IP地址被盗会有什么后果

家庭宽带是拨号上网，IP地址是随机给的。如果用路由的 *** ，IP手动指定的。但都是私网的IP，没什么作用。

如果路由用的是固定IP，被人盗用的话，别人可以利用一些黑客软件来攻击你，其它没什么可担心的。

我的IP地址总被别人盗取,如何防范呢,他们的 *** 是什么呢?

IP地址是由电信部门统一调配的配给物资,是共有的,不能被任何人盗取,就算盗取,那盗取的也是电信局的损失,电信会给你一个全新的IP共你使用,楼主多虑了.而且这东西都是标明身份了的,就像蒙娜丽莎的微笑和世界杯上的大力神杯,就算有人偷了去,他也不敢用,只要一使用马上就能被查出来并绳之以法,楼主就安心吧

■防止IP地址被盗策略

一般的，在一个局域网内IP地址分配的方式有绑定和动态分配两种：绑定的办法一般

是采用IP地址和网卡的MAC对应的办法进行绑定，动态分配则是在IP地址池中随即分配。在

很多时候，尤其主机要对外提供服务的时候，固定的IP地址是必须的，那么这时候IP地址

的绑

定就成了唯一的选择。但是，由于网卡的MAC地址是可以更改，而且能给被人从网上截取，

所以，如果有人恶意的修改了自己的MAC地址与你的MAC地址一样，并使用你的IP地址，那

你的IP地址就被对方成功的盗用了，导致你的机器无法联入网内。

在我校就是采用网卡的MAC地址和固定IP绑定的 *** ，目前来看都没有比较好的解决办

法，现在提出一种解决办法，不过这种办法有一个很大的要求，就是要求局域网采用Swit

cher来组建，这似乎硬件成本比较高，而且这也不是我们学生可以左右的，不过全当是一

个了解吧。

IP地址绑定也不可靠

随着Internet的发展，上网成为人们日常工作和学习的一部分，随着上网的人越来越

多，对 *** 的管理就显的益发重要起来。在 *** 管理中要求有的计算机可以连入Internet

，有的计算机不能连入Internet，连入Internet的计算机有的可以出国，有的不能出国，

满足这些要求的解决方案之一就是在路由器上将被管理的计算机的IP地址和MAC地址绑定到

一起。人们常常提到的IP地址盗用或MAC地址盗用，指的就是针对这种管理方式的黑客行为

，IP地址盗用的更形象的说法就是“他上网你付帐”，常常会给企业单位带来大量不应有

的经济损失。下面主要讨论一下这种 *** 存在的一些问题和改进措施。

标识 *** 中的一台计算机，一般至少有三种 *** ，最常用的是域名地址、IP地址和MA

C地址，分别对应应用层、 *** 层、物理层。 *** 管理一般就是在 *** 层针对IP地址进行管

理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不

可更改，所以把IP地址同MAC地址组合到一起管理就成为常见的管理方式。

用以太网卡为例，常见的关于MAC地址的说法是：“以太网卡MAC地址由六段共12位十

六进制数组成，其中前6位由国际统一管理，网卡制造厂家申请到一个或多个只有前6位的

地址后，为自己生产的网卡填入后6位，从而保证了全球 *** 物理地址（MAC地址）的唯一

性。”这种说法给人一种误解，认为作为主机标识的MAC地址不能更改或伪造，至少是很难

更改或伪造，把网卡的硬件标识同MAC地址的概念看成完全相同。这种误解导致在进行 ***

管理的时候，不加考虑就采用MAC地址于IP地址绑定的方式来防止IP地址被盗用，而不进一

步考虑是否真的符合实际情况。

一台主机的MAC地址真的不能更改吗？让我们考虑一下以太网卡的工作机制，然后再来

回答这个问题。以太网采用的工作方式是C *** A/CD技术，也就是说同一子网的所有主机上的

网卡都会收到其它机器的广播包，网卡收到广播包后放到自己的缓冲区内，由网卡的驱动

程序进行处理。常见的情况是，如果收到的报文中包含的MAC地址同此网卡的MAC地址相一

致，则将报文中数据交给上层（ *** 层）的处理软件进行处理；地址不符则丢弃报文。对

上层（ *** 层）来的数据，以太网卡驱动程序把此网卡的MAC地址同数据封装到一起组成以

太帧，然后广播出去。为了加快处理速度和考虑到其它 *** 应用，网卡的驱动程序并不是

每次处理一帧都去网卡的地址存储器中读出MAC地址，而是将MAC地址放入缓存中。这种工

作机制就决定了应用程序（或操作人员）可以用改变缓存中的数据或指定网卡驱动程序读

取某个缓存的方式来改变发送报文中包含的MAC地址或接收与本机网卡MAC地址不同的发向

其它MAC地址的报文。

例如：

在UNIX系统中，利用命令

ifconfig eth0 down //暂停网卡工作

ifconfig eth0 ether 11:22:33:44:55:66 //将此网卡MAC地址改为11:22:33:44:55:

