Analyse des points d’accès sans fil dans la base de registre

Le registre Windows contient une base de données hiérarchique contenant la configuration du système où se trouvent les informations relatives aux accès sans fil.

Sous Windows Vista par exemple, nous retrouverons ces informations dans : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ NetworkList\Signatures\Unmanaged.

Nous pouvons à partir du shell (cmd.exe) lister tout cela :


C:\Windows\system32>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\  
Windows NT\ CurrentVersion\NetworkList\Signatures\Unmanaged" /s  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  
NT\CurrentVersion\NetworkList\Signatures\ 
Unmanaged\010103000F0000F0080000000F0000F04BCC2360E4B8F7DC8BDAF  
AB8AE4DAD8 62E3960B979A7AD52FA5F70188E103148 
ProfileGuid REG_SZ {3B24CE70-AA79-4C9A-B9CC-83F90C2C9C0D}  
Description REG_SZ Hooters_San_Pedro  
Source REG_DWORD 0x8  
DnsSuffix REG_SZ  
FirstNetwork REG_SZ Public_Library  
DefaultGatewayMac REG_BINARY 00115024687F0000

Le registre stocke l’adresse MAC de la passerelle comme type REG_Binary. Dans l’exemple précédent, nous la retrouvons sous la forme 00115024687F0000, soit \x00\x11\x50\x24\x68\x7F\x00\x00, mais conventionnellement, l’écriture de l’adresse MAC serait 00:11:50:24:68:7F:00:00.

Créons donc une fonction qui transforme l’adresse MAC de type REG_BINARY en une adresse MAC conventionnelle :...

couv_EP2HAFO.png

Découvrez 

le livre :
je lis la suite !

Aussi inclus dans nos :

41-logo_abonnement.svgAbonnements
Précédent
Volatility
Suivant
Retrouver les éléments supprimés (dans la corbeille)
logo_ENI_global.svgConditions générales d'utilisationCopyright - © Editions ENI ||Politique de protection des données du groupe ENI