物理变化的概念:为什么MAC地址会一直变

网卡设备物理地址频繁变化的现象，主要是系统中断控制器驱动安装不正确或驱动受到损坏造成的。而网卡设备的物理地址不断发生变化，自然不会受到交换机的授权许可，最终引发了终端系统无法上网的故障现象。
　　解决办法：
　　根据故障系统主板的型号，上网下载了对应主板的驱动程序，之后在系统设备管理器窗口中，用鼠标右键单击图标上出现问号标记的系统中断控制器选项，执行右键菜单中的“属性”命令，打开该选项的属性对话框。选择其中的“驱动程序”标签，切换到选项设置页面，单击“更新驱动程序”按钮，弹出文件选择对话框，从中选择从网上下载获得的安装程序，按“确定”按钮完成主板驱动程序的安装更新操作。
　　尽管MAC地址是烧录在网卡芯片里的，并且是固定不变的，但是系统读取该地址时还会受到系统中断控制器的影响，倘若系统中断控制器由于主板驱动安装不正确的原因，而无法正常工作时，那么网卡设备的唯一物理地址可能会被Windows系统识别错误，从而会造成网卡物理地址不停变化的错觉。所以，为了确保网卡设备工作正常，正确安装好集成网卡所在主板的驱动程序十分重要，只有主板驱动程序安装完整，才能保证网卡设备的物理地址被正确识别。

这是典型的ARP欺骗病毒，专门在局域网干坏事，下面介绍了解决办法

最近几天很多用户反映频繁掉线，经过查处，确认目前引起用户掉线的原因是病毒，名字叫传奇杀手。该问题在全国均大面积发生。

传奇杀手是一款对局域网进行ARP欺骗,虚拟网关地址,以收集局域网中传奇游戏登陆信息并进行分析从而得到用户信息的破坏性软件.

工作流程:

首先,将本机MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.

发作状况:

局域网与internet链接速度突然变慢甚至断开.网络游戏断开链接,且重新登陆后提示服务器无相应.

故障排除:

在局域网中受影响的客户机上执行arp -a,在回溃信息中会发现重复mac地址.该mac地址对应的即为使用传奇杀手的计算机.而重复的地址就是被arp欺骗后的网关地址.此时可根据mac地址前的ip地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机.(由此可见,备份一张详细的局域网mac地址列表有多重要)

预防措施:

如工作站采用xp/2k3操作系统,可逐台执行"arp -s 网关ip 网关mac"来绑定网关的IP地址.
很遗憾,由于win2k/98及更低档次的操作系统中,arp防护功能并不完善,所以在大部分网吧,该程序并没有方便且经济的方法来预防.
1.在网关上生成mac列表,并设置网关上内网网卡防止ARP欺骗.
2.使用具有IP-MAC绑定功能的智能交换机,绑定网关IP-MAC.
3.启用有效的游戏保护软件,在游戏启动前检测网关mac地址,如有异常,即提醒客户并在服务器发出警告信息.

友情提示:

由于数据解密方式限制,目前此类软件只能针对热血传奇游戏进行破坏.但此类软件既然已经出现,就很有可能衍生出针对其他网络游戏的其他版本.请提前做好相应的预防工作
该病毒发作时候的特征为，中毒的机器会修改其他机器的网卡mac地址为中毒机器网卡的mac地址，在三层交换机看mac表 ，思科sh arp 华为 dis arp

192.168.0.61 00-e0-4c-8c-9a-47 dynamic
192.168.0.70 00-e0-4c-8c-9a-47 dynamic
192.168.0.102 00-e0-4c-8c-9a-47 dynamic
192.168.0.103 00-e0-4c-8c-9a-47 dynamic
192.168.0.104 00-e0-4c-8c-9a-47 dynamic
192.168.0.105 00-e0-4c-8c-9a-47 dynamic
192.168.0.106 00-e0-4c-8c-9a-47 dynamic
192.168.0.107 00-e0-4c-8c-9a-47 dynamic
192.168.0.108 00-e0-4c-8c-9a-47 dynamic
192.168.0.109 00-e0-4c-8c-9a-47 dynamic
192.168.0.110 00-e0-4c-8c-9a-47 dynamic
192.168.0.111 00-e0-4c-8c-9a-47 dynamic
192.168.0.112 00-e0-4c-8c-9a-47 dynamic
192.168.0.113 00-e0-4c-8c-9a-47 dynamic
192.168.0.114 00-e0-4c-8c-9a-47 dynamic
192.168.0.115 00-e0-4c-8c-90-22 dynamic
192.168.0.165 00-e0-4c-8c-9a-47 dynamic
192.168.0.166 00-e0-4c-8c-9a-47 dynamic
192.168.0.167 00-e0-4c-8c-9a-47 dynamic
192.168.0.168 00-e0-4c-e8-91-45 dynamic
192.168.0.170 00-e0-4c-8c-9a-47 dynamic

