Il post seguente è stato tradotto, previa autorizzazione, da DFI News

Massively Multiplayer Online Role Playing Game, un vero scioglilingua, così molte persone lo abbreviano con una sigla, MMORPG.

Un po’ di storia per chi non gioca online. MMORPG è solo un “gusto” tra i molti tipi di giochi online. Gli MMORPG includono giochi come World of Warcraft, The Sims Online, Everquest, Everquest II, Second Life, Age of Conan, Hello Kitty Adventure Island, Free Realms e molti altri.

Tuttavia tale elenco non comprende altri tipi di giochi on-line, come Party Poker, Red Baron, Call of Duty, Enemy Territory, Quake e tanti altri, ma non posso elencarli tutti qui.

Attualmente ci sono oltre centocinquanta di questi giochi, usati da milioni di persone in tutto il mondo e ci sono oltre un centinaio di nuovi giochi attualmente in sviluppo per il rilascio nei prossimi due anni. ¹

Questi giochi hanno come target anche un pubblico di soli bambini, ad esempio Free Realms, Hello Kitty Adventure Island e altri. Da giocare su personal computer, Playstation, console X-Box e anche sui telefoni cellulari.

I giochi online hanno raggiunto un livello di popolarità tale che, prima o poi, sarà più che probabile incontrare questo tipo di prova in un caso. Soltanto World of Warcraft vanta milioni di abbonati. E questo è solo un gioco tra le decine di titoli.

Ovunque le persone si aggreghino e interagiscano nel corso del tempo, ci saranno crimini o una qualche forma di cattivo comportamento. Una veloce ricerca su Google mostrerà dozzine di storie dove le persone vengono accusate di commettere crimini nel mondo reale e dove uno di questi giochi ha svolto una parte.

Ecco solo alcune di quelle notizie :

Secondo la notizia riportata dalla Fox ” Una mamma di Houston è accusata di aver adescato un ragazzo canadese, allora quindicenne, e aver avuto una relazione sessuale dopo averlo “incontrato” sul gioco online World of Warcraft.

Lauri Price, 42 anni, a quanto pare è andata oltre. Ha deciso che sarebbe volata in Canada per avere rapporti con il ragazzo al compimento dei suoi 16 anni, per aggirare le leggi sullo stupro degli Stati Uniti. (In Canada, l’età del consenso è 16.) “ ²

“Una coppia sud-coreana, venerdì, è stata dichiarata colpevole di omicidio colposo, visto che la figlia di tre mesi è morta per denutrizione mentre stavano crescendo un bambino virtuale in un gioco online “. ³

“Una donna di Portland che ha incontrato un ragazzo di 14 anni del Tennessee durante il gioco online ‘World of Warcraft’, è accusata di averlo coinvolto in chat sessuali ed aver scambiato foto esplicite.” ⁴

“Portland, Oregon – L’ufficio del Multnomah County Sheriff ha avviato un’indagine in merito alle accuse contro un rappresentante dell’istituto correzionale locale, che si vantava in una chat room su Internet di aver usato un taser su alcune persone .

“Il luogt. Jason Gates dell’Ufficio del Multnomah County Sheriff, si è detto costernato per i presunti commenti online dell’ufficiale dell’istituto correzionale della contea.

Secondo Gates, Thompson ha utilizzato un computer della contea per giocare con il videogioco online ‘City of Heroes’, mentre era al lavoro; successivamente si è vantato nella chat room della gioia che provava nel provocare dolore alle persone in carcere.

“Budnick ha detto che, secondo la chat online Trafalgar, il rappresentante ha pubblicato, da gennaio, più di 1700 messaggi sul sito web di ‘City of Heroes’ . Ad un certo punto avrebbe, presumibilmente, inviato 64 messaggi in 24 ore “. ⁵

Le persone sono persone e quando interagiscono tra loro, gli affari online e altre relazioni possono venire a galla. Alcune persone diventano dipendenti da questi giochi e giocano molte, molte ore a settimana, a volte escludendo ogni altra cosa della loro vita.

Nei giochi online l’unica descrizione che si possa ottenere è il suo avatar e le chat, siano esse composte di testo o vocali.
È facile per una persona legarsi ad un altro personaggio online. E quel personaggio può essere creato interamente per adattarsi alla persona che l’ha creato, qualsiasi sia il motivo che l’abbia spinta a farlo.

