本文由罗盟编译,陈裕铭、Roe校对,转载请注明。
最近,我遇到一个案例是需要从一大堆镜像中识别计算机的MAC地址,我试图通过查看注册表来解决问题,而Zimmerman工具(https://ericzimmerman.github.io/)为这次搜索提供了帮助。
该工具最近还十分有效地添加了一个-sa选项,这样使得用户可以在一条查询语句中同时搜索键值数据和松弛空间。
搜索已知的值是查找此类信息的好方法,因此我尝试使用RECmd搜索我的本地注册表来获取我主机的MAC地址。于是在SYSTEM注册表的hive中找到了以下键和值:
SYSTEMControlSet001ControlNetworkSetup2Interfaces{GUID}KernelCurrentAddress
如果想直接解析这个值,需要使用-kn和-vn选项。由于可能存在多个接口,所以我们必须用通配符替换{GUID},而-kn选项并不支持这一点。为此,我们需要使用批处理文件。如果你还没有用过RECmd批处理文件,我强烈推荐。它确实能让你非常快速地处理大规模的注册表数据。
我写了一份批处理文件来提取这个值,并对其进行了测试,但可惜事实事与愿违。Windows以二进制格式存储 MAC地址,而我使用的RECmd版本中,该工具通过编程来输出“二进制数据”,而不是实际的十六进制数。这是一个聪明的做法,因为大量的数据可能会存储在这里,这也会产生真正阻塞输出。
现在可以在批处理文件中使用两个新的可选参数:
1. IncludeBinary - 如果为真,将以十六进制格式转储二进制文件(这对我的问题很有帮助);
2. BinaryConvert - 将数据解码为IP或FILETIME格式。
从这里,我可以从镜像中导出所有的SYSTEM注册表hive文件,并在每一个镜像上运行批处理文件。
此次测试使用Win10系统,不代表其他版本Windows测试效果。
参考链接:
https://thinkdfir.com/2019/10/05/hunting-for-mac-addresses/
原文始发于微信公众号(数据安全与取证):测试 | 搜寻MAC地址
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论