隐藏的作业系统档案 arparp.bat

sean666

今天无意中在电脑的 C 槽 发现了一个档案 arparp.bat 批次档
这个档案是打开隐藏保护的作业系统档案才看见的
此 arparp.bat 批次档内容如下：
-----------------------------------------------------------------------------------------------------------------------------------------------

@echo off
:::::::::::::清除所有的ARP缓存
arp -d
:::::::::::::读取本地连接配置
ipconfig /all>ipconfig.txt
:::::::::::::读取内网网关的IP
for /f "tokens=13" %%I in ('find "Default Gateway" ipconfig.txt') do set GatewayIP=%%I
::::::::::::ING三次内网网关
ping %GatewayIP% -n 3
:::::::::::::读取与网关arp缓存
arp -a|find "%GatewayIP%">arp.txt
:::::::::::::读取网关MAC并绑定
for /f "tokens=1,2" %%I in ('find "%GatewayIP%" arp.txt') do if %%I==%GatewayIP% arp -s %%I %%J
:::::::::::::读取本机的 IP+MAC
for /f "tokens=15" %%i in ('find "IP Address" ipconfig.txt') do set ip=%%i
for /f "tokens=12" %%i in ('find "Physical Address" ipconfig.txt') do set mac=%%i
:::::::::::::绑定本机的 IP+MAC
arp -s %ip% %mac%
:::::::::::::删除所有的临时文件
del ipconfig.txt
del arp.txt

SETLOCAL ENABLEDELAYEDEXPANSION
for /f "tokens=2 delims=[]=" %%i in ('nbtstat -a %COMPUTERNAME%') do call set local=!local!%%i
for /f "tokens=3" %%i in ('netstat -r^|find " 0.0.0.0"') do set gm=%%i
for /f "tokens=1,2" %%i in ('arp -a %gm%^|find /i /v "inter"') do set gate=%%i %%j
arp -s %gate%
arp -s %local%

::arp -s 网关IP 网关MAC


----------------------------------------------------------------------------------------------------------------------------------------

我感到不解，怎么 XP sp2 的受保护的隐藏的作业系统档案有这个东东？
有高手能为小弟解惑吗？
看内容似乎是保护本机不受arp攻击的，不过我还市地一次看到在我电脑里出现这隐藏的批次档
难道是微软的更新档做的吗？ 还是我安装的 AutoXP 内建的？
作业系统名称        Microsoft Windows XP Professional
作业系统代码名称        Whistler
作业系统语言        中文 (台湾)
作业系统 Kernel 类型        Multiprocessor Free (32-bit)
作业系统版本        5.1.2600 (WinXP Retail)
作业系统 Service Pack        Service Pack 2
作业系统资料夹        C:\WINDOWS

[ 本帖最后由 sean666 于 2008-3-17 05:18 编辑 ]

Minorities

这个不知道。。。。。。。。。

请问下你用的XP是什么版的？
等高手来解答

zgzxp

楼主用的GHO系统或是封装系统吧
干净安装的系统是没有这个的

饼爱饼

个人感觉应该不是Win自带的

klovecui

好像是一个工具来的。你的是深度系统吗？？

zoes

看样子是防ARP攻击的。

不可能是Comdo生成的，自己再找找原因。

深度扫描

C 槽是什么？。。。。。不明白

ndd200

这个批处理的作用是，读取网卡设置，找出网关地址，然后读取网关MAC，并且用arp -s绑定网关MAC。
是用来防止内网APR欺骗的。没做任何坏事。

肯定不是作业系统里带的。估计你最近用过的某软体带了防护ARP的功能吧。删了这个文件也没关系。

PS:这个批处理并不能有效防御ARP攻击……

ph700

一个繁体系统 会自带一个简体脚本吗?

rcbblgy

开机自动运行一下这个批处理就好了。