MAC的原理.doc

首先了解一什么是下MAC。通俗點(diǎn)說MAC就是電腦上網(wǎng)用的網(wǎng)卡， MAC地址就是在媒體接入層上使用的地址，也就是網(wǎng)卡的物理地址。現(xiàn)在的Mac地址一般都采用6字節(jié)48bit（在早期還有2字節(jié)16bit的Mac地址）。每塊網(wǎng)卡在生產(chǎn)出來后，除了基本的功能外，都有一個(gè)唯一的編號(hào)標(biāo)識(shí)自己。全世界所有的網(wǎng)卡都有自己的唯一標(biāo)號(hào)，是不會(huì)重復(fù)的。這個(gè)MAC地址是由48位2進(jìn)制數(shù)組成的，通常分成6段，用16進(jìn)制表示就是類似00-D0-09-A1-D7-B7的一串字符。其次談?wù)凪AC在刑事偵查中的作用。由于網(wǎng)卡和身份證一樣具有唯一性，所以我們就可以利用它來查找被盜電腦的線索，從技術(shù)上來說，只要被盜的電腦有在上網(wǎng)使用，就可以通過技術(shù)手段掃描到使用者的IP地址、電話及詳細(xì)資料，然后按圖索驥找到嫌疑人。在明白了MAC的原理和作用后，我們來了解一下如何獲取MAC的地址。 一、一般可以從電腦的外包裝，裝箱單，說明書，保修卡等上面找到地址。 二、可以從電腦上找，有些會(huì)貼在電腦上，沒貼的也能通過在運(yùn)行中輸入到狀態(tài)輸入得到。但一般情況下事主都不會(huì)刻意的記錄這個(gè)，而且如果電腦被盜后也無法查詢。 三、現(xiàn)在的電腦用戶絕大部分采用ADSL上網(wǎng)的，那么網(wǎng)絡(luò)服務(wù)商就會(huì)給我們提供一個(gè)上網(wǎng)賬號(hào)和密碼。我們就可以用這個(gè)賬號(hào)和密碼通過服務(wù)商倒查出我們上網(wǎng)用的MAC地址。 四、現(xiàn)代家庭中很多人擁有2臺(tái)以上電腦的，這樣就需要使用路由器，在電腦使用的時(shí)候路由器會(huì)紀(jì)錄下每臺(tái)電腦的MAC地址。 五、雖然現(xiàn)在的電腦品牌機(jī)較多，但是生產(chǎn)和銷售的廠家都會(huì)紀(jì)錄下每臺(tái)電腦的機(jī)器碼、MAC地址等。我們就可以用購買時(shí)的發(fā)票等資料通過他們倒查出MAC的地址。 六、通過網(wǎng)監(jiān)部門查找MAC地址。 與大家分享，希望盡快建立被盜搶電腦MAC地址庫，并接入運(yùn)營商查詢接口。 具體的方法是：一般的手提電腦公司都有一個(gè)被盜系統(tǒng)，在電腦被盜后將該電腦的條形碼提供給該電腦公司，電腦公司會(huì)將該條形碼輸入其公司全國聯(lián)網(wǎng)的報(bào)警系統(tǒng)，嫌疑人如果帶著電腦到售后去維修，在維修時(shí)會(huì)自動(dòng)報(bào)警。從而可以找回該電腦，不過嫌疑人要是不去該電腦公司的每臺(tái)電腦只要接入網(wǎng)絡(luò)，必然會(huì)在網(wǎng)絡(luò)提供商處留下記錄，這個(gè)記錄中就包括MAC地址，如果事先布控的電腦被竊，之后這臺(tái)電腦在接入網(wǎng)絡(luò)，通過對(duì)MAC地址查詢就可以追到電腦。這個(gè)在技術(shù)上沒有什么難的。關(guān)鍵問題查詢必須依托當(dāng)?shù)仉娦拧⒕W(wǎng)通、鐵通等網(wǎng)絡(luò)提供商，如果電腦被帶到其他地區(qū)上網(wǎng)，那就沒有辦法，只有通過更高部門的協(xié)調(diào)查詢。詳解如何追蹤被盜筆記本電腦如今二十一世紀(jì)是電腦的時(shí)代，是網(wǎng)絡(luò)的時(shí)代。可以說電腦已經(jīng)深入普通老百姓家中，從臺(tái)式電腦、筆記本到如今較為流行的3G上網(wǎng)本均很普遍，筆記本電腦、3G上網(wǎng)本因其小巧且價(jià)格較高的緣故，往往成了犯罪嫌疑人盜竊的首要目標(biāo)。如何追蹤這些被盜物品，并通過被盜物品的銷售渠道找尋到真正的犯罪嫌疑人，一直是各一線警隊(duì)的首要難題！下面我給大家介紹一下我局信息研判中心是如何通過技術(shù)手段反向跟蹤追尋被盜筆記本電腦，并順利破獲爬窗入室盜竊案件的。 關(guān)于被盜筆記本追回的辦法很多地方可能都已經(jīng)在做了，且90%以上都是網(wǎng)監(jiān)部門具體負(fù)責(zé)，不就是MAC地址嗎？可是我想問一下？有多少地方已經(jīng)很成功的運(yùn)用此技戰(zhàn)法追回被盜筆記本電腦的？下面我詳解一下我局破獲的典型案例給大家拋磚引玉。一：必備知識(shí)講解 MAC地址 MAC地址簡(jiǎn)單的說就是網(wǎng)卡地址（包括無線網(wǎng)卡、集線器、路由器等），MAC地址由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫在硬件內(nèi)部。