以下的文章主要向大家描述的是ARP病毒攻擊技術(shù)分析和防御在局域網(wǎng)中，通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的，以下就是具體內(nèi)容的描述，希望在你今后的學(xué)習(xí)中會(huì)有所幫助?！?/p>

Part1. 病毒現(xiàn)象

中毒機(jī)器在局域網(wǎng)中發(fā)送假的APR應(yīng)答包進(jìn)行APR欺騙, 造成其他客戶機(jī)無(wú)法獲得網(wǎng)關(guān)和其他客戶機(jī)的網(wǎng)卡真實(shí)MAC地址,導(dǎo)致無(wú)法上網(wǎng)和正常的局域網(wǎng)通信.

Part2. 病毒原理分析:

病毒的組件

本文研究的病毒樣本有三個(gè)組件構(gòu)成:

%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes) ….. ”病毒組件釋放者”

%windows%\System32\drivers\npf.sys(119,808 bytes) ….. ”發(fā)ARP欺騙包的驅(qū)動(dòng)程序”

%windows%\System32\msitinit.dll (39,952 bytes)…”命令驅(qū)動(dòng)程序發(fā)ARP欺騙包的控制者”

病毒運(yùn)作基理:

1.LOADHW.EXE 執(zhí)行時(shí)會(huì)釋放兩個(gè)組件npf.sys 和msitinit.dll .

LOADHW.EXE釋放組件后即終止運(yùn)行.

注意: 病毒假冒成winPcap的驅(qū)動(dòng)程序,并提供winPcap的功能. 客戶若原先裝有winPcap,

npf.sys將會(huì)被病毒文件覆蓋掉.

以上的相關(guān)內(nèi)容就是對(duì)ARP病毒攻擊技術(shù)分析與防御的介紹，望你能有所收獲。

上述的相關(guān)內(nèi)容就是對(duì)ARP病毒攻擊技術(shù)分析與防御的描述，希望會(huì)給你帶來(lái)一些幫助在此方面。