66

ifconfig eth0 up //恢复网卡工作

在Windows9x系统中，修改注册表

在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\classes\net\000\下添

加新键NetworkAddress，键值为112233445566，然后重新启动机器。

在WindowsNT系统中，修改注册表

在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\yourNICname\下添加新

键NetworkAddress，键值为112233445566，然后重新启动机器。

当然，也可以采用物理 *** ，现在的以太网卡，其MAC地址一般写在EPROM中，用擦写E

PROM的设备就可以更改MAC地址，不过在可用软件简单的处理的情况下，采用物理 *** 意义

不大。

通过上面的讨论可以看到，对同一子网内简单的采用MAC地址同IP地址绑定的 *** ，不

一定能很好的解决IP地址盗用问题。解决IP地址盗用问题比较有效的措施是采用主机连入

的Swith端口、MAC地址、IP地址三者同时绑定。

ip地址被盗如何处理

很明显是中了局域网ARP欺骗，IP地址是不存在被盗的，你的问题应该是你上网的时候弹出你的IP和其它IP有冲突，中了ARP欺骗病毒就是这样，时间长了就可以让你们这个局域网瘫痪。解决 *** 可以上百度去找，在百度里输入中了ARP欺骗怎么办，会有很多解决 *** 的，。你也可以下个360安全卫士，里面有个ARP防火墙。你只要把这个ARP防火墙开了，就好了。

下面是百度百科对ARP的一些解释，我抄了来，你看一下。

什么是ARP

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将 *** 层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）的物理地址(注:此处物理地址并不一定指MAC地址)。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地 *** 流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的 *** 流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成 *** 不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

ARP协议的工作原理

在每台装有tcp/ip协议的电脑里都有一个ARP缓存表，表里的ip地址与mac地址是一一对应的，如图。

arp缓存表

以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标的mac地址，直接吧目标的mac地址写入帧里面发送就可以了；如果在ARP缓存表里面没有目标的IP地址，主机A就会在 *** 上发送一个广播,目标mac地址是“ff-ff-ff-ff-ff-ff”，这表示向同一网段的所有主机发出这样的询问：“192.168.1.1的mac地址是什么呀？” *** 上的其他主机并不回应这一询问，只有主机B接受到这个帧时才向A作出回应：“192.168.1.1的mac地址是00-aa-0-62-c6-09。（如上表）”这样，主机A就知道了主机B的mac地址，就可以向主机B发送信息了。同时，它还更新了自己的ARP缓存表，下次再向B发送数据时，直接在ARP缓存表找就可以了。ARP缓存表采用老化的机制，在一段时间里表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询的速度。

如何查看ARP缓存表

ARP缓存表示可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看arp缓存表的内容了。

用“arp -d”可以删除arp缓存表里的所有内容。

用“arp -s“可以手动在arp表中制定ip地址与mac地址的对应关系。

ARP欺骗的种类

ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

之一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“ *** 掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果之一种ARP欺骗发生时，只要重启路由器， *** 就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

arp欺骗－ *** 执法官的原理

在 *** 执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

修改MAC地址突破 *** 执法官的封锁

根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过 *** 执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的 *** ：

在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 21041 based Ethernet Controller），在这里假设你的网卡在0000子键。

在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network Address的描述，其值可为"MAC Address"。这样以后打开 *** 邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。

关闭注册表，重新启动，你的网卡地址已改。打开 *** 邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由 *** 设备制造商生产时写在硬件内部。这个地址与 *** 无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到 *** 的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表 *** 硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个 *** 产品（如网卡）的系列号。每个 *** 制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外， *** 执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使 *** 执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

找到使你无法上网的对方

解除了 *** 执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体 *** 是：运行Arpkiller（图2），然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP（图3），单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用 *** 执法官在捣乱。

局域网ARP欺骗的应对

一、故障现象及原因分析

情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者正常上网。

情况二、局域网内有某些用户使用了ARP欺骗程序（如： *** 执法官, *** 盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理

二、故障诊断

如果用户发现以上疑似情况，可以通过如下操作进行诊断：

点击“开始”按钮-选择“运行”-输入“arp–d”-点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

注：arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

三、故障处理

1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。

2、被害者：(1)绑定网关mac地址。具体 *** 如下：

1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下： @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。这样开机时这个批处理就被执行了。