Siate consapevoli che i predatori di bambini considerano questi giochi luogo ideale per trovare potenziali vittime.

Vi state occupando di un caso d’incuria infantile? I log dei giochi potrebbero mostrare ciò che la persona stava facendo invece di prendersi cura di un bambino

I log del gioco potrebbero rivelare una connessione con qualcuno che potrebbe aiutare a risolvere un caso di persone scomparse?

La presenza di un gioco potrebbe portarvi a cercare altre informazioni come le iscrizioni a forum e messaggi?

I dati sono ovunque. Non tutti sono importanti, l’unico modo per saperlo è guardare. Non ignorate possibili prove solo perché si tratta di un gioco.

Un’analisi inerente la forensics di Everquest II

La maggior parte di questi giochi tiene un log delle attività. Oltre ai log automatici, molte volte i giocatori terranno file di log supplementari impostati durante il gioco.

Inoltre, all’interno dei file nella directory del programma, troverete i nomi degli account del giocatore e dei personaggi (avatar) con i quali giocano.

Everquest II salva anche un piccolo e pratico file che memorizza i comandi più recenti inviati dal giocatore al gioco. Il giocatore non ne è consapevole dal momento che non ne ha alcun controllo.

La maggioranza di questi log, generati automaticamente, contengono data e time stamps, quindi, anche se la data e l’ora del file venissero modificate, il time stamp originale potrebbe essere ancora nel log in modo da poter esser recuperato.

Everquest II conserva un log di quando il gioco è stato installato, quando è stato effettuato l’ultimo accesso, e la durata delle sessioni. Analizzando tutti i log, è possibile determinare i tempi delle sessioni di gioco e le date .

Se il giocatore ha attivato il logging in-game, si avrà un vero e proprio tesoro di informazioni. Il logging in-game memorizza tutto ciò che il giocatore digita nel gioco, i time stamp, così come tutto ciò che chiunque altro, durante il gioco, digiti in un messaggio al giocatore.

Analizzando i file di log in-game, è possibile stabilire le date, gli orari delle sessioni di gioco e la durata di ogni sessione.

E naturalmente tutte le conversazioni che la persona ha effettuato durante il gioco, se è stata utilizzata l’interfaccia di gioco per effettuare la chat tramite la tastiera.

Tuttavia, tenete presente che molti giocatori utilizzano la chat vocale per parlare direttamente con altre persone nel gioco utilizzando microfono e auricolare. Tali conversazioni non vengono memorizzate, a meno che non partecipiate alla conversazione e abbiate un sistema per registrare l’audio.

Tutti i file analizzati in questo articolo si trovano nella directory di Everquest II o nella directory station.

Trovare i nomi degli account dei giocatori e i personaggi

Il file Station Launcher Properties.ini, contiene un elenco di tutti gli account utente che sono stati utilizzati sul computer.

L’install-location.xxxxxxxxxxx.eq2-live conterrà il nome dell’account del giocatore al posto della stringa di X. Ho modificato i nomi di account reali in questo esempio. Quello che compare è il nome dell’account reale di un giocatore per accedere al gioco e non il nome del personaggio.

Figura 1 – Station Launcher Properties.ini

Utilizzando le informazioni del file precedente, è possibile individuare un particolare nome account e aprire il file xxxxxxxxxxx_characters.ini per vedere i nomi dei personaggi attivi per quell’account.

Ricordate che xxxxxxxxxxx sarebbe in realtà il nome di un account.

Figura 2 – file dell’account che contiene i nomi dei personaggi

All’interno del file xxxxxxx_characters.ini troverete il nome del personaggio e il server di SONY in cui trovarlo.
I nomi dei personaggi sono univoci ma dipendono dal server in cui si trovano, non sono validi per l’intero gioco.

Figura 3 – i nomi dei personaggi relativi all’account selezionato

Inoltre il file eq2_recent.ini, memorizza gli ultimi account che abbiano effettuato l’autenticazione. In questo caso ho modificato il nome dell’account e l’ho sostituito con le x. Sarà possibile vedere anche il nome dell’ultimo server a cui si è collegato il giocatore.

Figura 4 – Gli ultimi account autenticati

Trovare l’elenco amici di un account

È possibile individuare l’elenco degli amici di un personaggio aprendo il file Server_CharacterName_eq2_notes.txt

CharacterName sarebbe il nome del personaggio utilizzato .

