测试 | 搜寻MAC地址

本文由罗盟编译，陈裕铭、Roe校对，转载请注明。

最近，我遇到一个案例是需要从一大堆镜像中识别计算机的MAC地址，我试图通过查看注册表来解决问题,而Zimmerman工具（https://ericzimmerman.github.io/）为这次搜索提供了帮助。

该工具最近还十分有效地添加了一个-sa选项，这样使得用户可以在一条查询语句中同时搜索键值数据和松弛空间。

搜索已知的值是查找此类信息的好方法，因此我尝试使用RECmd搜索我的本地注册表来获取我主机的MAC地址。于是在SYSTEM注册表的hive中找到了以下键和值：

SYSTEMControlSet001ControlNetworkSetup2Interfaces{GUID}KernelCurrentAddress

如果想直接解析这个值，需要使用-kn和-vn选项。由于可能存在多个接口，所以我们必须用通配符替换{GUID}，而-kn选项并不支持这一点。为此，我们需要使用批处理文件。如果你还没有用过RECmd批处理文件，我强烈推荐。它确实能让你非常快速地处理大规模的注册表数据。

我写了一份批处理文件来提取这个值，并对其进行了测试，但可惜事实事与愿违。Windows以二进制格式存储 MAC地址，而我使用的RECmd版本中，该工具通过编程来输出“二进制数据”，而不是实际的十六进制数。这是一个聪明的做法，因为大量的数据可能会存储在这里，这也会产生真正阻塞输出。

现在可以在批处理文件中使用两个新的可选参数：

1. IncludeBinary - 如果为真，将以十六进制格式转储二进制文件（这对我的问题很有帮助）；

2. BinaryConvert - 将数据解码为IP或FILETIME格式。

从这里，我可以从镜像中导出所有的SYSTEM注册表hive文件，并在每一个镜像上运行批处理文件。

此次测试使用Win10系统，不代表其他版本Windows测试效果。

参考链接：

https://thinkdfir.com/2019/10/05/hunting-for-mac-addresses/