Thursday, August 29, 2013

Safari Binary Cookies - Now with more parsing power!

Safari stores cookies in a file called Cookies.binarycookies under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location ~/Library/Cookies/Cookies.binarycookies. In earlier versions of Safari, cookies were stored in a plist file which could be easily read in a plist editor. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newer binarycookies file format - not so much.

Several people have already done a fantastic job of breaking down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format and writing scripts to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cookies. If Perl is your flavor, check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se handy tools from Jake Cunningham. If you love Python, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script from Satishb3 does a great job of parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information.


While both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above scripts do a fantastic job of parsing and presenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cookies.binarycookies file, I wanted a way to parse a directory full of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se binarycookies as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Analytic values from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies.

The awesome thing about open source is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to not only learn by looking at someone else's code, but to build on top of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have done and create or tailor something for what you need (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hopefully turn around and share it again with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs).


When I was reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Satishb3 python script, I did not see a specific licensing agreement distributed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code. I reached out to Satishb3 for permission to reuse his code and luckily for me, he graciously wrote back granting me permission.

This saved me a lot of time, and enabled me to focus my efforts on adding in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 features that I needed. I sat down with some Dr. Pepper and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handy, dandy SIFT Workstation,and wrote a python script that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binarycookies file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following additions:


1) Parses a directory full of cookies
2) Parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Analytic values from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cookies (umta, utmb, utmz)
3) Added an option to output into TLN format


 Usage Examples


To process one file:
 bc_parser.py  -f Cookies.binarycookies -o myoutput.tsv

To process a directory of cookies:
bc_parser -d /full/path/to/cookies -o myoutput.tsv
To have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output in TLN format (this can be used with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file or directory option):

bc_parser.py -f Cookies.binarycookies -o myoutput.tsv - t -H MariPC -u Mari
 -f is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary cookie filename, -o is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output file,  -t means TLN output, -H is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Host (optional) and -u is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 username (optional) .

Example Cookie Output: 

Full Image

Google Analytic Output, utmz:


Full Image

TLN (Timeline Output):

Full Image


Download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bc_parser python script.





 


Monday, August 5, 2013

MS Office Recent Docs Plist Parser

Recently a post came up at Forensic Focus regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 com.microsoft.office.plist file. I had a case several months ago where I ran into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same situation - trying to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Access Date stored in this file.  I have been meaning to get around to writing about what I found,  so after I saw that post I thought I would get in gear and do it.

When opening documents in Office 2008 and 2010 ( not sure about ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r versions) on a Mac cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is presented with a dialog box for recent documents, called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Workbook Gallery.  As you can see by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen shot below, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recent Documents tracks  cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name, Last Opened date and File Path of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent documents:


This information is stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 com.microsoft.office.plist file under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 User's profile : /Users/%Username%/Library/Preferences/.

Some notes about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 com.microsoft.office.plist files:
  • It can contain A LOT of entries. I found close to 1500 entries spanning 4 years. 
  • It can also have User Information such as name and email address
  • It has Volume names, so you can see if files were opened from an external drive, etc.
If you do not have a Mac, you can view this file with plist Editor for Windows from icopybot.com. Below is a screen shot of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 com.microsoft.office.plist file looks. There is an Access Date field and File Alias field which both appear to be Base64 encoded:



Sometimes using various tools to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information is presented is helpful. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist file is from a Mac, my next choice was to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file natively on a Mac. There is a free Plist Editor included in XCode, which is a developer tool published by Apple.

Looking at this plist file through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xcode Plist Editor shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:



Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Access Date look familiar, Hex values - and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Alias looks like it's in Hex too.

Time to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in a Hex viewer to see what’s going on:



Ah ha! File Paths, File names, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp information.

Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trick – figuring out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp. By doing some testing – I.E. opening up files in MS Office on a Mac, checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp values, and brainstorming with Brian Moran, we were able to figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp appeared to be in HFS+ 32 Bit Little Endian:

B95120CE = Thu, 01 August 2013 10:56:09 -0700

We couldn’t quite figure out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two bytes, 0xEB6A, were for – maybe milliseconds? Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r testing will need to be done to confirm this.

Time to time it all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Field from File Alias in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac Plist Editor and convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hex value to ASCII (try this website) to get your File Paths and File Name:

Hex:
00000000 01960002 00000a4d 44544855 4d424452 56000000 00000000 00000000 00000000 00000000 00004244 0001ffff ffff1645 6d706c6f 79656520 53616c61 72696573 2e786c73 78000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 0000ffff ffff0000 00000000 00000000 0000ffff ffff0000 0a024953 00000000 00000000 00000000 0018436f 6d70616e 7920546f 70205365 63726574 2046696c 65730002 00442f3a 566f6c75 6d65733a 4d445448 554d4244 52563a43 6f6d7061 6e792054 6f702053 65637265 74204669 6c65733a 456d706c 6f796565 2053616c 61726965 732e786c 7378000e 002e0016 0045006d 0070006c 006f0079 00650065 00200053 0061006c 00610072 00690065 0073002e 0078006c 00730078 000f0016 000a004d 00440054 00480055 004d0042 00440052 00560012 00302f43 6f6d7061 6e792054 6f702053 65637265 74204669 6c65732f 456d706c 6f796565 2053616c 61726965 732e786c 73780013 00132f56 6f6c756d 65732f4d 44544855 4d424452 5600ffff 0000

ASCII:
MDTHUMBDRV
Employee Salaries.xlsx
Company Top Secret Files
D/:Volumes:MDTHUMBDRV:Company Top Secret Files:Employee Salaries.xlsx
Employee Salaries.xlsx
MDTHUMBDRV
0/Company Top Secret Files/Employee Salaries.xlsx
/Volumes/MDTHUMBDRV
Mari DeGrazia


(In this example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume name of my thumbdrive was MDTHUMVDRV)

Then use Dcode (or whatever you like) to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hex timestamp (remember to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two Bytes):


If you do not have a Mac at your disposal, no worries, you can still use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows plist editor.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist Editor for Windows, convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Access Date from Base64 to Hex (try this website):
AAC5USDO62o=  =  0000B95120CEEB6A

Then use DCode to convert B95120CE as shown above.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Alias, convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data field from Base64 to ASCII, try this website for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversion.

Or go for door number two - you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 python scrip I wrote, OfficePlistParser to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.

The script will pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRU ID (so you can refer back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist for verification), Access Date in UTC, and Full Path. Long file names appear to be concatenated with with a random set of numbers, like so:

\long\path\to\my\long\file\name\Supercalifragilistic#6E432C.doc

In Office 2010, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long file names are supplied in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file aliases which are parsed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script.

It also pulls User information which is output to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen. A note on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 User information. I noticed on some of my test data that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 username in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who first registered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product, or entered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir user information into MS Word first. This did not correspond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user who opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.

For example, on anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Mac I created a profile for testing, opened a document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. The owner's name was listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist file, not mine or my account user name. Some more research will need to be done here.... If your looking at a carved plist files it's something to be aware of as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 username may not be representative of who opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files.

Since Python does not have native support for reading binary plist files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 library biplist is required. This can be installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIFT workstation using easy install:

sudo easy_install biplist

Here is an example some parsed content:


You can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scrip here. Enjoy, and any feedback/issues with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script are appreciated. It worked on my test data but I don't know what type of shenanigans your clients may be up to...

Also, quick shout outs to Cheeky4N6Monkey and @brianjmoran for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir help. Three minds are better cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n one, right?