<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Hi,<div><br></div><div>While there are existing detectors for OneDrive, I thought of adding the below ones for additional detection. Please ignore them of they are of no interest. Pcaps available if required.</div><div><br></div><div>1- OneDrive on OS X:</div><div><br></div><div><div><font face="Courier New, sans-serif" size="2">--[[</font></div><div><font face="Courier New, sans-serif" size="2">detection_name: onedrive_osx</font></div><div><font face="Courier New, sans-serif" size="2">version: 1</font></div><div><font face="Courier New, sans-serif" size="2">description: Microsoft OneDrive (formerly SkyDrive) client for OS X.</font></div><div><font face="Courier New, sans-serif" size="2">--]]</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">require "DetectorCommon"</font></div><div><font face="Courier New, sans-serif" size="2">local DC = DetectorCommon</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">local proto = DC.ipproto.tcp;</font></div><div><font face="Courier New, sans-serif" size="2">DetectorPackageInfo = {</font></div><div><font face="Courier New, sans-serif" size="2">        name = "onedrive_osx",</font></div><div><font face="Courier New, sans-serif" size="2">        proto = proto,</font></div><div><font face="Courier New, sans-serif" size="2">        server = {</font></div><div><font face="Courier New, sans-serif" size="2">                init = 'DetectorInit',</font></div><div><font face="Courier New, sans-serif" size="2">                clean = 'DetectorClean',</font></div><div><font face="Courier New, sans-serif" size="2">                minimum_matches = 1</font></div><div><font face="Courier New, sans-serif" size="2">        }</font></div><div><font face="Courier New, sans-serif" size="2">}</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">function DetectorInit(detectorInstance)</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">        gDetector = detectorInstance;</font></div><div><font face="Courier New, sans-serif" size="2">        gAppId = gDetector:open_createApp("onedrive_osx");</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">        -- URL is different than the one in existing detectors</font></div><div><font face="Courier New, sans-serif" size="2">        if gDetector.addHttpPattern then</font></div><div><font face="Courier New, sans-serif" size="2">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "OneDrive", gAppId);</font></div><div><font face="Courier New, sans-serif" size="2">        end</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">        return gDetector;</font></div><div><font face="Courier New, sans-serif" size="2">end</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">function DetectorClean()</font></div><div><font face="Courier New, sans-serif" size="2">end</font></div></div><div><br></div><div>2- OneDrive Quality of Service data upload:</div><div><br></div><div><div><font face="Courier New, sans-serif" size="2">--[[</font></div><div><font face="Courier New, sans-serif" size="2">detection_name: onedrive_qa_up</font></div><div><font face="Courier New, sans-serif" size="2">version: 1</font></div><div><font face="Courier New, sans-serif" size="2">description: Microsoft OneDrive (formerly SkyDrive) client upload of non-personal data to improve quality of service.</font></div><div><font face="Courier New, sans-serif" size="2">--]]</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">require "DetectorCommon"</font></div><div><font face="Courier New, sans-serif" size="2">local DC = DetectorCommon</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">local proto = DC.ipproto.tcp;</font></div><div><font face="Courier New, sans-serif" size="2">DetectorPackageInfo = {</font></div><div><font face="Courier New, sans-serif" size="2">        name = "onedrive_qa_up",</font></div><div><font face="Courier New, sans-serif" size="2">        proto = proto,</font></div><div><font face="Courier New, sans-serif" size="2">        server = {</font></div><div><font face="Courier New, sans-serif" size="2">                init = 'DetectorInit',</font></div><div><font face="Courier New, sans-serif" size="2">                clean = 'DetectorClean',</font></div><div><font face="Courier New, sans-serif" size="2">                minimum_matches = 1</font></div><div><font face="Courier New, sans-serif" size="2">        }</font></div><div><font face="Courier New, sans-serif" size="2">}</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">function DetectorInit(detectorInstance)</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">        gDetector = detectorInstance;</font></div><div><font face="Courier New, sans-serif" size="2">        gAppId = gDetector:open_createApp("onedrive_qa_up");</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">        --[[ The similarities in the hostname + URL patterns may suggest that the Windows client of OneDrive</font></div><div><font face="Courier New, sans-serif" size="2">                uses the same User-Agent of Dr. Watson; MSDW.