Dude, Where's My Data?

Harlan's tweet (view picture to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right) got me thinking, and I would like to share a case example that I feel drove this particular point home for me.

 Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'Swiss Army' forensics tools will parse data for you and automate various tasks. For example, X-Ways will parse link files and EnCase will  parse (or mount, whatever term you prefer) PST files. Instead of exporting out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files and working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in separate programs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Swiss Army knives will display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in a more readable format within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir GUI.

Cell phone forensic programs work in a similar fashion. They will first acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone (if you’re lucky that day) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n parse typical data such as SMS and MMS messages, call logs and contact information. These programs can also generate a pretty report for you to turn over to your clients (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it’s a prosecutor,  a defense attorney or your cousin Vinnie). As an examiner, this can be great thing.  No need to locate and export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database, run queries and convert timestamps.

Each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs has taken a task that is repetitive and automated it - in most cases, saving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner time. But where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Swiss Army knife getting its data from, how is it interpreting it and  is it getting all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data?
 
Now, to get to my case example.  I had an iPhone where I was tasked with getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemails.  In order to do this I had three “Swiss Army knife” tools at my disposal:

• Swiss Army Knife A – $$$$$
• Swiss Army Knife B – $$$
• Swiss Army Knife C – $

All three programs were able to acquire a file system image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone as well as parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMS, MMS and call logs, but what I needed were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemails.  Only one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools (A) automatically parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemail.db file which contained information regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemails. I did locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemail.db file within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r programs (B and C) - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs just didn’t parse this database automatically.

Now, if an examiner had just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option of B or C that did not automatically parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemails and point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m out – would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have assumed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no voicemails? Ok, this may not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best example as voicemails are a pretty common thing, but what if it were a not so common artifact?

I decided to use A to conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exam since it had already parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemails saving me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of exporting out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database, running quires and converting timestamps. I could now get a pretty report.   I went to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program threw an error. No report, no exported voicemails.  Dude, where's my data?
 
In my quest to find out why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $$$$$ Swiss Army knife threw an error, I went to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemail.db file to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was some abnormal data causing issues. I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemail.db file with an SQLite viewer and noted several columns of data NOT displayed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $$$$$ program.

Included were two columns I thought right off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bat could be important – a "flag" column and a "trashed" column. The flag column designates certain statuses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemail such as heard, unheard or deleted. The trashed column is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voicemails where placed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted folder. What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner needs to prove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspect had listened to a voicemail?  I know I don't always listen to my voicemails (sorry Kim) and opt to just call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person back instead. (Now I know you can't prove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y listened to it, per say. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir speaker was busted,  or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nephew had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir phone but this is just an example for illustrative purposes so just roll with me).

After some more testing, I determined it was blank values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database that were causing errors with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reporting. Was I going to wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next software update to get a report? No. Time to work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data myself. I had three options:

Good → Export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database into an Excel sheet, use formulas to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps

Better → Write a script to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data as I would probably need it again

Best → Have someone else write a script to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data

Now, arguably, Better and Best could be switched.  It’s always good to write your own tools so you gain a deeper understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. However, in my case I had someone (Cheeky4n6Monkey) reach out to me when I was working on iParser asking if I needed any help.  I know he enjoys learning and is always looking for a forensic project to help on. So racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n write my own parser  I thought this would be a nice project to involve him in.

A few emails later I had a custom tool written by him that gave me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact data I wanted and hopefully he got to learn something in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process too.

So in summary, I am going to quote Harlan’s tweet again:

 How much do you know about what your tools do for you?  May I make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following suggestions?  Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data with different tools to see what your tool may not be doing. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data, or look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in its native format to see how your tool interprets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and what it may be missing. Read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forums associated with your tool, see what it may be capable of that you are missing out on based upon how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs use it.

Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you need? In my case, not always. Sometimes I need to roll up my sleeves and do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dirty work by myself (err, in this case I asked someone else to join in with me).

Do you know what you need? How do you know what data you need, if you don’t even know it exists? Keep researching, reading blogs, watching webcasts and asking questions.  Don’t assume that everything will be handed to you on a silver platter by your tools.

Umm, in case you don't get my movie reference, Google "Dude, Where's My Car"  :-)

iParser Update: Batch Processing Added

I figured before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year I should cross off at least one thing on my list I have been meaning to do. When I first released iParser, I had some feedback asking for a way to batch process plist files (thanks to a tester who has asked to remain anonymous). Due to some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r projects, work and life in general this went on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back burner for a few months.
  
