我们只要在受影响的电脑中查询一下当前网关的MAC地址, 就知道中毒电脑的MAC地址了, 在cmd(Windows98中输入“command”)命令提示行下输入查询命令为arp -a。
这时, 由于这个电脑的ARP表是错误的记录, 因此, 该MAC地址不是真正网关的MAC地址, 而是中毒电脑的MAC地址!这时, 再根据网络正常时, 全网的 IP—MAC地址对照表, 查找中毒电脑的IP地址就可以了。 由此可见, 在网络正常的时候, 保存一个全网电脑的IP—MAC地址对照表是多么的重要。 建议下载使用NBTSCAN 工具扫描全网段的IP地址和MAC地址, 保存下来, 以备后用。 但是如果情形和我们校园网一样, 没有对IP地址和MAC地址进行绑订, 甚至MAC地址也没有记录, 现在就算知道了IP地址, 也无法找到病毒主机。 临时处理对策:在能上网时, 进入MS-DOS窗口, 输入命令
:arp –a
查看网关IP对应的正确MAC地址, 将其记录下来;如果已经不能上网, 则先运行一次命令arp –d将arp缓存中的内容删空, 计算机可暂时恢复上网(攻击如果不停止的话), 一旦能上网就立即将网络断掉(禁用网卡或拔掉网线), 再运行arp –a。
……