该病毒不发作的时候，
Internet Address Physical Address Type
192.168.0.1 00-e0-4c-8c-bb-0f dynamic
192.168.0.68 00-00-e8-11-df-53 dynamic
192.168.0.99 00-e0-4c-8c-81-cc dynamic
192.168.0.102 00-e0-4c-8c-7e-8f dynamic
192.168.0.103 00-e0-4c-8c-8e-cd dynamic
192.168.0.105 00-e0-4c-8c-b8-03 dynamic
192.168.0.106 00-e0-4c-8c-b9-cc dynamic
192.168.0.107 00-e0-4c-8c-8f-0d dynamic
192.168.0.109 00-e0-4c-8c-ba-7a dynamic
192.168.0.110 00-e0-4c-8c-7a-8a dynamic
192.168.0.112 00-e0-4c-8c-b9-c4 dynamic
192.168.0.113 00-e0-4c-8c-92-ad dynamic
192.168.0.116 00-e0-4c-82-55-8f dynamic
192.168.0.117 00-e0-4c-8c-ba-9e dynamic
192.168.0.118 00-e0-4c-8c-b9-57 dynamic
192.168.0.119 00-e0-4c-8c-b8-d9 dynamic
192.168.0.120 00-e0-4c-8c-92-c5 dynamic
192.168.0.121 00-e0-4c-8c-ba-64 dynamic
192.168.0.122 00-e0-4c-3a-1d-bb dynamic
192.168.0.123 00-e0-4c-8c-ba-42 dynamic
192.168.0.124 00-e0-4c-3a-1d-a5 dynamic
192.168.0.128 00-e0-4c-8c-b9-31 dynamic
192.168.0.129 00-e0-4c-8c-91-58 dynamic
192.168.0.130 00-e0-4c-8c-b9-f2 dynamic
192.168.0.131 00-e0-4c-8c-9a-47 dynamic
192.168.0.132 00-e0-4c-8c-ba-5e dynamic
192.168.0.134 00-e0-4c-3a-77-42 dynamic
192.168.0.135 00-e0-4c-8c-53-73 dynamic
192.168.0.136 00-e0-4c-8c-ba-d3 dynamic
192.168.0.137 00-e0-4c-8c-9c-28 dynamic
192.168.0.138 00-e0-4c-8c-b8-f9 dynamic
192.168.0.139 00-e0-4c-8c-b9-26 dynamic
192.168.0.142 00-e0-4c-8c-84-39 dynamic
192.168.0.143 00-e0-4c-8c-bb-0f dynamic
192.168.0.144 00-e0-4c-8c-ba-8a dynamic

病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-e0-4c-8c-9a-47，正常的时候可以看到00-e0-4c-8c-9a-47的ip地址为192.168.0.131，就是这台机器中毒，将该机器的网线拔掉，再观察。
中毒的机器可能不止一台，请多观察。
进入机器dos窗口的方式为，点击“开始”，点击“运行”，键入command，回车，就可以进入dos窗口，然后就可以用arp –a命令查看IP地址和mac地址对应的情况。

经过检查发现主要就出在传奇木马上了！！

现在检测发现的就有2种外挂带这种木马了！传奇木马。。用户怎么判别自己的电脑是否感染该病毒？ 同时按下键盘上的“CTRL”、“ALT”和“DEL”键，调出“Windows任务管理器”，察看其中有没有一个名为“MIR0.dat”的进程，如果有，则说明已经中毒。中毒之后，用户电脑还会出现IE浏览器频繁出错，一些常用软件也会出现故障。

经过检查发现主要就出在传奇木马上了！！

现在检测发现的就有2种外挂带这种木马了！

一 传奇2冰橙子1.14

二 及时雨PK破解版

工作原理大概就是运用ARP欺骗来实现的。所以临时的办法是禁止使用最近新出的外挂。跟顾客协调好。比较实用的办法就是在运行里或者命令提示符下输入 arp -s IP 物理地址 把IP和网卡物理地址绑到一起这样就破坏了ARP欺骗木马的正常工作。网关不被替换掉当然就不掉线了。

http://www.cqxx.com/web/new.asp?id=4368&code=32&new_id=6&new_name=%B0%B2%C8%AB%D0%C5%CF%A2

MAC地址本身就是可以更改的。
双击本地连接，属性＞＞常规＞＞配置
如图示：
http://www.2and2.net/Uploads/Images/wiseless20060514.jpg
http://www.2and2.net/Uploads/Images/wiseless200605142.jpg

没办法，找网管。

怎么可能阿
MAC怎么能变呢