[自制]双绑定防ARP病毒小程序

nickemma · 发表于 2007-5-24 14:12:00

双绑定防ARP攻击文件

现在有点事情要去忙，回来后发原理。

原理：
1、双绑定：本机绑定自己的IP及MAC；本机绑定网关的IP及MAC地址；
2、绑定自己的IP及MAC：自动判断本机的IP地址及MAC地址，然后进行绑定；
3、绑定网关的IP及MAC：自动判断本机取得网关的IP地址及MAC地址，然后进行绑定；
4、本程序是用WINRAR自解压制作，含有XP提取的ARP、PING、REG的执行文件和自己做的hold_arp、hold_go执行文件；
5、hold_arp是一个BAT批处理文件，编译为EXE执行文件。主要通过查找、绑定本机及网关功能；
6、hold_go是一个脚本程序。因为hold_arp是批处理文件编译，还有命令行下的“dos”黑框，所以用脚本启动hold_arp程序；
7、双击“双绑定防ARP攻击文件.exe”文件后，会提示信息及安装路径。文件会安装在”％SystemRoot％\system32“里面，不要修改，点击确定OK；
8、点击OK后，程序会在注册表启动键值里面添加一项，让每次系统启动同时启动该程序；
9、该程序并不会对您的系统产生任何问题，只是一个绑定IP及MAC的程序。并且使用的都是WINDOWS自带的命令，请放心使用。

结束语：本来想把该程序做成“服务”类启动，不放置在注册表中，但是最后还是放弃算了。

删除方法：
1、删除“％SystemRoot％\system32”里面的hold_arp.exe、hold_go.exe两个文件；
2、删除注册表中"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"键值下"双绑定ARP"项。

[ 本帖最后由 nickemma 于 2007-5-24 17:22 编辑 ]

ipower · 发表于 2007-5-24 14:27:44

那先下回去咯。

cwym29 · 发表于 2007-5-24 15:44:40

双绑？客户端安装以后就可以完成比绑的功能？

lumenjushi · 发表于 2007-5-24 16:55:09

下了看看再说关注搂主的原理

lumenjushi · 发表于 2007-5-24 19:46:43

我下了可是瑞星提示有病毒，说是后门程序。
晕，瑞星误报？

readgk · 发表于 2007-5-24 20:55:55

我的理解，双帮是本机上绑定自己,网关的MAC.然后在路由上绑定客户机MAC.这叫做双向绑定。

wmlian · 发表于 2007-5-24 21:01:56

同意楼上的看法

nickemma · 发表于 2007-5-25 08:07:06

上面的是我眼中的双绑，你们说的路由或者交换机再绑，在我意思是三绑。个人理解不同而已。
而且上面已经把原理写明了。你们为什么说有病毒，截图给我看！！！如果有什么问题我负责，以后再也不说话了。

zealotcc · 发表于 2007-5-25 09:18:49

论坛是大家学习的地方，既然是学习心态就平和一点，请尊重楼主的劳动，有问题可以提出来讨论

aiyaya · 发表于 2007-5-25 09:24:04

技术上的问题或者一些称谓上的问题，大家都有不同的理解，这点没有必要争论。更何况楼主一开始也说明了双绑是本机的双绑，没有欺骗大家。
至于瑞星报木马，这点我不敢肯定。但是可以肯定的是，卡巴7.0没有报。
什么时候瑞星比卡巴反映快了

再次向楼主致敬

据说瑞星是根据文件名在定义是不是木马的，也就是你把一个正常的文件名改成木马的名字，瑞星也会报成木马，不知道这次是不是

菜鸟人飞 · 发表于 2007-5-25 09:56:55

双绑还是三绑，以及楼主所提供的程序是否完成双绑的功能，我认为仅仅是理解的不同，在技术层面上都不会有任何问题。

同时，由于论坛中的大多同学都是从事技术工作的，且技术人员都异常耿直，所以在遇到这种情况时，有时会出言争执。对于此种情况，我表示理解，但同时需要提出一点：请尊重他人的劳动成果，有疑问欢迎一起讨论，但不要有恶意，辱骂甚至是人身攻击的言语出现。

所谓不打不相识，希望这样的事情，能增加论坛的技术讨论氛围，但切忌成为口角的天堂！

实话实说，很饮佩nickemma的原创精神，也很感谢nickemma的共享精神，但对于nickemma“以后再也不说话了”的言语，我不敢苟同。所谓仁者见仁，智者见智，不同的人出发点不一样，理解的结果自然也就存在差异。

