前前言:这是有关取证工具入门开发的最后一章,后面的课程以及文章会详细理解有关硬盘取证,内存取证,网络取证的知识。然后在前面的取证开发基础上,针对实战需求开发真正的有关取证工具。
前言:Windows注册表是一个分层式的数据库,其中存储了操作系统的大量配置设置信息,无线连接相关的信息也会存储在当中,了解相关注册表键值所在位置和函以后,我们可以获取到网关mac地址,通过国外有关服务查询到准确地理位置。
winreg模块:python的windows版本安装程序默认安装的一个库,linux和mac版没有。
Winreg函数:主要实现注册表的增删改查。
注册表操作流程:
打开一个指定键(OpenKey)->为打开的键里面的子键建立索引(EnumKey)->打开子键(OpenKey)->为打开的键里面的值建立索引(EnumValue)
网络信息所在注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\NetworkList\Signatures\Unmanaged
目的:
从注册表指定键值中提取“网络名称”和“网关MAC”
代码实现:
注册表中把网关MAC地址存为REG_BINARY类型,我需要将获取来的注册表值进行编码转换成一个实际的MAC地址
使用winreg模块对注册表进行查询操作:
我们需要对子建中的值建立索引,获取相应所需要的信息mac地址和ssid网络名称。之后调用前面所写好的函数对获取来的mac地址进行编码,得到实际的mac地址,对结果进行打印。
