Wednesday, 22 April 2009

Facebook revisited and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r chat related stuff

My blog post about facebook chat generated a lot more email than usual.

In particular Jad Saliba wrote about a program he has written to search for and report on facebook chat. Jad's program is called Internet Evidence Finder and essentially at this time it searches for Facebook chat, Facebook pages, Yahoo chat and MSN chat. Jad points out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program may be useful in a non Encase shop and I agree. In fact it will be useful anywhere as it did a very good job.

I have had some fun testing it today and found that it parses all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages that my two previously documented methods had found. I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program by mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive image I wished to search with Encase PDE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted drive. On my box cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search ran at a speed of about 27 MB/sec. The resulting spreadsheet was nicely formatted and gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Physical Sector of each hit. Jad's program is freeware and can be found at http://www.jadsoftware.com.

With respect to MSN chat and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r chat clients Jad's website deal with what can be achieved. In testing I am running right now with MSN a large number of false positives have been found however this is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beast.

Now before someone mentions tool validation my view is that I don't validate my tools - I validate my results. Generally I do this with dual tool verification as in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example above.

Till next time...


8 comments:

Steve W said...

Nice addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FaceBook tools that are starting to pop up, I will definitely give this a whirl in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few days and compare it to a case I recently did using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'J3' spreadsheet method & will post back.

Keep churning out those sausages!

Jim Gordon said...

Richard,

I downloaded Jad Saliba's program and ran it against a 250 Gb physical disk. It took 5 hours to complete, which wasn't a problem as I ran it overnight. I was interested in recovering Facebook chat fragments and like you thought that it did a really good job.

It extracted 205 chat fragments. The spreadsheet was as you say nicely formatted and I particularly liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Physical Sector of each hit. There were several date time stamps that appear out of sync and so I can go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Physical Sector and as you say verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 13 digit unix timestamps manually by one of your previously documented methods.

I'll report back when I've done so. All in all a good program.

Regards

Jim

Jim Gordon said...

I mentioned in my previous post about some date time stamps that appeared suprious.

Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings of chat that Jad's application had extracted had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 13 digit Unix time stamp that according to his program gave times in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. i.e. 02/08/2009 at xxxx hrs.

When I viewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual physical sectors where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data was found I copied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp and used Craig Wilsons 'decode' to corroborate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. Craigs program revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string decoded to 08/02/2009 at xxxx hrs. This fits entirely with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n went through numerous ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r spurious time stamps, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same error.

On a positive side cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that Jad's program revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical sector allowed me to go straight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chat fragment and use decode to corroborate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp. The vast majority of time stamps were correctly decoded it was just a few where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time was clearly wrongly decoded. I'll pass my findings on to him.

I think this also reinforces Richard's view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of validating results.

DC1743 said...

Jim,

Looks like a US v UK date issue to me.

Regards

Jim Gordon said...

That's immediately what I thought Richard, except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were only a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates parsed out wrongly and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs were correct i.e in UK format that couldn't be in US format. 29/04/09 etc. As I mentioned previously at least I can manually check any spurious results.

Enjoy reading your Blog

Jim

computerhelp said...

Hi! I was trying to get back some chat history on facebook that was really important and I tried this Internet Evidence Finder... I downloaded it and filled all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff outbut when i click start, it says error opening drive? it only gives me two drive choices c: and d: and when i try d: it says getting getting disk size please choose a different source. or else cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 choose file option. but how in world would my files help recover facebook chat? I don't know much about computers. Lol I just want that one chat back. I still have it on my facebook, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important stuff is at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning and I guess facebook must have deleted it because was too long. Anyways anybody help?

Anonymous said...

computerhelp,

I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem. I have now noticed a comment lower down on Jag's site regarding Windows Vista and this error. The solution is to right click on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program icon and select "run as administrator". You'll cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drives you want. I've done this and it now works perfectly!

Jim Gordon said...

Saw this post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sans Blog about Facebook artifacts in RAM thought that it may be of interest.

http://blogs.sans.org/computer-forensics/2009/11/20/facebook-memory-forensics/