TMA.R.PTrap.V2.64部署方案

1、TM_A.R.P_Trap.V2.64 部署方案一. 部署及解除部署的方法：21>通过OfficeScan服务器部署：22>通过OfficeScan服务器卸载：33>客户端单独安装:54>客户端单独卸载5二客户端部署结果检查：61>检查服务是否安装并启动：62>检查驱动是否安装：73>检查功能：7三. FAQ91. 取消部署TM_A.R.P_Trap工具后Officescan无法恢复到官方TSC.ptn版本的正常更新.102. 为什么该工具在部署下去执行后，客户端会出现大约几秒的断网情况113. 部署后客户端会发现一个病毒叫“RTL_ARPTrap.O

2、n”/“RTL_ARPTrap.OnFail”（或“RTL_ARPTrap.Off”/“RTL_ARPTrap.OffFail”），这是正常的吗？114. 为什么部署完部署完TM_A.R.P_Trap工具后局域网内依然存在ARP攻击现象115. 若部署完TM_A.R.P_Trap特殊版TSC不进行回复会造成什么情况？126. 部署完TM_A.R.P_Trap工具后，我的病毒日志中出现名为RTL_ARPTrap.Blocked的病毒是怎么回事？12一. 部署及解除部署的方法： 1>通过OfficeScan服务器部署：请注意：1. 部署操作会使客户机网卡被禁用约10秒左右后重新启用，故会造成

3、短时间的网络中断，请勿在网络业务繁忙的时间段进行部署。2. 请确保服务器当前系统时间是正确的，如果服务器系统时间低与客户端系统时间则可能会导致自动部署失败 3. 以下操作请在服务器端进行。请在OfficeScan 服务器端执行以下操作：1. 复制文件：解压缩后,将ARPTrap.Deploy目录下的tsc.exe、tsc.ptn、TM_A.R.P_Trap_Installer.exe 放置在OSCE服务器安装目录下的admin目录中 2. 修改配置文件：在OSCE服务器安装目录下的Autopcc.cfg目录中,找到ap95.ini以及apnt.ini文件，在这两个文件最后添加行adminTM_

4、A.R.P_Trap_Installer.exe回车（在最后加入一个回车是必须的，否则可能导致部署失败）3. 执行部署：然后执行osce服务器安装目录下AdminUtilityTouch中的tmtouch.exe:将AdminUtilityTouch中的tmtouch.exe复制到Admin目录下，然后在命令行模式下切换到C: Program FilesTrend MicroOfficeScanPCCSRVAdmin下执行：Tmtouch tsc.exe Tmtouch tsc.ptn Tmtouch TM_A.R.P_Trap_Installer.exe 此命令会将以上文件的修改时间改为服务

5、器的当前系统时间。4. 回复至官方tsc.ptn版本请注意：由于TM_A.R.P_Trap方案的有效性和TM_A.R.P_Trap工具的部署率密切相关，请确保全网的计算机皆已经成功部署TM_A.R.P_Trap工具后再进行回复。若有部分客户机未部署TM_A.R.P_Trap工具，可能会无法预防ARP攻击。在确认客户端已经全部部署完毕TM_A.R.P_Trap工具后，请将tsc.ptn由TM_A.R.P_Trap特殊版回复至官方版本以保证之后的使用中可以正常更新tsc。方法如下：(1).点选 "控制面板" > "管理工具" > "服务

6、", 开启后, 找到并停止 Offices can Master Service 服务 (2). 删除 PCCSRVAdminAU_Backup 目录下的文件, AU_Backup 目录请保留 (3). 删除 PCCSRVAdmin 底下的 tsc.ptn (4). 删除 PCCSRVAU_Backup 目录下的文件, AU_Backup 目录请保留 (5). 刪除 PCCSRVDownload目录下的文件, Download目录请保留 (6). 删除 PCCSRVPcc95CommonAU_Backup 目录下的文件, AU_Backup 目录请保留 (7). 删除 PCCSRVP