Figura 5 – Lista amici di un personaggio

Log di connessione giornalieri

Ogni volta che un giocatore accede a Everquest II viene creato un log di connessione giornaliero. Viene creato un solo log al giorno, quindi se il giocatore ha più sessioni, saranno memorizzati nel log di quel giorno. Questi file si trovano nella sottodirectory del log.

Figura 6 – Log di connessione giornalieri

Il time stamp per il log di connessione giornaliero, è rappresentato dalla durata della prima sessione per quel giorno.

Figura 7 – Un log di connessione giornaliero

Nel log di connessione giornaliero, visualizzato tramite WordPad, si può vedere la fine delle sessioni di gioco per quel giorno.

Analisi dei file di log

Se l’utente ha attivato il logging nel gioco, Everquest II terrà log ampi e dettagliati di tutto ciò con cui il giocatore entrerà in contatto, incluse tutte le chat private. Nel gioco una chat privata viene attivata dal comando /tell. Per individuare i file di log di un personaggio particolare, si naviga fino alla sottodirectory dei log, quindi alla sottodirectory del server e infine al file di log del gioco.

Figura 8 – Cartelle dei log dei server

Una volta all’interno della sottodirectory del server, potrete vedere una lista di tutti i file di log per quel determinato server.

Figura 9 – File di log nella directory del server Unrest

Questi file di log possono essere molto grandi e contenere una grande quantità di informazioni non rilevanti dal punto di vista di un’analisi inerente la forensics.

Analisi dei log in Microsoft Access

Nel formato raw, i file di log sono difficili da leggere.

Figura 10 – File di log visualizzato tramite WordPad

Il modo più semplice per analizzare i file di log ed estrarre le informazioni desiderate durante un’analisi relativa alla forensics, è importare il file di testo in un database di Access. Ecco i passaggi per importare e poi analizzare i file di log mediante le query di Access.

Fase 1: Aprire MS Access e selezionare Carica dati esterni – Importa

Figura 11 – Fase 1

Fase 2: Individuare il file di log che si desidera importare in Access

Figura 12 – File di Log

Fase 3: Avviare il processo di importazione

Poiché il log può contenere punteggiatura, il metodo migliore è quello di importare i log con larghezza fissa.

Figura 13 – La finestra Importazione guidata Testo

Fase 4: Le linee con le frecce verso l’alto sono situate dove la procedura guidata pensa che il campo debba essere diviso. Con il doppio clic sulla freccia all’estrema sinistra, si rimuoverà l’interruzione di campo. Questo permetterà d’includere l’anno nel campo del time stamp. Si veda la Figura 15 per la fase completa.

Figura 14 – Finestra di dialogo dell’interruzione di campo per l’Importazione guidata Testo

Figura 15 – Importazione guidata testo con interruzione di campo rimossa

Fase 6: Completare il processo di importazione, fare clic su Fine per importare i file di log in una nuova tabella.

Figura 16 – Importare il file di log in una nuova tabella

Creazione query per analizzare il file di log

Fase 1: In Access, selezionare il menu Query e fare clic su Crea query in visualizzazione Struttura.

Fase 2: Selezionare la tabella creata quando avete importato il file di log e fare clic su Aggiungi.

Figura 17 – Selezionare la tabella creata dal file di log

Fase 3: Trascinare i campi nella griglia del riquadro inferiore della finestra Crea query.

Figura 18 – Trascinare i campi nella griglia query

A questo punto se si esegue la query, si dovrebbero vedere i dati nella vista seguente:

Figura 19 – Vista query iniziale

Fase 4: Aggiungere una descrizione alle intestazioni delle colonne. Per aggiungere una descrizione, fare clic sul nome del campo e digitare ciò che si desidera visualizzare come nome della colonna. Ad esempio Time Stamp:. I due punti sono necessari per comunicare ad Access che si sta mettendo un’etichetta nel campo.

Figura 20 – Query con descrizioni

Figura 21 – Vista Query dopo inserimento nomi intestazioni

Fase 5: Aggiungere il campo ID trascinandolo nella griglia. Il campo ID viene creato automaticamente da MS Access ed è un campo Contatore.

Figura 22 – aggiungere il campo ID per la query

Figura 23 – Vista query con il campo ID

Il motivo per cui vogliamo il campo ID nella query, è per poterla tracciare a livello di forensics. Se si tenta di eliminare un record, anche l’ID (3 in questo caso) viene eliminato. Non è possibile modificare manualmente il campo contatore, così ogni eliminazione sarebbe verificata dall’ID mancante .

