信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
软件作者：HellFish

大小 10KB
需要 Winpcap 3.1 支持
依然是 Delphi 写的

如果需要关闭，请打开任务管理器结束进程

运行后，ARP局域网。所有本局域网任何方式打开网站，均会在最后面加上 <H1>ARP测试</H1>
运行后，QQ聊天每收到一句话，均会在最后面加上 <H1>ARP测试</H1>

也就是说可以做很多恶毒的事情。

另外一提，所谓的很多ARP下载者就是这样做的

但是目前我还没发现除了我这个还有那个能够修改支持GZIP服务器上的页面,比如 www.17173.com,QQ聊天

其实只是很简单的把 <H1>ARP测试</H1> 换成 <访问网马> 的代码就可以了。

不过....,坏人们别指望能把 arper.rar 的插入代码换掉

补充说明：

把 npf.sys packet.dll wanpacket.dll 放在 arper.exe 同一目录就行了

npf.sys 驱动 arper.exe 会自己安装的

防御方法也很简单

1. 一个bat文件加到系统启动里
@echo off
arp -s 网关ip 网关mac
如:
arp -s 192.168.1.1 00-ee-09-aa-cc-62

2. 其实ARP只对使用HUB，老式交换机，大意的网络管理员 有效果而已

局域网都欺骗arp，不会导致arp风暴么？尤其是比较大的网络？

1. 一个bat文件加到系统启动里
@echo off
arp -s 网关ip 网关mac
如:
arp -s 192.168.1.1 00-ee-09-aa-cc-62

我安装了 ARP防火墙.傻瓜版的

把 npf.sys packet.dll wanpacket.dll 放在 arper.exe 同一目录就行了
我下载的怎么只有一个可执行文件
而且打开出错!

WHY?

运行了出错 怎么回事哦

运行报错，并且会破坏Wincap

已经在前面说明了需要 Winpcap 3.1 的支持，如果你没有 Winpcap 3.1 的那几个文件，那么你需要去下载一份 Winpcap 3.1 并且安装

Winpcap 绝对装好了~~
zxarps都运行的很好~~

不是他的问题
可能你的程序兼容性有点小问题吧
查查看！！

但是目前我还没发现除了我这个还有那个能够修改支持GZIP服务器上的页面,比如 www.17173.com,QQ聊天

HOHO.MS楼主有点井底之蛙的感觉!

i不能运行 WinPcap3.1装了也不行

我也装不了啊~~郁闷~~

不懂发这个的目的,什么都不让人看到,
实现思路,演示代码,..........
给个demo就是为了让人知道,你会写吗?

和楼上的同感，看这个，我还不如去看winpcap开发类的呢，明显显摆，坚定完毕

楼主把gui版的发出来看看哈

引用:

引用第12楼xiao2004于2007-08-09 08:31发表的 :
不懂发这个的目的,什么都不让人看到,
实现思路,演示代码,..........
给个demo就是为了让人知道,你会写吗?

发代码然后诞生一大堆的用来中马的下载者或者嗅探器么？

同意LZ,不发代码为好,

在网上搜了下，好象早就有这样的程序了吧！

这个不开源的东西..害我白高兴了一下..希望楼主能开源给大家一起探讨..
那么多测试错误。估计毛病还是很大的..

我讨厌delphi，看着反胃～

本来还有兴趣，扔进ollydbg看看，结果看到delphi二字，马上删除文件。

在某些人眼里 binary就是源代码了～
而且你这个东西不是很好——网上有比这个功能全面而且方便的GUI版

根本不用看源码，抓个包，分析一下，用IDA反汇编还麻烦！

引用:

引用第20楼vxk于2007-08-10 17:59发表的 :
我讨厌delphi，看着反胃～

本来还有兴趣，扔进ollydbg看看，结果看到delphi二字，马上删除文件。

在某些人眼里 binary就是源代码了～
.......

在很多人人眼里 binary = asm = 代码。

但是对这样的朋友这样就不必讨论放不放代码那么麻烦了，说不定还嫌弃代码烂呢

关于DELPHI反胃症：

正如很多人 反胃VB 反胃 E语言 反胃 C# 反胃 C++ 等等。

不过我想最对DELPHI反胃的，应该是比较习惯看ASM的罢

附带一说：
DELPHI的门槛低，当然有很多的东西一旦丢进C32ASM或者OD当然让人反胃
但若VXK反胃的是DCC32这个编译器，那就没办法了

C++与DELPHI各自让我反胃的东西也不少

象是C++这样的东西就很让我反胃
for(;P("\n"),R=;P("|"))for(e=C;e=;P("_"+(*u++/8)%2))P("| "+(*u/4)%2);

但是DELPHI的指针很让我反胃，比如C++里的
PBYTE a;
.............
a++=$FF;

多方便。

DELPHI的就恶心多了
PBYTE a;
...
a:=Pbyte(DWORD(A)+1);
a:=$FF
a:=Pbyte(DWORD(A)-1);

引用:

引用第21楼proplayboy于2007-08-10 18:30发表的 :
根本不用看源码，抓个包，分析一下，用IDA反汇编还麻烦！

仅仅是发个ARP返回包欺骗一下内网的机器。这样的包抓来做什么？

其实工作原理简单的不得了

1. 发ARP返回包欺骗内网机器，使得这些机器上的ARP表中网关的IP与运行机的MAC关联

2. 在包流经本机时，把来源MAC改成本机，发给网关

3. 在收到网关的包时，把来源MAC改本机，目的MAC改回目标机。
如果是要修改的数据，就先修改后再发包。关键是TCP头的chksum计算而已

我还不知道这样的包有什么抓的价值

引用:

引用第22楼hellfish于2007-08-10 19:01发表的 :


在很多人人眼里 binary = asm = 代码。

但是对这样的朋友这样就不必讨论放不放代码那么麻烦了，说不定还嫌弃代码烂呢
.......

delphi的反编译代码，看着是十分不舒服的。
喜欢asm~