(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。

AntiArp软件会在提示框内出现病毒主机的MAC地址

四，找出ARP病毒源

之一招：使用Sniffer抓包

在 *** 内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送

ARP Request请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

第二招：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，之一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·

（ARP欺骗的更容易理解的解析）

最近在论坛上经常看到关于ARP病毒的问题，于是在Google上搜索ARP关键字，结果出来很多关于这类问题的讨论。我的求知欲很强，想再学习ARP下相关知识，所以对目前 *** 中常见的ARP问题进行了一个总结。

1. ARP概念

咱们谈ARP之前，还是先要知道ARP的概念和工作原理，理解了原理知识，才能更好去面对和分析处理问题。

1.1 ARP概念知识

ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。

IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将 *** 中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。

1.2 ARP工作原理

首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 *** 中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

例如：

A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是192.168.10.2 ，请告诉192.168.10.1），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（192.168.10.2 在BB-BB-BB-BB-BB-BB）。

1.3 ARP通讯模式

通讯模式（Pattern Analysis）：在 *** 分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是：请求 - 应答 - 请求 - 应答，也就是应该一问一答。

2. 常见ARP攻击类型

个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。

2.1 ARP扫描（ARP请求风暴）

通讯模式（可能）：

请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求...

描述：

*** 中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用 *** 带宽资源；ARP扫描一般为ARP攻击的前奏。

出现原因（可能）：

*病毒程序，侦听程序，扫描程序。

*如果 *** 分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。

*如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。

2.2 ARP欺骗

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在 *** 中，有人发送一个自己伪造的ARP应答， *** 可能就会出现问题。这可能就是协议设计者当初没考虑到的！

2.2.1 欺骗原理

假设一个 *** 环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：

A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。

注意：一般情况下，ARP欺骗的某一方应该是网关。

2.2.2 两种情况

ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。

之一种：窃取数据（嗅探）

通讯模式：

应答 - 应答 - 应答 - 应答 - 应答 - 请求 - 应答 - 应答 -请求-应答...

描述：

这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。

出现原因（可能）：

*木马病毒

*嗅探

*人为欺骗

第二种：导致断网

通讯模式：

应答 - 应答 - 应答 - 应答 - 应答 - 应答 - 请求…

描述：

这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。

对于伪造地址进行的欺骗，在排查上比较有难度，这里更好是借用TAP设备（这个东东好像有点贵勒），分别捕获单向数据流进行分析！

出现原因（可能）：

* 木马病毒

*人为破坏

*一些网管软件的控制功能

3. 常用的防护 ***

搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来了解下这三种 *** 。

3.1 静态绑定

最常用的 *** 就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。

*** ：

对每台主机进行IP和MAC地址静态绑定。

通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。

例如：“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。

如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示：

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态的情况下：

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)

说明：对于 *** 中有很多主机，500台，1000台...，如果我们这样每一台都去做静态绑定，工作量是非常大的。。。。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！

3.2 使用ARP防护软件

目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向 *** 广播正确的ARP信息。我们还是来简单说下这两个小工具。

3.2.1 欣向ARP工具

我使用了该工具，它有5个功能：

?

A. IP/MAC清单

选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。

IP/MAC扫描。这里会扫描目前 *** 中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。

之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。

?

B. ARP欺骗检测

这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。

(补充)“ARP欺骗记录”表如何理解：

“Time”：发现问题时的时间；

“sender”：发送欺骗信息的IP或MAC；

“Repeat”：欺诈信息发送的次数；

“ARP info”：是指发送欺骗信息的具体内容.如下面例子：

time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8

这条信息的意思是：在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。

打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。所有请不要以暴力解决某些问题。

?

C. 主动维护

这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想 *** 。他的原理就在 *** 内不停的广播制定的IP的正确的MAC地址。

“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给 *** 内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定 *** 。

?

D. 欣向路由器日志

收集欣向路由器的系统日志，等功能。

?

E. 抓包

类似于 *** 分析软件的抓包，保存格式是.cap。

3.2.1 Antiarp

这个软件界面比较简单，以下为我收集该软件的使用 *** 。

A. 填入网关IP地址，点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。

B. IP地址冲突

如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

为什么黑客能从IP地址进入电脑盗取号码?