Figura 24 – L’eliminazione di un record, ne elimina anche l’ID.

Analisi del file di log in base a Criteri

Per analizzare le informazioni desiderate dal log, inserire i criteri di selezione al campo testo del log. In questo caso, è necessario aggiungere due criteri: uno per le chiamate inviate da parte dell’utente e uno per le chiamate ricevute.
In MS Access, la parola chiave “Like” dice al motore del database di trovare qualunque cosa sia “simile” alla ricerca inserita. Gli asterischi dicono al motore di individuare qualsiasi cosa, presente prima e dopo la ricerca.

Figura 25 – Criteri per effettuare il parse di chiamate private

Figura 26 – Query effettuate tramite parse per chiamate in entrate e in uscita

Per conoscere i tempi di connessione e disconnessione dell’utente, inserire i criteri che segnalino quando il personaggio sia connesso o disconnesso. Per EverQuest II, l’inizio di una sessione inizia con l’avviso che il logging è stato attivato e termina con la parola chiave “camp”.

Figura 27 – Criteri per l’inizio e la fine della sessione

Figura 28 – Vista query che mostra inizio e fine di una sessione

Altre informazioni

Everquest contiene anche un file chiamato eq2cmdhistory.txt. Questo file memorizza gli ultimi trenta comandi digitati dal giocatore. Dato che /tell o la chat privata sono comandi, questo file memorizza tale attività. Tuttavia, in questo modo, si potrà ottenere soltanto una parte di una conversazione .

Figura 29 – Posizione del file eq2cmdhistory.txt

La figura sotto mostra il contenuto del file eq2cmdhistory.txt. Si noti il comando /tell e il testo che lo segue. Mentre il file non memorizza internamente nessuna informazione relativa alla data o l’ora, la sua variazione della data viene aggiornata per ogni sessione di gioco.

Figura 30 – Contenuto del file eq2cmdhistory.txt

Everquest II ha anche la funzionalità di browser in-game. È possibile trovare la cronologia del browser in-game nella cartella Mozilla.

Figura 31 – Cronologia browser in-game

Come ottenere ulteriori informazioni

Sony Online Entertainment conserva log dettagliati, lato server, per ogni personaggio e account. Dovreste essere in grado di ottenerli tramite i custodian of records. Il loro indirizzo aziendale è Sony Online Entertainment LLC, 8.928 Terman Ct., San Diego, CA 92121.

Sitografia:

1. MMORPG.com – Your Headquarters for Online Multiplayer Games, RPG Online Games, Online Role Playing Free Games! Web. 15 May 2010. www.mmorpg.com.
2. “Houston Mom Accused of Luring Teen for Sex through Online Game? Moms At Work? Orlando Sentinel.” Orlando Sentinel Blogs – OrlandoSentinel.com. Web. 15 May 2010. blogs.orlandosentinel.com/features_momsatwork/2010/01/houston-mom-accused-of-luring-teen-for-sex-through-online-game.html.
3. “Couple: Internet Gaming Addiction Led to Baby’s Death – CNN.com.” CNN.com – Breaking News, U.S., World, Weather, Entertainment & Video News. Web. 15 May 2010. www.cnn.com/2010/WORLD/asiapcf/04/01/korea.parents.starved.baby/index.html.
4. “Portland Woman Accused of ‘World of Warcraft’ Chat with Boy That Turned Sexual | OregonLive.com.” Oregon Local News, Breaking News, Sports & Weather – OregonLive.com. Web. 15 May 2010. www.oregonlive.com/portland/index.ssf/2010/03/portland_woman_accused_of_worl.html.
5. “Officer Accused Of Bragging Online About Using Taser Gun – Portland News Story – KPTV Portland.” Portland News, Oregon News and Local Weather from KPTV FOX 12 News. Web. 15 May 2010. www.kptv.com/news/14065232/detail.html.

Larry E. Daniel è consulente informatico e consulente per la mobile forensics, lavora con clienti in tutti gli Stati Uniti per gestire qualsiasi tipo di causa civile e penale. Ha testimoniato come esperto di computer forensics in diversi casi, in vari stati.
Larry è membro dell’ American College of Forensic Examiners ed è presidente dell’ Ethics Committee for the American Society of Digital Forensics and eDiscovery. Larry è CEO di Guardian Digital Forensics, Digital Forensics Certified Practitioner, autore del popolare blog sulla digital forensics, Ex Forensis, e conduttore dello show radiofonico Forensics Internet.

