Friday, December 28, 2007

The MAC Daddy

I received a question in my inbox today regarding locating a system's MAC address within an image of a system, and I thought I'd share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response I provided...
"The path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key that tells you which NICs are/were in use on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards

Beneath this key, you will see a set of subkeys, each with different numbers;
on my system, I see "10", "12", and "2". Each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys contains values;
Description and ServiceName. The ServiceName value contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUID
for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface.

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUIDs, go to:
HKLM\SYSTEM\ControlSet00x\Services\Tcpip\Parameters
\Interfaces

*Be sure to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ControlSet marked as "Current".

Beneath this key, you'll see subkeys with names that are GUIDs. You're
interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUIDs you found beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous key. Within each key,
you will find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values associated with that interface.

By default, Windows does not retain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry. I'm
aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are sites out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that say that it does, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are incorrect...
at least, with regards to this key. If you *do* find an entry within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Interfaces"
key above that contains a value such as "NetworkAddress", it is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r specific
to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC/vendor, or it's being used to spoof cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address (this is a known
method).

Also check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following key for subkeys that contain a "NetworkAddress" value:
HKLM\SYSTEM\ControlSet001\Control\Class
\{4D36E972-E325-11CE-BFC1-08002bE10318}

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places you can look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address:

*Sometimes* (not in all cases) if you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following key, you may find a value
named "MAC", as well:
HKLM\SOFTWARE\Microsoft\Windows Genuine Advantage

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r place to look is Windows shortcut (*.lnk) files...Windows File Analyzer
is a GUI tool that parses directories worth of *.lnk files and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fields that
may be populated is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system."

I thought ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs might find this helpful as well...

3 comments:

Anonymous said...

On a related note, I've seen quite a few inquiries on finding an IP address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry. In at least most cases (perhaps depending on service type), I believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC is present when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is live, but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter. (A good reason to run a few of your tools on a live system if justified.) You can, however, get information such as DHCP IPs and gateway IPs, and that information could be useful.

H. Carvey said...

Great comment, Jimmy...thanks!

Anonymous said...

The best place I've found MAC Addresses listed for a system has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log.
Look for System Event Logs with SOURCE=DHCP and for example, event id=1003(onWinxp). This particular example is when a system attempts (and fails)to renew its address. The event log will record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network card's network(MAC) address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Description.