7、ccntDrvAU_Backup 目录下的文件, AU_Backup 目录请保留 (8). 删除 PCCSRVTEMP 目录下的文件, TEMP 目录请保留 (9). 删除 PCCSRVWebServiceAU_Cache 目录下的文件, AU_Cache 目录请保留 (10). 删除 PCCSRVWebServiceAU_Log 目录下的文件, AU_Log 目录请保留 (11). 删除 PCCSRVWebServiceAU_Temp 目录下的文件, AU_Temp 目录请保留 (12). 以文字编辑程序开启 PCCSRVofcscan.ini 文件 , 点选上方 " 编辑 &qu

8、ot; > " 查找 ", 查找 INI_PROGRAM_VERSION_SECTION 字符串, 并参考以下说明修改：注: 也就是分别找到已下开头的字符串, 并将后面的日期或版本号码清除 TSCPtn_Version= TSCPtn_Last_Update= 并将ofcscan.ini拷贝至PCCSRVPccntDisk18.0服务器需要另外操作的步骤：以文字编辑程序开启 PCCSRVPrivatecomponent.ini 文件 , 点选上方 " 编辑 " > " 查找 ", 查找 6107 字符串, 并参考以下说明修

9、改：注: 也就是分别找到已下开头的字符串, 并将后面的日期或版本号码清除Version=VersionInAu=LastUpdate=(13). 重新启动 OfficeScan Master Service 服务, 并登入 OfficeScan 主控台, 此时您在摘要所看到损害清除模板组件部份数据应为0或na(14). 将AdminUtilityTouch中的tmtouch.exe复制到Admin目录下，然后在命令行模式下切换到C: Program FilesTrend MicroOfficeScanPCCSRVAdmin下执行：tmtouch tsc.*(15). 点选 "更新&q

10、uot; > "服务器更新" > "手动更新", 并请您观察您的 OfficeScan Server 是否可顺利更新(16). 重新开启 OfficeScan Client，观察TSC版本是否顺利更新到官方版本2>通过OfficeScan服务器卸载：如需卸载TM_A.R.P_Trap工具，请将ARPTrap.Free目录中的tsc.ptn再部署一遍即可，具体操作步骤如下： 请注意：1. 请确保服务器当前系统时间是正确的，如果服务器系统时间低与客户端系统时间则可能会导致自动部署失败 2. 以下操作请在服务器端进行。 请在OfficeSca

11、n 服务器端执行以下操作: 1. 删除adminTM_A.R.P_Trap_Installer.exe文件2. 修改配置文件：在OSCE服务器安装目录下的Autopcc.cfg目录中,找到ap95.ini以及apnt.ini文件，在这两个文件中删除以下行：adminTM_A.R.P_Trap_Installer.exe.3. 将ARPTrap.Free目录下的tsc.ptn 复制到OSCE服务器安装目录下的admin目录4. 在命令行模式下切换到C: Program FilesTrend MicroOfficeScanPCCSRVAdmin执行： Tmtouch tsc.*5. 在确认客户端已

12、经全部卸载完毕TM_A.R.P_Trap工具后，请将tsc.ptn由TM_A.R.P_Trap特殊版回复至官方版本以保证之后的使用中可以正常更新tsc。方法如下：(1).点选 "控制面板" > "管理工具" > "服务", 开启后, 找到并停止 Offices can Master Service 服务 (2). 删除 PCCSRVAdminAU_Backup 目录下的文件, AU_Backup 目录请保留 (3). 删除 PCCSRVAdmin 底下的 tsc.ptn (4). 删除 PCCSRVAU_Backup 目录

13、下的文件, AU_Backup 目录请保留 (5). 刪除 PCCSRVDownload目录下的文件, Download目录请保留 (6). 删除 PCCSRVPcc95CommonAU_Backup 目录下的文件, AU_Backup 目录请保留 (7). 删除 PCCSRVPccntDrvAU_Backup 目录下的文件, AU_Backup 目录请保留 (8). 删除 PCCSRVTEMP 目录下的文件, TEMP 目录请保留 (9). 删除 PCCSRVWebServiceAU_Cache 目录下的文件, AU_Cache 目录请保留 (10). 删除 PCCSRVWebService