Fonte: Multiplayer Game Forensics

Massively Multiplayer Online Role Playing Game, that’s a mouthful, so most people shorten the full moniker to the acronym, MMORPG.

A little background for those who don’t play games online. MMORPGs are just one flavor of many types of online games. MMORPGs include such games as World of Warcraft, Sims Online, Everquest, Everquest II, Second Life, Age of Conan, Hello Kitty Adventure Island, Free Realms, and dozens more.

However, that list does not include other types of on-line games such as Party Poker, Red Baron, Call of Duty, Enemy Territory, Quake, and so many others; I cannot begin to list them all here.

Currently there are over one hundred and fifty of these games being played by millions of people throughout the world, and there are over one hundred new games currently in development for release over the next two years.¹

These games have target audiences including games just for children such as Free Realms, Hello Kitty Adventure Island, and others. They can be played on personal computers, Playstation, and X-Box consoles and even on phones.

Online games have reached a level of popularity that means that you will more than likely encounter this type of evidence in a case at some point. World of Warcraft alone claims millions of subscribers. And that is just one game of literally dozens of online game titles.

Anywhere people congregate and interact over time you will find crime or some form of bad behavior. A quick Google search will turn up dozens of news stories where people are accused of committing real-world crimes where one of these games has played a part. Here are excerpts from just a few of those published news stories:

“A Houston mom is accused of luring a then 15-year-old Canadian boy into a sexual relationship after “meeting” him through the online game World of Warcraft, according to a report from Fox.

Lauri Price, 42, apparently thought this through. She decided she’d fly to Canada to have relations with the boy when he turned 16—as a way to sidestep U.S. statutory rape laws. (In Canada, the age of consent is 16.)”²

“A South Korean couple whose three-month-old daughter died of malnutrition while they were raising a virtual child in an online game pleaded guilty to negligent homicide on Friday.”³

“A Portland woman who met a 14-year-old Tennessee boy while playing the online game ‘World of Warcraft’ is accused of engaging him in sexual chats and trading explicit photos.”⁴

“PORTLAND, Ore. – The Multnomah County Sheriff’s Office has launched an investigation into allegations that a local corrections deputy bragged about using a Taser gun on people in an Internet chat room.

“Lt. Jason Gates of the Multnomah County Sheriff’s Office said he is appalled at the alleged online comments of the county corrections officer.

“According to Gates, Thompson used a county work computer to play the online video game ‘City of Heroes’ while on the job and then boasted about the joy he gets from hurting people in jail in the chat room.

“Budnick said that according to Trafalgar’s online chat, the deputy has posted more than 1,700 messages on the ‘City of Heroes’ Web site since January. At one point, he allegedly posted 64 messages in 24 hours.”⁵

People are people, and when they interact with others, online affairs and other relationships can bubble up. Some people get addicted to these games and play them many, many hours per week; sometimes to the exclusion of all else in their lives.

And in online games, the only representation you get of the person is their game avatar and chats, whether they are text or voice. Is it easy for a person to get attached to another’s online persona. And that persona can be entirely made up to suit the person projecting that persona, for whatever reason they may have to do so.

Be aware that child predators also see these games as a place to groom potential victims.

Are you handling a case of child neglect? Could game logs show what the person was doing instead of caring for a child?

Could game logs reveal a connection to someone that will help solve a missing persons case?

Can the presence of a game lead you to look for other information such as forum memberships and posts?

Data is everywhere. Not all of it is relevant, but the only way to know is to look. Don’t overlook possible evidence just because it is a game.

A Forensic Analysis of Everquest II

Most of these games keep logs of their activities. In addition to the automatic logs kept by the games, many times players will keep additional log files by setting in-game logging to occur.

In addition, inside the files in the program directory you will find the names of the player’s accounts and characters (avatars) that they play.

Everquest II also keeps a handy little file that captures the most recent commands sent to the game by the player. This is not something the player is aware of, since they have no control over it.

The majority of these automatically generated logs have date and time stamps in them, so even if the date and time of the file is changed by someone, the original time stamp may still be in the log for recovery.

Everquest II keeps a log of when the game was installed, when it was last logged in, and the session times. By analyzing the all of the logs, you can determine play session times and dates.

