木马的机器能虚拟出一个路由器的MAC地址和路由器的IP.当病毒发作时,局域网内就会多出一个路由器的MAC地址.内网在发往外网的数据时,误认为中木马的机器是路由器,从而把这些数据发给了虚拟的路由器.真正路由器的MAC地址被占用.内网的数据发出不去.所以就掉线了.
守先你下载一个网络执法官,他可以监控局域网内所有机器的MAC地址和局域网内的IP地址.在设置网络执法官时.你必须将网络执法官的IP段设置和你内网的IP段一样.比如说:你的内网IP是192.168.1.1------192.168.1.254你的设置时也要设置192.168.1.1------192.168.1.254.设置完后,你就会看到你的内网中的MAC地址和IP地址.从而可以看出哪台机器中了木马.(在多出的路由器MAC地址和IP地址和内网机器的IP地址,MAC地址一样的说明中了传奇网吧杀手)要是不知道路由器的MAC地址,在路由器的设置界面可以看到.发现木马后.你还要下载瑞星2006最新版的杀病毒软件(3月15日之后的病毒库).在下载完之后必须在安全模式下查杀(这是瑞星反病毒专家的见意)反复查杀(一般在四次就可以了)注意查完后杀病毒软件不要卸载掉.观查几天(这是我个人的经验.在卸后第三天病毒还会死灰复燃)最好主机安装上网络执法官,这样可以时时监控局域网内的动态,发现木马后可以及时做出对策)- 畅通网络 因为有我0H        j
C&X.E&?._;S
下面是传奇网吧杀手木马的文件:网管,网吧,网管天书,网络,病毒,木马,安全,软件,论坛;Z_"^)uzYP
文件名：      文件路径：                 病毒名：《我是网管》论坛，中国最大的网管交流阵营！j2C+s:H
C
a.exe>>b.exe   c:\windows\system32       Trojan.psw.lmir.jbg网管,网吧,网管天书,网络,病毒,木马,安全,软件,论坛8kqMU CPUC
235780.dll     c:\windows\               Trojan.psw.lmir.ajiwww.54master.com;W;k.n#Q0p8zZ$n
kb2357801.log  c:\windows\               Trojan.psw.lmir.jhe《我是网管》论坛        \ qK R(sONyeov
Q98882.log     c:\windows\               Trojan.psw.lmir.jhe《我是网管》论坛)Q7V `!T5T6[GD7pSp
kb2357802.log  c:\windows\               Trojan.psw.lmir.jbg《我是网管》论坛-IiM5cM|J'j4P
Q90979.log     c:\windows\               Trojan.psw.lmir.jhe- 畅通网络 因为有我
m]&GbZzJ*zsi5yM
Q99418.log     c:\windows\               Trojan.psw.lmir.jbg
ZT.exe         c:\windows\program Files\浩方对战平台 病毒名：Trojan.dL.agent.eqv《我是网管》论坛，中国最大的网管交流阵营！&zT9K'[9gbw#P6E
a[1].exe>>b.exec:\documents and sttings\sicent\local settings\Temporary Internet Files\content.IE5\Q5g5g3uj网管,网吧,网管天书,网络,病毒,木马,安全,软件,论坛9E_*B
DB3^
病毒名:Trojan.psw.lmir.jbg(现在ARP病毒版本很多,以上病毒只做见意.)']1g5ezaZT,z4s
有需要瑞星2006 18.18.22(3月15日的版本)和网络执法官2.75注册版的软件请把邮箱留下.
(各位朋友.瑞星杀毒软件文件过大邮箱发送不了.请大家下载瑞星个人18.18.20版杀毒软件我现在给大家提供注册码.希望大家原谅.)F5Q.Y%y(DE
SN=P5V6EH-61FHJK-9G0SS7-C4D200
www.54master.com(现在的ARP木马已经有很多的版本.而且还能感染同一网段的任何一台机器(汗呀)发现时要急处理.)www.54master.com0Ej)|K{AI
j
（网络执法官可以批量MAC捆绑，到执法官的局域网MAC界面，全选后单击右键会出现批量MAC捆绑．做完捆绑以后，ARP要是在次攻击时他会报警，出现的假MAC是为非法．网络执法官会终止他的一切操作．）这样可以解决ARP在次攻击时代在发展我们也不能落后,因为此贴是针对ARP的.所以我们还要想办法针对它.以前我们走了不少的弯路.现在告诉大家一个监控ARP的好工具<欣全向ARP工具>非常好用.具体我也不说明什么自己试一下感觉就会来.嘿嘿他是专门针对ARP攻击.比网络执法官好用.为什么这么说呢.主要是因为网络执法官不是因ARP攻击而生的.欣全向ARP工具就不同了他生来就是对付ARP.发一个网卡MAC与IP绑定器.相信大家都会用吧.________________________________________________________________________________
www.54master.com以下是ARP免疫器补丁我正在研究这个程序的工作原理.等研究出来了我在发到网上....下面是ARP免疫器补丁的使用说明:www.54master.com9e2A6V1CE6i1。将这里面3个dll文件复制到C:\windows\system32 里面
 畅通网络 因为有我将npf 这个文件复制到 C:\windows\system32\drivers 里面。
将这4个文件在安全属性里改成只读。也就是不允许任何人修改。