What got me moving on making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 improvements was a recent exam on an iPhone.  I wanted a way to parse all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist files. Once I wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch processing option in iParser, I simply exported out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone into a folder, ran iParser and had a report to review.

The above is just one example of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch processing can be utilized. As long as you have a plist file, you can use iParser.  Keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug-ins though.  If you keep on parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same files from an image, take a moment to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist as a plug-in (see my instruction here).

I hope this will add more flexibility to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program.  Thanks to everyone that provided feedback.  It may take a little bit for me to get around to it, but I do listen and hope to keep making improvements.

Download iParser v.1.0.0.20 with batch processing.

Google Analytics Cookie Parser

I recently watched an excellent webcast on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS website archive about ‘Not So Private Browsing”. In this webcast, Google Analytics cookies are covered, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wealth of information that can be found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I also located a great article on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFI News website that covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cookies as well.
 

I won’t go into detail here, as both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above mentioned resources do a great job. But, briefly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Analytics cookies can contain information such as keywords, number of visits, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first and second most recent visit. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS webcast, approximately 80% of websites use Google Analytics, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a good chance you may find some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in your exams.

There are three types of cookies that contain information of value: __utma, __utmb and __utmz. The four main (debatable, I know) browsers store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m differently. Internet Explorer stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in a text file, Firefox and Chrome in an SQLite database, and Safari in a plist file.

The values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data base look something like this:

• __utma: 191645736.1125870631.1349411172.1349411172.1349411172.1
• __utmb: 140029553.1.10.1349409002 
• __utmz: 140029553.1349409002.1.1.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=php%20email%20throttling 

For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values highlighted in red are timestamps in Unix epoch, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "1" in blue is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hits.  As I mentioned before, both SANS and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFI News article break down how to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se out in detail.

I have written one tool that will parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Analytics cookies for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se four browsers, GA Cookie Cruncher:

Internet Explorer - point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r export out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies folder, or mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image). The tool will read each cookie within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder, determine if it has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values and parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m accordingly.

Chrome – point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies sqlite database (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exported from your image, or mounted). The tool will query cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database for all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Analytics values and parse accordingly.

Safari (Mac) – point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies.plist file. It will parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Analytics cookies within.

Firefox- The Firefox cookies are stored in an SQLite database. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrapper library I used can not access this SQLite Database. I also tried to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox cookies database with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free SQLite Browser which could not read it eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. So far, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only tool I have been able to access this database with is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQLite Manager plugin for Firefox.

The work around I implemented is load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox cookies database into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQLite Manager plugin. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, export out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mz_cookies table into a CSV file. This csv file can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be parsed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program. I know, extra work, sigh - but it’s still better cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n manually parsing through that data.

I have  included a little hint in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Browser Information" box to remind you where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cookies are for whatever browser you select. I cant event remember where I put my keys, so I thought this might be helpful.

The program creates 3 files in CSV format: %Browesername%_UTMA, %Browesername%_UTMB and %Browesername%_UTMZ

 Here is some sample output from Internet Explorer from a __utmz cookie:

 Now, I haven’t tested this on every browser version out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and I have seen some variations on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies are stored. Some initial tests indicate that IE 9 does not seem to track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values, but more research will need to be done to confirm (thanks to cheeky4n6monkey for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing).  If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool does not read your cookie file, I'm happy to help, just shoot me an email.

Download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GA Cookie Cruncher here.

Enjoy!

iParser: Automated Plist Parser Release

Let me preface this  with saying, I.A.N.A.P.P. – I Am Not A Professional Programmer. I enjoy programming, and I hope ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs find this tool useful.  If you find a bug, please let me know.  If you have some suggestions or feature requests, please let me know. What may be intuitive to me may be totally off for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. I also wanted to thank Cheeky4n6Monkey for designing an icon for me as I have zero graphic skills, and Scott Zuberbuehler for doing some testing and making some suggestions for improvements.

What does it do?

The concept behind iParser is to provide an automatic way to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r various plist files from a MAC image into one place, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m every time an exam is conducted.  You simply mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root directory, choose a user and let it run.  It will gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system information, application preferences, network information and user information.  It converts binary plist files into XML using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iTunes plutil, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML and generates a text report.  Although you can use notepad to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, I find that Notepad++ works better. If you are unfamiliar with plist files, please read here

Using RegRipper by Harlan Carvey as my inspiration, I decided to use plug-ins to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist files so that users can add in plist files as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see fit. I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS X 10.7 artifact list by Sean Cavanaugh from http://www.appleexaminer.com/ as a starting point for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist files that will be parsed.