If the player has turned on in-game logging, you have a treasure trove of information. In-game logging records everything the player types into the game, with time stamps, as well as everything anyone else in the game types in a message to the player.

By analyzing in-game logging files, you can determine dates and times of play sessions along with the length of time for each session.

And of course you get all the conversations the person had while playing the game, if they are using the game interface for chatting via the keyboard.

However, bear in mind that many players also use voice chat to talk directly to other people in the game using a microphone and headset. Those conversations are not logged unless you are a party to the conversation and have a method to record the audio.

All of the files analyzed in this article are located in the Everquest II directory or in the Station directory.

Finding Player Account Names and Characters

The Station Launcher Properties.ini file contains a list of all user accounts that have been accessed on the computer.

The install-location.xxxxxxxxxxx.eq2-live would have the player’s account name where you see the string of x’s. I have redacted the actual account names in this example. This is a player’s actual account name for logging into the game and not their character name.

Figure 1 – Station Launcher Properties.ini

Using the information from the file above, you can locate a particular account name and open the xxxxxxxxxxx_characters.ini file to see the character names that are active for that account. Remember that the xxxxxxxxxxx would actually be a name of an account.

Figure 2 – Account File That Contains Character Names

Inside the xxxxxxx_characters.ini file you will find the character name and the SONY server where that character is located. Note that character names are only unique by server and not for the entire game.

Figure 3 – Character Names for the Selected Account

In addition, the eq2_recent.ini file stores the last logged in account. In this case, I have redacted the account name and replaced it with x’s. Note that you also see the server name the player last logged into.

Figure 4 – The Last Logged In Account

Finding an Account’s Friends List

You can locate the friend’s list for a character by opening the Server_CharacterName_eq2_notes.txt file. CharacterName would be the name of the actual character.

Figure 5 – A Character’s Friend’s List

Daily Connection Logs

Every time a player logs into Everquest II, a daily connection log is created for that day. Only one log is created per day, so if the player has multiple sessions, they will be recorded in that day’s log. These files are located in the log’s subdirectory.

Figure 6 – Daily Connection Logs

The time stamp for the Daily Connection Log is the time of the first session for that day.

Figure 7 – Inside a Daily Connection Log

Inside the Daily Connection log, viewed here in WordPad, you can see the end of the play sessions for that day.

Parsing Log Files

If the user has logging turned on in the game, Everquest II will keep extensive detailed logs of everything the player interacts with, including all private chats. In the game, a private chat is initiated by the /tell command. To locate the log files for a particular character, you navigate to the logs subdirectory, then to the server subdirectory, and finally to the play log file.

Figure 8 – Server Log Folders

Once you are inside a server’s sub directory you will see a listing of all the log files for that server.

Figure 9 – Log Files in the Unrest Server Directory

These log files can get extremely large and contain a great deal of information you don’t care about from a forensic analysis standpoint.

Parsing Logs in Microsoft Access

In their raw format, the log files are difficult to read.

Figure 10 – Log File Viewed in WordPad

The easiest way to parse the log files to extract the information you would want in a forensic exam is to import the text file into an Access database. Here are the steps to import and then analyze the log files using Access queries.

Step 1: Open MS Access and select Get External Data – Import

Figure 11 – Step 1

Step 2: Locate the log file you want to import into Access

Figure 12 – Log Files

Step 3: Start the import process

Since the log can contain punctuation, the best method is to import the log as fixed width.

Figure 13 – The Text Wizard Import Dialog

Step 4: The lines with the arrows pointing up below are where the wizard thinks the fields should be divided. Double click on the leftmost arrow to remove that field break. That will keep the time stamp field whole with the year. See Figure 15 for the completed step.

Figure 14 – Import Text Wizard Field Breaks Dialog

Figure 15 – Import Text Wizard with the Field Break Removed

Step 6: Complete the import process by clicking Finish to import the log files into a new table.

Figure 16 – Import the Log File into a new table

Creating Queries to Parse the Log File

Step 1: In Access, select the Queries menu selection and then click on Create Query in Design View.

Step 2: Select the table you created earlier when you imported the log file and click Add.

Figure 17 – Select the Table Created from the Log File

Step 3: Drag the fields to the grid in the lower pane of the Design Query window.