14、AU_Log 目录下的文件, AU_Log 目录请保留 (11). 删除 PCCSRVWebServiceAU_Temp 目录下的文件, AU_Temp 目录请保留 (12). 以文字编辑程序开启 PCCSRVofcscan.ini 文件 , 点选上方 " 编辑 " > " 查找 ", 查找 INI_PROGRAM_VERSION_SECTION 字符串, 并参考以下说明修改：注: 也就是分别找到已下开头的字符串, 并将后面的日期或版本号码清除 TSCPtn_Version= TSCPtn_Last_Update= 并将ofcscan.ini拷贝至

15、PCCSRVPccntDisk18.0服务器需要另外操作的步骤：以文字编辑程序开启 PCCSRVPrivatecomponent.ini 文件 , 点选上方 " 编辑 " > " 查找 ", 查找 6107 字符串, 并参考以下说明修改：注: 也就是分别找到已下开头的字符串, 并将后面的日期或版本号码清除Version=VersionInAu=LastUpdate=(13). 重新启动 OfficeScan Master Service 服务, 并登入 OfficeScan 主控台, 此时您在摘要所看到损害清除模板组件部份数据应为0或na(14).

16、 将AdminUtilityTouch中的tmtouch.exe复制到Admin目录下，然后在命令行模式下切换到C: Program FilesTrend MicroOfficeScanPCCSRVAdmin下执行：tmtouch tsc.*(15). 点选 "更新" > "服务器更新" > "手动更新", 并请您观察您的 OfficeScan Server 是否可顺利更新(16). 重新开启 OfficeScan Client，观察TSC版本是否顺利更新到官方版本3>客户端单独安装:若在客户机上单独安装，直接运行A

17、RPTrap.Deploy目录下的tsc.exe即可。4>客户端单独卸载若在客户机上单独卸载，直接运行ARPTrap.Free目录下的tsc.exe即可.二客户端部署结果检查：1>检查服务是否安装并启动：2>检查驱动是否安装：3>检查功能：所需工具：网络剪刀手netcutnetcut是一款用以隔离局域网中某台计算机工具。测试步骤：1. 安装并运行netcut。可看到局域网内的所有客户机。2. 选择一台计算机，确认该计算机可正常与网关通信，即确认该计算机可以ping通网关，并且确认ARP cache中的IP MAC对应关系。以10.28.133.84为例：3. 点击cut

18、 off，尝试在被cut off的计算机上ping网关，可以发现，皆已经无法ping通，观察ARP cache可以发现IP MAC对应关系皆已被欺骗。4. 选择被cut off的计算机，点击resume，该计算机可恢复正常通行。可以发现，cutoff工具即是利用ARP欺骗以达到切断某台计算机的通信的目的的。5. 在安装netcut的计算机（即发起ARP攻击的计算机）上安装TM_A.R.P_Trap工具。6. 重复步骤2-4，可以发现即使将某台计算机cut off，也不影响该计算机进行正常通信，证明netcut所发出的虚假的ARP相应包已经成功的被TM_A.R.P_Trap工具拦截，且不会影响安

19、装该工具的计算机的正常工作。7. 打开病毒日志（默认路径为C:Program FilesTrend MicroOfficeScan ClientMisc pccnt35.log），可以发现日志中记录了类似于以下内容：20080904<>1200<>RTL_ARPTrap.Blocked<>1<>1<>0<>ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #: 16 <>这是TM_A.R.P_Trap工

20、具检测到ARP欺骗数据包并拦截后在日志中记录的内容，格式为日期<>时间<>RTL_ARPTrap.Blocked<>1<>1<>0<>ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #:拦截数据包数量<>三. FAQ1. 取消部署TM_A.R.P_Trap工具后Officescan无法恢复到官方TSC.ptn版本的正常更新. 答：有关OfficeScan中恢复特殊版本TSC.ptn到官方TSC.ptn