MAC地址與網(wǎng)絡(luò)無關(guān)，也即無論將帶有這個(gè)地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到網(wǎng)絡(luò)的何處，都有相同的MAC地址，它由廠商寫在網(wǎng)卡的BIOS里。并且每個(gè)網(wǎng)絡(luò)制造商必須確保它所制造的每個(gè)以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個(gè)字節(jié)。這樣就可保證世界上每個(gè)以太網(wǎng)設(shè)備都具有唯一的MAC地址。路由器 簡(jiǎn)單的說路由器就是用來連入互聯(lián)網(wǎng)的設(shè)備。路由器的一個(gè)作用是連通不同的網(wǎng)絡(luò)，另一個(gè)作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來。 通常在我們家用中比較常見的路由器作用就是給多臺(tái)電腦能共用一條網(wǎng)線上網(wǎng)沖浪。路由器內(nèi)部也具有MAC地址。 二典型案例詳細(xì)分析 1.發(fā)案 2009年6月1日晚22時(shí)許，暫住在我區(qū)的張某下班回家時(shí)發(fā)現(xiàn)放在其租住房間里的三星筆記本電腦被盜，電腦為三星黑色R18型號(hào)，購買于2008年8月，購買價(jià)格為8000元。且經(jīng)過受害人反映，該電腦于當(dāng)日中午還在家中上網(wǎng)，后受害人上班后被竊，失竊時(shí)間大約為6月1日14時(shí)至22時(shí)之間。 2.分析 了解案情后，辦案民警反饋該筆記本電腦為受害人親屬所贈(zèng)，筆記本購買手續(xù)及保修卡都不在受害人手里，無法獲取該被盜筆記本的主機(jī)編號(hào)（序列號(hào)），經(jīng)我局情報(bào)中心民警分析，該筆記本電腦在被盜當(dāng)日中午還曾接入互聯(lián)網(wǎng)，且為ADSL撥號(hào)上網(wǎng)用戶，撥號(hào)電話號(hào)碼為：051588897098可通過電信部門反查被盜電腦MAC地址進(jìn)行工作。隨即我局情報(bào)中心民警到電信部門獲取了受害人張某當(dāng)時(shí)上網(wǎng)情況。 以下內(nèi)容為電信調(diào)取數(shù)據(jù)：051588897098 ADSL住宅用戶全包 2009-06-01 12:36:20 2009-06-01 13:42:36 61.177.248.6 00:13:77:78:1c:4e 以上紅色字符標(biāo)示的即為該筆記本電腦的網(wǎng)卡MAC地址，根據(jù)前面提到的MAC地址在全球具有唯一性的特質(zhì)分析，如果該筆記本電腦在被盜后還曾使用網(wǎng)絡(luò)，那使用網(wǎng)絡(luò)的不是盜竊者本人即為收贓者。 3.追蹤 2009年8月我局刑警大隊(duì)在分管刑偵局長的指示下，大力緊盯被盜筆記本案件，力爭(zhēng)通過MAC地址找回被盜筆記本電腦，并能順利破獲此類侵財(cái)性案件。隨即我局情報(bào)中心梳理整理了2009年以來所有被盜筆記本電腦案件，將前期已經(jīng)整理好的MAC地址數(shù)據(jù)與電信上網(wǎng)歷史數(shù)據(jù)進(jìn)行比對(duì)碰撞（在我地區(qū)該部門叫做業(yè)務(wù)支撐中心，各地叫法不同，就是儲(chǔ)存電信上網(wǎng)用戶歷史信息的）。比對(duì)后發(fā)現(xiàn)有如下數(shù)據(jù)引起民警重視： 051588897098 2009-06-01 12:36:20 3976 00:13:77:78:1c:4e yca6160596 2009-07-13 12:01:23 349 00:13:77:78:1c:4e 很明顯的可以看出來，同一個(gè)MAC地址，在不同的時(shí)間使用了不同的賬號(hào)登陸過互聯(lián)網(wǎng)，第一個(gè)賬號(hào)為受害人失竊筆記本電腦當(dāng)日記錄，且時(shí)間和賬號(hào)與受害人提供一致。第二個(gè)賬號(hào)的出現(xiàn)且為另一寬帶撥號(hào)賬號(hào)，且撥號(hào)時(shí)間為被盜筆記本失竊之后，所以可以認(rèn)定該筆記本電腦失竊后，肯定在7月13日12時(shí)出現(xiàn)在YCA6160596這個(gè)用戶家中。再次通過電信部門查詢YAC6160596寬帶賬戶的裝機(jī)地址，發(fā)現(xiàn)為某地，機(jī)主姓名管某。我局情報(bào)中心民警當(dāng)即追尋筆記本電腦，與管某接觸后，管某交代了于2009年7月在當(dāng)?shù)?