Figure 18 – Drag the fields to the Query Grid

At this point, if you run the query, you would see the data in the view below:

Figure 19 – Initial Query View

Step 4: Add descriptive names to the column headers. To add the descriptive header, click in the field name and type in what you want to show as the column name. I.e. Time Stamp:. The colon is required to tell Access that you are putting a label in the field.

Figure 20 – Query with Descriptive Headers

Figure 21 – Query View after Adding Header Names

Step 5: Add the ID field by dragging it to the grid. The ID field is automatically created by MS Access and is an autonumber field.

Figure 22 – Add the ID Field to the Query

Figure 23 – Query View with the ID Field

The reason we want the ID field in the query is to add some forensic tracking to the query. Note that when you attempt to delete a record, the ID (3 in this case) would be deleted also. You cannot manually manipulate the auto-number field, so any deletions would be shown by the missing ID number.

Figure 24 – Deleting a record deletes the ID for that record.

Parsing the Log File by Using Criteria

To parse the information you want to see from the log file, you add selection criteria to the Log Text field. In this case, you need to add two criteria: One for tells sent by the user and one for tells received by the user. In MS Access, the Like keyword tells the database engine to find anything “like” the phrase you entered. The asterisks tell the engine to grab anything before and after the phrase.

Figure 25 – Criteria for Parsing Private Tells

Figure 26 – Parsed Query for Incoming and Outgoing Private Tells

To find the user log in and log out times, you add criteria that tell you when the character logs in and out. For Everquest II, the start of a session begins with the notice that logging is on and ends with the keyword “camp”.

Figure 27 – Criteria for Session Start and Stop

Figure 28 – Query View Showing Session Starts and Stops

Other Information Available

Everquest also maintains a file called eq2cmdhistory.txt. This file records the last thirty commands typed by the player. Since the /tell or a private chat is a command, this file records that activity. However, you can only get one side of a conversation this way.

Figure 29 – Location of the eq2cmdhistory.txt File

The figure below shows the content of the eq2cmdhistory.txt file. Note the /tell commands and the text following them. While the file does not record any date or time information internally, its modified date is updated for each gaming session.

Figure 30 – Content of the eq2cmdhistory.txt File.

Everquest II also has an in-game browser capability. You can find the in-game browser history in the Everquest II, ozilla folder.

Figure 31 – In Game Browser History

Getting Even More Information

Sony Online Entertainment keeps extensive server-side logs for each character and account. You should be able to get these via their custodian of records. Their corporate address is Sony Online Entertainment LLC, 8928 Terman Ct., San Diego, CA 92121.

References:

1. MMORPG.com – Your Headquarters for Online Multiplayer Games, RPG Online Games, Online Role Playing Free Games! Web. 15 May 2010. www.mmorpg.com.
2. “Houston Mom Accused of Luring Teen for Sex through Online Game? Moms At Work? Orlando Sentinel.” Orlando Sentinel Blogs – OrlandoSentinel.com. Web. 15 May 2010. blogs.orlandosentinel.com/features_momsatwork/2010/01/houston-mom-accused-of-luring-teen-for-sex-through-online-game.html.
3. “Couple: Internet Gaming Addiction Led to Baby’s Death – CNN.com.” CNN.com – Breaking News, U.S., World, Weather, Entertainment & Video News. Web. 15 May 2010. www.cnn.com/2010/WORLD/asiapcf/04/01/korea.parents.starved.baby/index.html.
4. “Portland Woman Accused of ‘World of Warcraft’ Chat with Boy That Turned Sexual | OregonLive.com.” Oregon Local News, Breaking News, Sports & Weather – OregonLive.com. Web. 15 May 2010. www.oregonlive.com/portland/index.ssf/2010/03/portland_woman_accused_of_worl.html.
5. “Officer Accused Of Bragging Online About Using Taser Gun – Portland News Story – KPTV Portland.” Portland News, Oregon News and Local Weather from KPTV FOX 12 News. Web. 15 May 2010. www.kptv.com/news/14065232/detail.html.

Larry E. Daniel is a computer and cell phone forensics consultant working with clients throughout the U.S. and handling all types of civil and criminal cases. He has testified as a qualified computer forensics expert witness in several cases, in multiple states. Larry is a member of the American College of Forensic Examiners and is Chairman of the Ethics Committee for the American Society of Digital Forensics and eDiscovery. Larry is the CEO of Guardian Digital Forensics, a Digital Forensics Certified Practitioner, author of the popular digital forensics blog Ex Forensis, and host of the Talk Forensics Internet radio show.