Olá a todos, no post de hoje vamos falar sobre a análise forense e extrair todas as informações sobre redes Wi-Fi à qual está ligado um PC com Windows.

Para o Windows, listamos a rede Wi-Fi para que um usuário tenha contectado analisando a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged\XXXXXXX

Podes ver um exemplo das seguintes capturas:

Para extrair informações mais rápido e não ter que ir ler uma por uma todas as subchaves, eu programei um script Python simples que eu sair e, em seguida, vamos listar todas as redes:

from _winreg import *

def val(val):
    addr=''
    for ch in val:
        addr+='%02x '% ord(ch)
    addr=addr.strip(' ').replace(' ',':')[0:17]
    return addr

def showNetworkList():
	key=OpenKey(HKEY_LOCAL_MACHINE,r"SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged")
	print '\n WiFis:\n ======'
	subkeyNo,valueNo,lastMod=QueryInfoKey(key)
	for x in range(subkeyNo):
		try:
			netKey=OpenKey(key,str(EnumKey(key,x)))
			(n,addr,t)=EnumValue(netKey,5)
			(n,name,t)=EnumValue(netKey,4)
			print ' - ' + str(unicode(name).encode("utf-8")) + ' [' + val(addr) + ']'
			CloseKey(netKey)
		except WindowsError:
			break

def main():
    showNetworkList()
if __name__=="__main__":
    main()

Abaixo, você vai ver o resultado desse console foi dado:

Além disso, a configuração destes redes WiFi é armazenada noutro local. No caso do Windows 7 são armazenados em arquivos XML hospedados no seguinte caminho:

 

C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{Interfaz}

E no caso do Windows XP, esta información a encontraremos no registro de Windows, no seguinte caminho:

c:/ProgramData/Microsoft/Wlansvc/Profiles/Interfaces/[INTERFAZ]

Isso é tudo por hoje, não vai resistir a qualquer Wifi! 

Abraços!