木马入侵的工作原理

在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明，因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的 *** 载体。

(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的 *** 地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行 *** 入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

（一）配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等。

（二）传播木马

1、传播方式：木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

2、伪装方式：鉴于木马的危害性,很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑 *** 用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。主要有以下6个方面：

（1）修改图标：当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢？但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML，TXT， ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。

（2）捆绑文件：这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE，COM一类的文件)。

（3）出错显示：有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

（4）定制端口：很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。

（5）自我销毁： 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

（6）木马更名：安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

（三）运行木马： 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。

(1)由触发条件激活木马。触发条件是指启动木马的条件,大致出现在下面八个地方：

之一、注册表：打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键，在其中寻找可能是启动木马的键值。

第二、WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

第三、SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[drivers32]中有命令行，在其中寻找木马的启动命令。

第四、Autoexec.bat和Config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

第五*.INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

第六、注册表：打开HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值。举个例子，国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值，将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以试着去找一下。

第七、捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

第八、启动菜单：在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

①1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， *** TP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。

②1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。

③4000端口：这是OICQ的通讯端口。

④6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

（四）信息泄露：一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。

（五）建立连接： 一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的 *** 主要有两种：信息反馈和IP扫描。我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，假设B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。

（六）远程控制：木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端 *** 连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，这是多么吓人的事。

tt

四、黑客是如何骗取你执行木马的

如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈“马”色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易“招惹”它，因而中标的机会也就相对减少了。对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与 *** 才是他们趋之若婺的。

1、冒充为图像文件

首先，黑客最常使用骗别人执行木马的 *** ，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的 *** ，但却是最多人中招的 *** ，有效而又实用 。

只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。为什么说这是一个不合逻辑的 *** 呢？图像文件的扩展名根本就不可能是.exe，而木马程序的扩展名基本上又必定是.exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么 *** 呢? 其实 *** 很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了。

还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个“马甲”，即修改文件图标。修改文件图标的 *** 如下：

1）比如到http://www.download.com 下载一个名为IconForge 的软件，再进行安装。

2）执行程序，按下File Open

3） 在File Type 选择exe 类

4）在File Open 中载入预先 *** 好的图标( 可以用绘图软件或专门 *** icon 的软件 *** ，也可以在网上找找) 。

5）然后按下File Save 便可以了。

如此这般最后得出的，便是看似jpg 或其他图片格式的木马了，很多人就会不经意间执行了它。

2、合并程序欺骗

通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。

如果有更小心的用户，上面的 *** 有可能会使他们的产生坏疑，所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后只需执行这个合拼文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼，由于执行合拼文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。让我们来看一下它是如何运作的：

以往有不少可以把两个程序合拼的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：

（1）合拼后的文件体积过大

（2）只能合拼两个执行文件

正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner 了。此软件不但把软件合拼后的体积减少，而且可以待使用者执行后立马就能收到一个icq 的信息，告诉你对方已中招及对方的IP ，更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼，用起来相当方便。

首先把Joiner 解压，然后执行Joiner ，在程序的画面里，有“First executable : ”及“ Second File : ”两项，这两行的右方都有一个文件夹图标，分别各自选择想合拼的文件。

下面还有一个Enable ICQ notification 的空格，如果选取后，当对方执行了文件时，便会收到对方的一个ICQ Web Messgaer ，里面会有对方的ip ，当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后，合拼后的文件会比较大。

最后便按下“Join” ，在Joiner 的文件夹里，便会出现一个Result.exe 的文件，文件可更改名称，因而这种“混合体”的隐蔽性是不言而喻的。

3、以Z-file 伪装加密程序

Z-file 伪装加密软件是台湾华顺科技的产品，其经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼，再用 Z-file 加密及将 此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马，甚至病毒！当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。

4、伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，例如 OICQ 。由于OICQ本身已有一定的知名度，没有人会怀疑它的安全性，更不会有人检查它的文件是否多了。而当受害者打开OICQ时，这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开OICQ时木马程序就会同步运行 ，相较一般特洛伊木马可说是“踏雪无痕”。更要命的是，此类入侵者大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀是毒软件也拿它没有丝毫办法。

如何防范IP地址被侵入?以及IP地址泄露? 求救高手~

号码被盗一般是你的电脑中了盗号木马造成的。

木马进入你的电脑有多种途径：通过网页下载、通过软件传播、通过远程入侵或者使用U盘等。

防止他人远程入侵你的电脑，需要安装最全的系统补丁，另外还可以选用防火墙软件防止他人对你的电脑进行扫描。

IP地址的“泄露”是不可避免的，因为只要上网就必定拥有自己的IP，那么在浏览网页或和其他人通讯的时候，都可能获取你的IP地址。所以更好使用防火墙软件对针对IP的攻击进行防范。