Tiếp tục về system configuration ở phần trước , phần này mình sẽ phân tích một số registry key có thông tin liên quan tới network.

1. Network Interfaces

Trong quá trình sử dụng, người dùng thường xuyên kết nối lại với mạng đã truy cập trước đó. Để cải thiện hiệu xuất, trải nghiệm người dùng, DHCP Network Hint đã được triển khai từ HĐH Windows 7, khi người dùng kết nối lại với mạng đã truy cập từ trước đó, DHCPNetworkHint giúp xác định cấu hình DHCP cho mạng đã truy cập trước đó. Tính năng này bị giới hạn chỉ cho các mạng có SSID được liên kết. Đối với người điều tra, những thông tin về network interfaces này cũng vô cùng hữu ích trong trường hợp có thông tin liên quan đến mạng được thu thập và nó nằm ở Registry key:

SYSTEM\CurrentContro1Set\Services\Tcpip\Parameters\Interfaces

Khóa này sẽ chứa rất nhiều thông tin cần thiết. Cụ thể, nó sẽ cho phép bạn xem thông tin TCP/IP được cấu hình, địa chỉ IP và thông tin hữu ích khác. Nếu máy được cấu hình cho DHCP, máy sẽ chứa địa chỉ IP DHCP, subnet mask, IP của máy chủ DHCP.

Ví dụ:

Trong ví dụ này, chúng ta có thể thấy rằng IP là địa chỉ IP DHCP là 10.1.93.247, DHCP Server được tìm thấy tại 10.1.62.240, với Domain là vnpt.vn. Ngoài ra để ý phần DhcpNetworkHint: 65E40545D274555435450475966696, giá trị này convert sang ta sẽ được VNPT-GUEST@wifi (56 4E 50 45 2D 47 55 45 53 54 40 57 69 66 69).

Registry Explorer hỗ trợ view các Networks interfaces khá dễ nhìn ví dụ như hình dưới đây:

2. Historical Networks

Tiếp theo là xác định, định danh được intranets và networks mà hệ thống máy tính đã kết nối. Để phân tích lịch sử networks, ta sẽ xem xét tới ba Registry Key:

  • SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList \Signatures\Managed
  • SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList \Signatures\Unmanaged
  • SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList \Nla\Cache

Ba Registry key ở trên có thể giúp chúng ta xác định được máy tính này đã được kết nối với những networks nào. Network kết nối đầu tiên và cuối cùng, danh sách bất kỳ networks nào đã kết nối.

Những thông tin về Network có thể xác định được là:

  • Domain name / intranet name
  • SSID
  • Gateway MAC

Dưới đây là một ví dụ:

Nói thêm về NLA (Network Location Awareness) được xây dựng từ Windows 7 để hỗ trợ người dùng xác định nơi máy tính có thể đã được kết nối để điều chỉnh tường lửa thích hợp. Điều này cũng cho một số thông tin đối với người điều tra. Cụ thể hơn, đối với mỗi networks interfaces mà máy tính đã kết nối, NLA tổng hợp thông tin mạng và tại ra một mã định danh duy nhất (GUID). Nói cách khác nó tạo ra một cấu hình mạng cho bất ký mạng nào máy tính kết nối đến. Tường lửa của Windows sau đó sử dụng thông tin này để áp dụng các rules thích hợp từ Windows Firewall Profile. Điều này chi phép bạn áp dụng các rules khác nhau tùy thược vào networks máy tính kết nối đến. VD mạng gia đình có bộ rules ít hạn chế hơn mạng ở nơi công cộng hay ở cơ quan làm việc.

NLA sẽ hiển thị danh sách tất cả các network máy tính đã từng kết nối đến thông qua DNS suffix.

Có một thông tin quan trọng mà chúng ta cần ghi lại đó là GUID. Mã GUID cho có thể ánh xạ để xác định thông tin hữu ích khác liên quan đến network máy tính đã kết nối tới.

3. Connect Time

Chúng ta có thể sử dụng ProfileGUID để xác định chính xác lần đầu và lần cuối kết nối đến một network. Chẳng hạn kiểm tra một networks tìm được trong key  SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Signatures\Unmanaged:

Xác định được GUID: {066363EF-6C6A-42E7-A0E9-991167274173}. Tại SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles xác định key có key name trùng với GUID vừa tìm được:

Convert value data này sang định dạng Windows SYSTEM Date/Time 128 bit ta sẽ có thời gian đầu tiền và cuối cùng kết nối tới network này. Có thể chuột phải vào value data E407030003000B0009001C000E00E300 và chọn Data Interpreter:

Hoặc dùng công cụ Dcode Date:

Trong trường hợp này, nếu để ý bạn có thể thấy DateCreated và DateLastConnected trùng với nhau, điều này chứng tỏ mạng này mới được connect tới một lần nên lần đầu và lần gần nhất trùng với nhau và là 2020-03-11 09:28:14. Lưu ý rằng 2 mốc thời gian này được lưu dưới dạng LocalTime.

4.     Network Types

Làm sao để biết network mà máy tính người dùng đã connect tới thuộc loại gì không dây hay có dây?

Như ở phần trước dựa ProfileGuid ánh xạ sang key name trong SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles (Win7+) ngoài thông tin về thời gian connect lần đầu và lần gần nhất, key này còn cho thông tin về network type và network name. Ta xác định loại này dựa vào value data trong value name NameType:

Có 3 loại network:

  • NameType value = 0x47 => Wireless
  • NameType value = 0x06 => Wired
  • NameType value = 0x17 => Broadband (3G)

Như trong hình trên, value trong NameType là 71 tương đường với 0x47, vậy đây là loại Wireless.

Ngoài ra Catagory Value trong key này cho biết type network mà user đã chọn khi chọn network profile: 0 (Public), 1 (Private/Home), 2 (Domain/Work).

Lưu ý: đối với WinXP câu key này nằm tại:

SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\{GUID}

Bên trên mình có phân tích khá chi tiết về các key, bạn có thể sử dụng Registry Explorer, công cụ này hỗ trợ view khá dễ nhìn như hình dưới:

By,

T4fi, RE_TEAM

 

46 lượt xem