以下的文章主要向大家描述的是ARP病毒攻擊技術分析和防御在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉換為第二層物理地址（即MAC地址）的，以下就是具體內容的描述，希望在你今后的學習中會有所幫助?！?/p>

Part1. 病毒現(xiàn)象

中毒機器在局域網(wǎng)中發(fā)送假的APR應答包進行APR欺騙, 造成其他客戶機無法獲得網(wǎng)關和其他客戶機的網(wǎng)卡真實MAC地址,導致無法上網(wǎng)和正常的局域網(wǎng)通信.

Part2. 病毒原理分析:

病毒的組件

本文研究的病毒樣本有三個組件構成:

%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes) ….. ”病毒組件釋放者”

%windows%\System32\drivers\npf.sys(119,808 bytes) ….. ”發(fā)ARP欺騙包的驅動程序”

%windows%\System32\msitinit.dll (39,952 bytes)…”命令驅動程序發(fā)ARP欺騙包的控制者”

病毒運作基理:

1.LOADHW.EXE 執(zhí)行時會釋放兩個組件npf.sys 和msitinit.dll .

LOADHW.EXE釋放組件后即終止運行.

注意: 病毒假冒成winPcap的驅動程序,并提供winPcap的功能. 客戶若原先裝有winPcap,

npf.sys將會被病毒文件覆蓋掉.

以上的相關內容就是對ARP病毒攻擊技術分析與防御的介紹，望你能有所收獲。

上述的相關內容就是對ARP病毒攻擊技術分析與防御的描述，希望會給你帶來一些幫助在此方面。