请各位同学不要完全相信杀毒软件，人都有犯错的时候，难道杀毒软件比我们人类更聪明？

最后，再次点明论坛是交流和讨论的地方，在遇到问题时，希望大家都能保持平和的心态。

01234567890 · 发表于 2007-5-26 17:06:15

瑞星是垃圾！支持原创。

kitomi · 发表于 2007-5-27 23:16:03

TO:nickemma
我的毕业设计也是做和你这个类似的软件，你做的很好呀，你能把原代码发我参考一下吗？十分的感谢呀！！！要不你能帮我解决几个编程上的问题也行，行吗？？？谢谢啦～～

我的邮箱：kitomitt@sina.com

kitomi · 发表于 2007-5-28 00:41:27

TO:nickemma
你有改过ARP、PING、REG这三个执行文件吗？

chenxeon · 发表于 2007-5-28 09:31:56

回去研究研究!!!!!!!!!!!

nickemma · 发表于 2007-5-30 18:53:59

没有修改，用的是XP原版文件

nickemma · 发表于 2007-5-30 18:56:03

原帖由 kitomi 于 2007-5-27 23:16 发表
TO:nickemma
我的毕业设计也是做和你这个类似的软件，你做的很好呀，你能把原代码发我参考一下吗？十分的感谢呀！！！要不你能帮我解决几个编程上的问题也行，行吗？？？谢谢啦～～

我的邮箱：kitomitt@sina.com

源代码只是一个批处理文件！没什么牛的，而且只是用了BAT转EXE程序编译。
对于编程嘛。。。我不懂的。。呵呵。SORRY，帮不了你了。

nickemma · 发表于 2007-5-30 18:57:33

原帖由 菜鸟人飞 于 2007-5-25 09:56 发表
双绑还是三绑，以及楼主所提供的程序是否完成双绑的功能，我认为仅仅是理解的不同，在技术层面上都不会有任何问题。

同时，由于论坛中的大多同学都是从事技术工作的，且技术人员都异常耿直，所以在遇到这种情 ...

SORRY，对于这几天不在，是因为我出差了！并不是。。。。

ysdwb · 发表于 2007-5-31 22:57:25

这个双绑的程序里面的hold_go.exe在"绿鹰PC精灵4.10"出报木马,有人还碰到别的提示是木马的吗?

jeff_gx · 发表于 2007-6-5 13:43:55

好东东,收下了!谢谢~!

nwh2004 · 发表于 2007-6-11 17:08:05

好东西啊，不过在局网内使用自动判断ip及mac地址的这种办法也不一定好，虽然比较灵活，但是电脑是死的，不能判断当前所读取网关的ip_mac地址是否正确，所以会存在一些问题：
如果此时有一台中招儿的机子向局网内发包，说网关是我，当然，已经开机的用户都是绑定过正确网关的，不受影响，但是这时候新开机的用户就会因为执行绑定从而从网络中读取到这条信息，把错误的网关静态绑定到自己的arp表中，也就上不了网了。
所以我还是支持死绑网关，虽然不灵活，但是可以避开以上那种情况。
以上观点纯属个人看法，欢迎大家讨论～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

nickemma · 发表于 2007-6-11 17:28:25

原帖由 nwh2004 于 2007-6-11 17:08 发表
好东西啊，不过在局网内使用自动判断ip及mac地址的这种办法也不一定好，虽然比较灵活，但是电脑是死的，不能判断当前所读取网关的ip_mac地址是否正确，所以会存在一些问题：
如果此时有一台中招儿的机子 ...

这个问题早想到了，请看下面内容：

Rem 清除本机ARP表
%SystemRoot%\system32\arp -d >nul 2>nul
ping 网关地址 -n 1 >nul 2>nul
绑定网关MAC及IP地址

不管你电脑是否已经给ARP病毒欺骗，启动时都先清除arp表。然后在几毫秒的速度下绑定PING包出来的网关。这样应该不会马上被ARP欺骗而绑定假的网关MAC的。
如果真的这么幸运我只有恭喜您了。

wfxserver · 发表于 2007-8-9 16:05:52

我正想要。。。顶起来。。

hudeg632 · 发表于 2007-8-9 17:55:25

不错，支持了，很有用处。

想看一下你的批处理，学习了

[ 本帖最后由 hudeg632 于 2007-8-9 17:57 编辑 ]

[自制]双绑定防ARP病毒小程序

评分

评分

回复 #5 lumenjushi 的帖子

回去研究研究

回复 #14 kitomi 的帖子