What does it not do?

It does not convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist file.  For example, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Safari History plist file, it will not convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp. It does not decode base64 data. It basically strips out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML tags and builds a report.

Looking ahead

Yes, this is a Windows based program (sorry). My hopes are to dig my heels in, learn some Pearl, and make it cross-platform compatible.  I have a new found respect for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work and ingenuity of RegRipper and realize how spoiled I have been by such a great tool...

Requirements

• Windows
• Mounted Mac Image or access to Mac partition from Boot Camp
•  iTunes 
•  .Net Framework (quick install if you don't already have it)

Plugins

The Plug-in files are in XML format. You can easily add a plist file that is not already included. I have detailed instructions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format here, or just open and view some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing plug-ins to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format. If you would like me to add any plug-ins to future releases, please email me:  arizona4n6 at gmail.com - or email me if you can't figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug-ins and would like me to add a plist.


Download and Documentation
Download iParser here
View cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Documentation here

Automated Plist Parser

Plist files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC world are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent to, or as close as you are going to get to registry files on Windows Systems.  They contain system settings, application preferences, deleted user accounts and much much more.  These files come in two formats, Binary and XML.

Plist files, IMO tend to be in various places all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system.  For example, plist files specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user may be under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /User/*Username*/Preference folder, and plist files for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system will be under /System/Library.

During MAC exams, I feel like I am running around looking for all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se crazy files (which is tough to do if you have heels on).  Additionally, for each exam cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a standard set of plist files I need to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, such as OS Version, Time Zone, Deleted Accounts etc.  I may also spend a significant amount of time researching and locating plist files for specific applications and wanted a way to document and share this information. 

Anytime something becomes repetitive, it’s a good chance to write a script or develop a tool to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process.  A perfect example of this is RegRipper.  It parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry for common (and even uncommon) keys, and gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community an easy way to add  plugins for additional registry keys.  

So, using RegRipper as source of inspiration, I set out to develop a tool that accomplishes an automated way to parse plist files.  I  am almost done developing it and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing phase.  The tool runs on Windows with a GUI, and requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC image to be mounted .  Adding your own plist file to parse  is relatively simple  - an entry in an XML file that specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist file such as /System/Library/CoreServices/SystemVersion.plist and a description. 

I will be adding in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plist list files listed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS X 10.7 artifacts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appleexaminer.com website which should be a good running start.

I am almost done. I figured once I blogged about it, it would commit me to putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finishing touches on and wrap it up. If you have a clever name for it, let me know. All I have manged to come up with is iParse (ha ha).

If your interested, check back next week and it should be done. [Edit - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is now available, please see this post  or download here]

Windows Backup and Restore

A recent investigation led me to a Windows Backup file.  Windows 7 as well as Windows Vista includes a utility allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to backup and restore folders, files and system information. This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as Volume Shadow Copies (VSCs), anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r method wherein Windows backs up files.  For information on how to examine VSCs  check out Harlan Carvey's book, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blog posts here and here.  Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version on Windows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup can be stored on an external device, such as USB drive or over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network (Windows 7 Pro/Ultimate).   My research was done with Windows 7 Home Premium and Ultimate.

Windows creates a backup with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following naming convention:
ComputerName\Backup File YYYY-MM-DD ######\Backup files ##.zip




Interestingly enough, if an end user looks at this backup through Windows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will only see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top level folder:

 



Windows Backup creates multiple zip files containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files/folders that where backed up. True, if you mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zip files in your favorite all in one forensic tool you will have access to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir glory. You can run keyword searches until you are giddy, and forensicate to your heart’s content, BUT cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zip file are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup was created, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was originally created or modified.  That being said, Windows Backup tracks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se original dates which may come in handy.

Windows Backup tracks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folders, files and original dates in a file named GlobalCatalog.wbcat under ComputerName\Backup File YYYY-MM-DD ######\Catalogs. If you do not have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back up media, a local GlobalCatalog.wbcat file is created. I discuss this in more detail below.
 
Ideally, this file could be parsed for all of this information, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results displayed in a nice format, CSV or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise.  I have been looking at this file in hex trying to figure out a way to accomplish this. So far, I have located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file names, folders and dates, but have not figured out how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 records are tied togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.  Boooo…. If you know of any existing program or script that can parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, or know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format, please let me know. If you are interested in seeing a sample of what I have located so far, contact me (arizona4n6 at gmail dot com) and I can send it to you.

