bingyan
注册用户
积分 61
发帖 61
注册 2006-12-28
|
#1 微点的MAC地址绑定功能
最近局域网老是有arp病毒.用微点进行了MAC绑定,可是仍然不行.这个绑定难道不能解决这个问题吗?请高手指点个好的方法.防arp的墙装了也没用,只是能上网,但每次还是要弹出病毒警报.没装前连网都上不成
| |
※ ※ ※ 本文纯属【bingyan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-12-27 17:07 |
|
y0365
版主
使用与技巧版主
积分 1603
发帖 1571
注册 2007-1-27
|
#2
楼主是否启用了微点的防火墙,绑定MAC地址需要启用防火墙,否则设置无效。
如果启用防火墙后仍然无效,建议查看下您绑定的mac地址是否真确,核实真实的MAC地址进行绑定,另外联系你们的网管,核查是那台主机遭到欺骗了。
| |
※ ※ ※ 本文纯属【y0365】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
乱我心者必杀之 |
|
|
|
2007-12-27 17:15 |
|
bingyan
注册用户
积分 61
发帖 61
注册 2006-12-28
|
#3
防火墙肯定是启用了的,MAC地址绝对没问题.这个绑定从理论上来说应该是可以避免这类病毒的吧??我在防火墙规则中把局域网的其它IP地址都禁止了啊,可这样还是不行
另外顺便问一下,当病毒被下回来时被微点杀掉了,可是病毒依然对系统作出了更改.包括禁用任务管理器和修改时间,修改隐藏文件不显示.那是否说明病毒在杀掉前已经运行成功呢?
[ Last edited by bingyan on 2007-12-27 at 17:31 ]
| |
※ ※ ※ 本文纯属【bingyan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-12-27 17:22 |
|
y0365
版主
使用与技巧版主
积分 1603
发帖 1571
注册 2007-1-27
|
#4
理论上绑定MAC地址可以防止这类欺骗,但是有一些情况绑定也无效,如经被欺骗,你绑定的地址是错误的
不能这样说,禁用注册表或者修改时间只需要修改简单的注册表项就可以实现,有很多软件也有这样的功能,真正的病毒不会只干这些事情的
微点拦截了病毒的危害行为,对于这几个注册表项,微点软件也提供了相应的辅助工具进行防护:
如:注册表保护: 对系统的一些关键注册表项(任务管理器)设置保护,防止病毒修改.
锁定系统时间: 打开“程序行为实时监控策略 窗口,可防止恶意程序进行修改。
如果你的任务管理器已经被锁定,可启用“注册表修改”中的解锁功能进行解锁。
如果你还有疑问,建议你发送样本至微点官方: virus@micropoint.com.cn
| |
※ ※ ※ 本文纯属【y0365】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
乱我心者必杀之 |
|
|
|
2007-12-27 17:43 |
|
bingyan
注册用户
积分 61
发帖 61
注册 2006-12-28
|
#5
也就是说微点让这个程序一直运行到他认为属病毒行为时才干掉它.如果能在程序运行时对其进行监控记录(实际上微点应该是进行监控了的,可能没记录下来).当最终确定为病毒时,再把程序所做的动作提交给用户就好了,用户就可以根据这些来修复系统.这个工作对于微点来说应该不是很大的工作量,毕竟只是在后台记录一下而已
[ Last edited by bingyan on 2007-12-27 at 17:56 ]
| |
※ ※ ※ 本文纯属【bingyan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-12-27 17:52 |
|
Beta
注册用户
积分 62
发帖 62
注册 2007-11-12
|
#6
这件事我比较有发言权。我们校园网络内曾经大肆泛滥过ARP攻击,像这种网关的IP-MAC绑定在命令行模式下也可以进行,效果不好,原因在于攻击者也会攻击网关,篡改网关的ARP缓存,使得其他客户端与网关的通讯中断。而这方面防御做得非常好的应属彩影软件的“ARP防火墙单机版,完全免费,防护效果好,只要安装后在设置里打开”安全模式“,该防火墙就会忽略所有非网关的ping,从而从其他客户端的ARP缓存中消失,使攻击者看不到你,这样就会彻底的解决这个问题。
ARP防火墙下载地址:http://www.antiarp.com/down.asp?ArticleID=80
”安全模式“这个想法不错,如果微点想在这方面完善一下的话可以考虑收入,呵呵。
| |
※ ※ ※ 本文纯属【Beta】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-12-27 18:00 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
#7
| Quote: | Originally posted by bingyan at 2007-12-27 17:52:
也就是说微点让这个程序一直运行到他认为属病毒行为时才干掉它.如果能在程序运行时对其进行监控记录(实际上微点应该是进行监控了的,可能没记录下来).当最终确定为病毒时,再把程序所做的动作提交给用户就好了,用 ... |
|
您可以参考微点的系统日志功能,里面有相应的纪录。
| |
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
|
微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息 |
|
|
|
2007-12-27 18:28 |
|
bingyan
注册用户
积分 61
发帖 61
注册 2006-12-28
|
#8
那些日志太乱了点,要能根据要求分组显示就好了
| |
※ ※ ※ 本文纯属【bingyan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-12-27 22:17 |
|
wantcm
版主
使用与技巧区消防员
积分 2351
发帖 2247
注册 2007-4-7
|
#9
ARP欺骗攻击分虚假主机和虚假客户机两种,单独绑定了服务器MAC,并不能完全解决问题,建议楼主联系网络管理员,从服务器端绑定你的IP-MAC,做到双向绑定,这样才能比较完善的解决ARP欺骗攻击。
| |
※ ※ ※ 本文纯属【wantcm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
做为斑竹,一定要消灭0回复 |
|
|
|
2007-12-27 22:54 |
|
