锁定电脑配置信息
最近给公司搞内网安全,发现有些员工偷偷修改自己的计算机名、MAC和IP地址信息,然后被网管或者IT部门在系统里查到的计算机的详细信息里的“物理地址”一栏就是改后的MAC地址了,这样就很容易骗过系统管理员。 虽然系统里面可以看到的MAC是改过的,但是网络层上的数据报文都是真真切切的,外网上的防火墙都可以看到真实的MAC,所以改不改无甚影响,只是如果发生网络纠纷的时候可能有点麻烦。 我用的工具是EtherApe,能看见所有主机(包括隐藏主机)的MAC、IP、物理位置等。当然,如果想只观察自己主机的后台,可以用Process Monitor配合ProcDump抓到了进程explorer.exe(win7)或taskhost.exe(win8/10)之后在EtherApe中添加对应的PID就可以看到了。 至于为什么修改这些信息,据说是一些盗版软件会检测这些电脑信息是否修改,如果修改就会不能激活正版软件。不过我没有找到证据,这只是道听途说。
还有一种方法可以看到每个主机的确切硬件信息,就是在命令提示符下输入ipconfig /all,可以看到本机网卡的所有参数,包括物理地址等。 如果想仅查看Windows参数,可以使用win+R,输入cmd,然后在命令行下输入 nbstat -a -r | findstr "Physical Address" 注意这里显示的物理内存比实际内存要少,因为计算机会把一部分硬盘空间作为虚拟内存使用。