As such, viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup file natively through Windows Backup is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only method I have discovered  to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original dates for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files and folders. Step by Step directions follow: 

•  Export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup files from your image to an external device. If you prefer to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, create a VHD using Vhdtool  on a DD image and attached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VHD through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Disk Manager. Make sure its a copy of your image as Vhdtool will make changes to it.  This should sound familiar if you have read Harlan's Post on using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vhdtool to examine VSCs. I tried to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image using FTK Imager and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup file was not seen by Window's Backup.
  
•  Launch Windows Backup and Restore (Control Panel>System and Security>Backup Your Computer).
•   Got to Restore>Select anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r backup to restore files from. It should auto locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Backup.

• Next, Search for *.*, and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files will be listed or you can browse to a particular file if you please. By default, only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date Modified is listed.  If you right click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title bar, you can select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date Created as well. If you use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Browse function instead of Search, you will also have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup date.

Now, instead of seeing all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same dates and times for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files contained within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zip files, you are presented with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original Date Created and Date Modified for files. As I mentioned before, it would be soooooo nice to have this information parsed directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GlobalCatalog.wbcat file.


Windows Backup Registry Entries
When a Windows Backup is created an entry is made or updated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software Hive under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key \Microsoft\Windows\ CurrentVersion\WindowsBackup\.

This key holds various sub keys with information regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup including USB device information. This USB information may come in handy if you are also conducting link analysis/USB analysis and can be cross referenced with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r registry keys.

Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information available with sample data :

Target Device

For a USB Device:

  PresentableName = E:\
  UniqueName = \\?\Volume{a2e6b4d4-e492-11e1-a39d-000c29448ee3}\
  Label = MYTHUMBDRIVE
  DeviceVendor  = SanDisk
  DeviceProduct  = Cruzer
  DeviceVersion  = 1.26
  DeviceSerial = 200605999207D70370EF         

 For a Network Share:


  PresentableName = \\COMPUTERNAME\Users\Public\Documents\backup\
  UniqueName = \\?\UNC\COMPUTERNAME\Users\Public\Documents\backup\


Status
  
  LastResultTime = Sun Aug 12 17:45:39 2012 (UTC)
  LastSuccess = Sun Aug 12 17:45:39 2012 (UTC)
  LastResultTarget = \\?\Volume{a2e6b4d4-e492-11e1-a39d-000c29448ee3}\
  LastResultTargetPresentableName  = E:\
  LastResultTargetLabel = MYTHUMBDRIVE


According to my testing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastResultTime and LastSuccess will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup completed. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup did not complete or was cancelled, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se times will be different, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastResultTime will contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempted backup.

I have created an Reg Ripper plugin and passed it along.  It should be included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next disto.
 
Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Artificats
A Volume Shadow Copy is created before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backup.

Event log entries in \Windows\System32\winevt\LogsMicrosoft-Windows-WindowsBackup%4ActionCenter.evt

Local GlobalCatalog files created:

    \System Volume Information\Windows Backup\Catalogs\GlobalCatalogCopy.wbcat

    \System Volume Information\Windows Backup\Catalogs\GlobalCatalog.wbcat

This local GlobalCatalog.wbcat file seems to contain not only entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last backup, but for previous backups done, as well as previous media used. This could be helpful if you need to locate/subpena various devices that contain backups. Below are some results from running Strings across this file:

COMPUTERNAME\Backup Set 2012-08-11 213315\Backup Files 2012-08-11 213315\Backup files 1.zip

\\?\Volume{177d1d16-e2fc-11e1-914b-ec9a745b406c}\

SanDisk

Cruzer

1.26

200605999207D70370EF

COMPUTERNAME\Backup Set 2012-08-11 213315\Backup Files 2012-08-11 213315\Backup files 2.zip

Backup Set 2012-08-12 194644

COMPUTERNAME\Backup Set 2012-08-12 194644\Backup Files 2012-08-12 194644\Backup files 1.zip

\\?\Volume{45f45fcd-e269-11e1-a36e-ec9a745b406c}\

Kingston

DataTraveler SE9

PMAP

COMPUTERNAME\Backup Set 2012-08-12 194644\Backup Files 2012-08-12 194644\Backup files 2.zip

COMPUTERNAME\Backup Set 2012-08-12 194644\Backup Files 2012-08-12 203800\Backup files 1.zip

COMPUTERNAME\Backup Set 2012-08-12 194644\Backup Files 2012-08-12 203800\Backup files 2.zip

As I mentioned before, I am trying to figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GlobalCatalog file format, so if you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format, or any tools that can parse it, please let me know :-)