</font></div><div><font face="Courier New, sans-serif" size="2">                The hostname + URL patterns were observed with OS X version on OneDrive with different </font></div><div><font face="Courier New, sans-serif" size="2">                User-Agent.</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">        ]]--</font></div><div><font face="Courier New, sans-serif" size="2">        if gDetector.addAppUrl then</font></div><div><font face="Courier New, sans-serif" size="2">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "ssw.live.com", "/UploadData.aspx", "http:", "", gAppId);</font></div><div><font face="Courier New, sans-serif" size="2">        end</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">        return gDetector;</font></div><div><font face="Courier New, sans-serif" size="2">end</font></div><div><font face="Courier New, sans-serif" size="2"><br></font></div><div><font face="Courier New, sans-serif" size="2">function DetectorClean()</font></div><div><font face="Courier New, sans-serif" size="2">end</font></div></div><div><br></div><div>3- Microsoft Compatibility Exchange Service:</div><div><br></div><div><div><font size="2" face="Courier New, sans-serif">--[[</font></div><div><font size="2" face="Courier New, sans-serif">detection_name: ms_comp_svc</font></div><div><font size="2" face="Courier New, sans-serif">version: 1</font></div><div><font size="2" face="Courier New, sans-serif">description: Detector for Microsoft Compatibility Exchange Service User-Agent (application compatibility). Observed on Windows 10 Build 10162.</font></div><div><font size="2" face="Courier New, sans-serif">Reference: technet.microsoft.com/en-us/library/cc766466(v=ws.10).aspx</font></div><div><font size="2" face="Courier New, sans-serif">--]]</font></div><div><font size="2" face="Courier New, sans-serif"><br></font></div><div><font size="2" face="Courier New, sans-serif">require "DetectorCommon"</font></div><div><font size="2" face="Courier New, sans-serif">local DC = DetectorCommon</font></div><div><font size="2" face="Courier New, sans-serif"><br></font></div><div><font size="2" face="Courier New, sans-serif">local proto = DC.ipproto.tcp;</font></div><div><font size="2" face="Courier New, sans-serif">DetectorPackageInfo = {</font></div><div><font size="2" face="Courier New, sans-serif">        name = "ms_comp_svc",</font></div><div><font size="2" face="Courier New, sans-serif">        proto = proto,</font></div><div><font size="2" face="Courier New, sans-serif">        server = {</font></div><div><font size="2" face="Courier New, sans-serif">                init = 'DetectorInit',</font></div><div><font size="2" face="Courier New, sans-serif">                clean = 'DetectorClean',</font></div><div><font size="2" face="Courier New, sans-serif">                minimum_matches = 1</font></div><div><font size="2" face="Courier New, sans-serif">        }</font></div><div><font size="2" face="Courier New, sans-serif">}</font></div><div><font size="2" face="Courier New, sans-serif"><br></font></div><div><font size="2" face="Courier New, sans-serif">function DetectorInit(detectorInstance)</font></div><div><font size="2" face="Courier New, sans-serif"><br></font></div><div><font size="2" face="Courier New, sans-serif">        gDetector = detectorInstance;</font></div><div><font size="2" face="Courier New, sans-serif">        gAppId = gDetector:open_createApp("ms_comp_svc");</font></div><div><font size="2" face="Courier New, sans-serif"><br></font></div><div><font size="2" face="Courier New, sans-serif">        --[[ The URL associated with this User-Agent eventually leads to:</font></div><div><font size="2" face="Courier New, sans-serif">                compatexchange1.trafficmanager.net/CompatibilityExchangeService.svc/extended</font></div><div><font size="2" face="Courier New, sans-serif">                See above reference for more information.</font></div><div><font size="2" face="Courier New, sans-serif">        ]]--</font></div><div><font size="2" face="Courier New, sans-serif">        if gDetector.addHttpPattern then</font></div><div><font size="2" face="Courier New, sans-serif">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "WicaAgent", gAppId);</font></div><div><font size="2" face="Courier New, sans-serif">        end</font></div><div><font size="2" face="Courier New, sans-serif"><br></font></div><div><font size="2" face="Courier New, sans-serif">        return gDetector;</font></div><div><font size="2" face="Courier New, sans-serif">end</font></div><div><font size="2" face="Courier New, sans-serif"><br></font></div><div><font size="2" face="Courier New, sans-serif">function DetectorClean()</font></div><div><font size="2" face="Courier New, sans-serif">end</font></div></div><div><br></div><div>Thanks.</div><div>YM</div><div><br></div>                                           </div></body>
</html>