Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Узнать MAC адрес используя образ диска мертвой машины

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

kowalski833

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть образ диска от компа формата tib Acronis, доступа к самому компу нету.
Нужно узнать какой MAC был у компа в момент снятия образа.
 
Гугол подсказал что надо найти и импортировать файл system из каталога Windows/system32/config
Файл нашёл, импортировал, но по указанному адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}
нет параметра NetworkAddress
Практические опыты показали, что параметр этот создаётся только когда на уровне драйвера изменяешь mac-адрес, например в диспетчере устройств на вкладке свойств сетевого адаптера.
Если же через драйвер не менялся mac, то он не сохраняется в этой ветке реестра.
Где ещё может хранится mac???
Мне в голову приходит только ARP-кэш, но гугол не сказал где он лежит на диске физически???
Может ещё есть какие варианты???

Всего записей: 12 | Зарегистр. 30-03-2017 | Отправлено: 12:27 07-04-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kowalski833  
1.Реальный физический MAC адрес прошит в EEPROM сетевой карты. Сменить этот хардварный MAC можно спецутилитами от самой сетевой карты.  
2. Если MAC менялся в винде прогами или в св-вах сетевухи, то он записывается в реестр, туда куда ты и сказал, и оттуда потом и берется виндой для сетевых протоколов.  
3. ARP-кэш нигде не хранится, это динамическая таблица, создается в памяти и постоянно меняется, более того хранит там не все адреса, а только те , к которым недавно обращались, и недолго.
 
Если физического компа у тебя нет, то и вариантов имхо уже нет. Если комп живой и в сети, то шанс есть.
 
 Адрес своей карты в Arp кэше своей машины  ты не увидишь, его там нет.  Ты можешь узнать мак-адрес другого компа, если он в сети и  если знаешь его  IP адрес,  ping IP затем arp -a
 
Ты можешь узнать мак-адреса многих устройств в твоем сегменте локальной сети, если будешь пингать адрес бродкаста несколько секунд.  Например, наша сеть 192.168.0.0/255.255.255.0
адрес бродкаста будет 192.168.0.255, его и пингаем секунд 15-20.
ping -t 15 192.168.0.255
arp -a
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 15:16 07-04-2017 | Исправлено: ipmanyak, 15:20 07-04-2017
ne_viens

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Программы часто используют мак адрес для привязки лицензии к конкретному компу. Можно поискать *.lic license.txt, итд файлы. Для FlexLM или Nalpeiron, например, там будет строки вида:
FEATURE f1 sampled 1.000 permanent 5  HOSTID=001122334455  SIGN=xxx
 
Но лучше в регистре покопатся, там его как грязи, так как мак адрес часто используется для генерации GUID в качестве последних 6 байт. Несколько примеров:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\HomeGroup\HME\Members
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media Player NSS\3.0\Devices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16b85357-5845-11e0-973f-MAC_ADDRESS_IS_HERE}

Всего записей: 1525 | Зарегистр. 01-11-2004 | Отправлено: 15:57 07-04-2017 | Исправлено: ne_viens, 18:24 07-04-2017
kowalski833

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ne_viens
Спасибо попробую))
НУ чтож, список предположительно нужных адресов получен из  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
 
Всего то адресов кот наплакал))
806d6172696f
180373b4df78
b8a7c89718cb
be60854572c4
e0e0f0c74591
993eff3486ca
180373b51a63
8f0e457f50ca
806d6172696f
a2ee0c5f43cb
180373b50d1d
 
Побегаю ещё по ресстру на другой машине с заведомо известным maс.
Очень странно, мне конечно же приходила мысль взять мак рабочей машины и поискать его в реестре, но я этот поисз сделал на виртуальной windowx XP из VirtualBox, и там поиск результатов не дал, поэтому я и забил...а так то да, на моей  реальной домашней винде оказывается куча мест где mac записан....

Всего записей: 12 | Зарегистр. 30-03-2017 | Отправлено: 18:29 07-04-2017 | Исправлено: kowalski833, 19:23 07-04-2017
ne_viens

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
806d6172696f
b8a7c89718cb
be60854572c4
e0e0f0c74591
993eff3486ca
8f0e457f50ca
806d6172696f
a2ee0c5f43cb
вычёркиваем как негодные (в первом, или в 7, или в 8 бите единица)
 
Остаётся 3 Dell'а
180373b4df78
180373b51a63
180373b50d1d
 
Или в компе 3 сетевухи побывали, или кто-то от погони уходил :)
Берём UUID декодер тут:
http://winpg.jp/~saito/pg_work/OSSP_win32/
, скармливаем полные UUIDы, смотрим который самый первый по времени создан.
Можно и без декодера, так как дату создания формирует первые 3 группы hex чисел:
39a3554b-4b36-11e0-9664-00104bee93ff = 11e04b3639a3554b
Найменшее число = самое раннее время создания.
 

Всего записей: 1525 | Зарегистр. 01-11-2004 | Отправлено: 11:00 08-04-2017
alexnov66



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kowalski833
А если просмотреть файл лога установки драйверов, там мак адрес записан в естественном виде без двоеточий.
C:\windows\inf\setupapi.app.log
>>>  [DIF_SELECTBESTCOMPATDRV - STORAGE\VOLUME\{5FA12F3E-A5AF-11E6-A787-001191186224}#0000000008005000]

Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 14:08 08-04-2017 | Исправлено: alexnov66, 14:15 08-04-2017
kowalski833

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ne_viens
Спасибо, ведь ведь есть же умные люди))
А можно поподробней, почему не должно быть единицы в указанных битах???
alexnov66
Спасибо, гляну и туда))

Всего записей: 12 | Зарегистр. 30-03-2017 | Отправлено: 14:13 08-04-2017 | Исправлено: kowalski833, 14:35 08-04-2017
HavingingWorld



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если имелся какой либо лицензионный софт, даже типа сама винда. Берешь и пишешь в поддрежку, указываешь рег данные и просишь выдать мак адрес.

Всего записей: 167 | Зарегистр. 31-08-2011 | Отправлено: 18:38 08-04-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Узнать MAC адрес используя образ диска мертвой машины


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru