nbtscan.exe,获得ARP欺骗木马的(de)主机的MAC地址后,我(wǒ)们就可以使(shǐ)用NBTSCAN最新nbtscan下载地址(zhǐ):NBTscan binaries for Win32 )工具来快速(sù)查找它(tā)。
NBTSCAN可以取到PC的真实IP地(dì)址和MAC地址,如果有”传奇木马”在做怪,可(kě)以找到装有木马(mǎ)的PC的(de)IP/和(hé)MAC地址。
命令:“nbtscan r 192.168.16.0/24”(搜索(suǒ)整个192.168.16.0/24网(wǎng)段, 即192.168.16.1192.168.16.254); 或“nbtscan 192.168.16.25137”搜索192.168.16.25137 网段,即192.168.16.25192.168.16.137。输出(chū)结果第一(yī)列是(shì)IP地址(zhǐ),最后(hòu)一列(liè)是(shì)MAC地址。
ARP欺(qī)骗木马开始运行(háng)的时(shí)候,局域网所有主机的(de)MAC地址更(gèng)新为病毒主(zhǔ)机的MAC地址(即所(suǒ)有信息的MAC New地(dì)址都一致为病毒主机的MAC地址),同时(shí)在路由器(qì)的“用户统计”中(zhōng)看到所有用户的MAC地址(zhǐ)信息都(dōu)一样。
在上面我们已经(jīng)知道了使用ARP欺(qī)骗木马的主(zhǔ)机的MAC地址,那(nà)么我们(men)就可以(yǐ)使用NBTSCAN工具(jù)来快速查找它。
NBTSCAN可以取到PC的真实IP地址(zhǐ)和MAC地址,如(rú)果(guǒ)有”ARP攻击”在做怪,可以找到装有ARP攻(gōng)击的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜(sōu)索(suǒ)整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网(wǎng)段(duàn),即192.168.16.25-192.168.16.137。输出结果第一(yī)列是IP地址,最后一列(liè)是MAC地址(zhǐ)。
互联网(wǎng)搜索引擎nbtscan是一个扫(sǎo)描WINDOWS网络NetBioses信息的小工(gōng)具(jù),2005年11月23日发布。NBTSCAN身材娇(jiāo)小,简单快速。但只能用于局域(yù)网,可以显示IP,主机名,用户名称和(hé)MAC地址等等(děng)。
