无忧启动论坛

标题: 关于arp病毒 [打印本页]

作者: 大少爷 时间: 2009-9-22 08:32
标题: 关于arp病毒
网上很多方法防治arp欺骗病毒,安装arp防火墙,绑定网关地址等,下面我就给大家提供一种更好更有效的办法“npptools.dll预防ARP病毒处理”

首先解释俩个问题:

提问:为什么修改npptools.dll文件权限就可以了呢？

回答:原因就是ARP欺骗病毒缺少了npptools.dll这个文件就无法运行，一但你的机器中了ARP欺骗病毒，病毒首先会去找npptools.dll文件，如果找到，则开始运行ARP欺骗病毒，如果找不到该文件，则提示npptools.dll出错，无法运行。这样即使你中了ARP欺骗病毒，病毒也没有办法运行（其实电脑病毒就是一段程序，如果病毒程序不能运行，那还怕什么呢！）。

提问:修改npptools.dll文件权限会对操作系统造成影响吗？

回答：删掉这个文件是不会对操作系统造成什么问题的，不过就是有些软件用不了，如：流光、网络执法官、X-WAY等，其实这些软件都是网管员或者黑客用来对网络进行分析的，我们普通用户根本用不到，所以不必担心。

然后我们如何处理这个文件达到arp的效果那?只限制权限吗?

1：磁盘格式前提您的磁盘必须是NTFS格式的，如果是FAT32的话请参考如下转换成NFS格式：

单击“开始”菜单→“运行“→cmd，打开命令提示符窗口，然后输入convert驱动器盘符:/fs:ntfs(如果转换不成功，可能会提示您运行磁盘修复命令CHKDSK/F，按照提示运行磁盘修复命令，然后再进行NTFS转换就行了。)。例如：

convertD:/fs:ntfs

重要说明：①从FAT转换成NTFS格式后将不会影响磁盘上的原有数据；②一旦将某个驱动器或分区转换为NTFS格式，您便无法将其恢复回FAT或FAT32格式。如需返回FAT或FAT32格式，您必须对驱动器或分区进行重新格式化，并从相应分区上删除包括程序及个人文件在内的所有数据。

2：删除寻找c:\windows\system32\npptools.dll和c:\windows\system32\dllcache\npptools.dll这俩个文件，将其删除

3：新建讲c:\windows\system32\npptools.dll和c:\windows\system32\dllcache\npptools.dll删除后新建俩个空的同名文件上去做蜜糖

4：权限右击npptools.dll文件→属性→点击“安全”选项卡（如果没有“安全”选项，工具菜单→文件夹选项→查看→将“使用简单文件共享”前面的勾去掉），把所有用户的权限设为全部拒绝即可，如图所示:

也有朋友说建议不要删除,因为有的病毒会自动生成该文件,所以你删了也没用。只有设置它的权限,这样即使病毒生成该文件，由于该文件已经存在并且没有任何的权限，所以该文件将不会被病毒覆盖或修改了.但是我这里推荐大家还是删除掉,新建俩个空的同名文件上去做蜜糖,省得意外发生,起码可以保障的是别电脑嗅探本机窃取数据.....

作者: 大少爷 时间: 2009-9-22 08:33

二、完美策略
【欧阳锋版主提供】解决中毒的机子

是用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)

但是个别防火墙会用到这个文件，如果要使用此方法，意味着放弃那款防火墙！具体哪款没试过，好像是za。

如果不想删除，可以利用组策略中的散列原理设置任何用户禁止访问此文件，具体操作参考：http://bbs.ylmf.com/read.php?tid=691888

如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.

这篇文章为何提到要把Registry.pol权限设置拒绝？而不是设置npptools.dll权限？

作者: netwinxp 时间: 2009-9-23 07:58
所谓的ARP欺骗，简单点说就是冒名顶替，你这样做也许能不“欺骗”别人，但并不能保证不被人“欺骗”，所以比较好的方法还是绑定MAC。当然最好的办法还是划VLAN，不在同一网段，arp就没得欺骗。

作者: wangmeng052 时间: 2009-12-8 21:11
安装金山arp防火墙。

作者: wangmeng052 时间: 2009-12-8 21:12
安装金山arp防火墙。

作者: ypy121 时间: 2010-4-18 13:00
arp 貌似是一个bug吧
这个病毒不好杀

作者: switch131 时间: 2010-4-20 20:06
解决内网的ARP问题最彻底就是不用ARP
别的方法都有各种各样的问题
划VLAN需要二层交换机支持
如果可能的话，还是用PPPOE拨号服务器来解决内网ARP的问题。

欢迎光临无忧启动论坛 (http://wuyou.net/)