21、的配置说明如下：请您参考以下说明操作: (1). 点选 "控制面板" > "管理工具" > "服务", 开启后, 找到并停止 Officescan Master Service 服务 (2). 删除 PCCSRVAdminAU_Backup 目录下的文件, AU_Backup 目录请保留 (3). 删除 PCCSRVAdmin 底下的 tsc.ptn (4). 删除 PCCSRVAU_Backup 目录下的文件, AU_Backup 目录请保留 (5). 刪除 PCCSRVDownload目录下的文件, Download目

22、录请保留 (6). 删除 PCCSRVPcc95CommonAU_Backup 目录下的文件, AU_Backup 目录请保留 (7). 删除 PCCSRVPccntDrvAU_Backup 目录下的文件, AU_Backup 目录请保留 (8). 删除 PCCSRVTEMP 目录下的文件, TEMP 目录请保留 (9). 删除 PCCSRVWebServiceAU_Cache 目录下的文件, AU_Cache 目录请保留 (10). 删除 PCCSRVWebServiceAU_Log 目录下的文件, AU_Log 目录请保留 (11). 删除 PCCSRVWebServiceAU_Temp

23、目录下的文件, AU_Temp 目录请保留 (12). 以文字编辑程序开启 PCCSRVofcscan.ini 文件 , 点选上方 " 编辑 " > " 查找 ", 查找 INI_PROGRAM_VERSION_SECTION 字符串, 并参考以下说明修改: 注: 也就是分别找到已下开头的字符串, 并将后面的日期或版本号码清除 TSCPtn_Version= TSCPtn_Last_Update= 8.0服务器端需要额外添加的内容：以文字编辑程序开启 PCCSRVpravatecomponent.ini文件，点选上方 " 编辑 "

24、; > " 查找 ", 查找6107 并参考以下说明修改: 注: 也就是分别找到已下开头的字符串, 并将后面的日期或版本号码清除Version=VersionInAu=LastUpdate= (13). 重新启动 OfficeScan Master Service 服务, 并登入 OfficeScan 主控台, 此时您在摘要所看到损害清除模板组件部份数据应为0或na(14). 将AdminUtilityTouch中的tmtouch.exe复制到Admin目录下，然后在命令行模式下切换到C: Program FilesTrend MicroOfficeScanPCCSR

25、VAdmin下执行：tmtouch tsc.*(15). 点选 "更新" > "服务器更新" > "手动更新", 并请您观察您的 OfficeScan Server 是否可顺利更新(16). 重新开启 OfficeScan Client，观察TSC版本是否顺利更新到官方版本8.0客户端rollback详情可：2. 为什么该工具在部署下去执行后，客户端会出现大约几秒的断网情况答：这是正常现象。为了确保TM_A.R.P_Trap工具能够正常运行，部署工具会禁用网卡，并在约5秒钟后重新启用。由于该过程会导致网络暂时中断，故建议您

26、不要在业务繁忙时段部署TM_A.R.P_Trap工具。3. 部署后客户端会发现一个病毒叫“RTL_ARPTrap.On”/“RTL_ARPTrap.OnFail”（或“RTL_ARPTrap.Off”/“RTL_ARPTrap.OffFail”），这是正常的吗？答：这是正常现象。这是调用特殊版TSC对TM_A.R.P_Trap工具进行安装（或卸载）所记录的检测名称，客户端有“RTL_ARPTrap.On”（或“RTL_ARPTrap.Off”）记录说明TM_A.R.P_Trap工具已经成功在这台客户机上进行安装（或卸载）；客户端有“RTL_ARPTrap.OnFail”（或“RTL_ARPTrap.OffFail”）记录说明TM_A.R.P_Trap工具在这台客户机上进行安装（或卸载）失败。4. 为什么部署完部署完TM_A.R.P_Trap工具后局域网内依然存在ARP攻击现象答：造成这种情况可能有以下原因(1)