Monday, November 14, 2011

Tool Update - WiFi Geolocation

I wanted to let everyone know that I've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maclookup.pl Perl script which can be used for WiFi geolocation; that is, taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address for a WAP and performing a lookup in an online database to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are lat/longs available for that address.  If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lat/long coordinates into a Google map for visualization purposes.

A while back I'd posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of WiFi WAP MAC addresses within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vista and Windows 7 Registry to ForensicArtifacts.com.  This information can be used for intelligence purposes, particularly WiFi geolocation, that is, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WAP MAC address has been mapped and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lat/longs added to an online database, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be looked up and plotted on a map (such as Google Maps).  I've blogged about this, and covered it in my upcoming Windows Forensic Analysis 3/e.  I also wrote maclookup.pl, which used a URL to query cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Skyhook Wireless database to attempt to retrieve lat/longs for a particular WAP MAC address.  As it turns out, that script no longer works, and I've been looking into alternatives.

One alternative appears to be WiGLE.net; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re seems to be a free search functionality that requires registration to use.  Registration is free, and you must agree to non-commercial use during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration process.  Fortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a Net::Wigle Perl module available, which means that you can write your own code to query WiGLE, get lat/longs, and produce a Google Map...but you have to have Wigle.net credentials to use it. I use ActiveState Perl, so installation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module was simply a matter of extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wigle.pm file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Perl\site\lib\Net directory.

So, I updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maclookup.pl script, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net::Wigle module (thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module, as well as Adrian Crenshaw, for some assistance in using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module).  I wrote a CLI Perl script, macl.pl, which performs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database lookups, and requires you to enter your Wigle.net username/password in clear text at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line...this shouldn't be a problem, as you'll be running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script from your analysis workstation.  The script takes a WAP MAC address, or a file containing MAC addresses (or both), at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prompt, and allows you to format your output (lat/longs) in a number of ways:

- tabular format
- CSV format
- Each set of lat/longs in a URL to paste into Google Maps
- A KML file that you can load into Google Earth

All output is sent to STDOUT, so all you need to do is add a redirection operator and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate file name, and you're in business.

The code can be downloaded here (macl.zip).  The archive contains a thoroughly-documented script, a readme file, and a sample file containing WAP MAC addresses.  I updated my copy of Perl2Exe in order to try and create/"compile" a Windows EXE from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's some more work that needs to be done with respect to modules that "can't be found". 

Getting WAP MAC Addresses
So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big question is, where do you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WAP MAC addresses?  Well, if you're using RegRipper, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networklist.pl plugin will retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information for you.  For Windows XP systems, you'll want to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ssid.pl plugin.


Addendum: On Windows 7 systems, information about wireless LANs to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has been connected may be found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft-Windows-WLAN-AutoConfig/Operational Event Log (event IDs vary based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular Task Category).

Important Notes
Once again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a couple of important things to remember when running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macl.pl script.  First, you must have Perl and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net::Wigle Perl module installed.  Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is difficult to obtain or install.  Second, you MUST have a Wigle.net account.  Again, this is not difficult to obtain.  The readme file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provided archive provides simple instructions, as well.

Resources
Adrian wrote a tool called IGiGLE.exe (using AutoIT) that allows you to search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wigle.net database (you have to have a username and password) based on ZIP code, lat/longs, etc.

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GeoMena.org lookup page.

Here is a review of some location service APIs.  I had no idea cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were that many.

3 comments:

Chad Tilbury said...

Awesome update to maclookup, Harlan! I think Wigle was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right call. Skyhook almost certainly has a better database, but every script I have used that relies upon Skyhook data eventually fails.

The KML and Google maps output options are inspired. Nice work!

Just a note for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r users: In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net::Wigle Perl module, I also had to install Params-Validate.

H. Carvey said...

Chad,

Thanks.

Which version of Perl are you using and on which platform?

I currently have Active Perl 5.12.4 installed. I know that 5.14 is out, but my Perl2Exe install only goes up to 5.12 (and I had a number of hiccups trying to "compile" macl.pl).

As to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output formats, I wanted to provide options, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r easy to provide...

;-)

Chad Tilbury said...

I used Active Perl v5.12.3 64 bit (Win7 x64).