Sunday, September 20, 2015

Who's your Master? : MFT Parsers Reviewed

The Master File Table (MFT) contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information related to folders and files on an NTFS system. Brian Carrier (2005) stated “The Master File Table is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of NTFS because it contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information about all files and directories” (p. 274) Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics tools such as EnCase, FTK and X-Ways parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT to display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file and folder structure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user.

During Incident Response, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be hundreds if not thousands of computers to examine. A way to quickly review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems for Indicators of Compromise (IOCs) is to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT file racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than take a full disk image. The MFT file is much smaller in size than a disk image and can be parsed to show existing as well as deleted files on a system.

During a case, I noted some anomalies with a tool that I use to accomplish this task, AnalyzeMFT. This led me to do some testing and verification of several MFT parsers – and I was a little surprised with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. Foremost, I would like to say that I am appreciative to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools.  My intent with this post is to draw attention to understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outputs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner can correctly interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results.

Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences and issues arose due cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handling of deleted files. The documentation of one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I tested, MFTDump, explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues with deleted files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT:
"Since MFTDump only has access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT file, it is not possible to “chase‟ down deleted files through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $INDEX_ALLOC structures to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is an orphan. Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resident $FILE_NAME attribute to determine its parent folder, and follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root folder. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of deleted files, this information may or may not be accurate. To determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact status of a deleted file, you need to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system in a forensic tool."
Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools did not notify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted file may be incorrect  – which could lead to some false conclusions.

There are a lot of tools that parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT. For this testing, I focused on tools that are free, command line and output cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results into Bodyfile format. The reason I chose to do this is that when I parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT, I am using it to create a timeline, usually in an automated fashion. The one exception to this was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool MFTDump.  The output was a TSV file that I wrote a parser for that converted it into Bodyfile format.

There were four “things” that I was checking each tool for:  File Size, Deleted Files, Deleted File Paths and Speed. This criteria may not be important to everyone, but I’ll explain why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are important to me.
  1. File Size
    When looking for IOC’s, file size can be used to distinguish a legitimate file from malware that has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same name.  It could also be used in lieu of file hashes. Instead of hashing every file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer which can be time consuming, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hashed file's size can be used to do a comparison of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT file sizes to flag suspect files (thanks to @rdormi for that idea)
  2. Deleted Files
    MFT records can contain deleted file information. Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output show deleted files? In some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker’s tools and malware have been removed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, so being able to see deleted files is nice.
  3. Deleted File Paths
    Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool able to resolve and display any portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous file path for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted file? Knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent path helps give context to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. For example, it may be located under a user account, or a suspicious location, like a temp folder.
  4. Speed
    If I am processing thousands of machines, I need a tool that will parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT relatively quickly. 10 minutes per machine or 1 hour per machine can make a big difference.

Findings

The tools I tested were AnalyzeMFT, log2timeline.pl, list-mft and MFTDump. Below is a summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r below, I explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results in more detail, along with some sample data.

AnalyzeMFT
  1. Many files, both deleted and existing, show an incorrect file size of 0
  2. Deleted files were not designated as deleted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output
  3. Deleted files where prepended with incorrect file paths
  4. Time to parse MFT: 11 minutes
 List-mft
  1.  File sizes were shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output
  2.  Deleted files were designated as deleted
  3.  No file paths were shown for deleted files
  4. Time to parse MFT: 1 hour, 49 minutes
Log2timeline.pl 
  1. No file sizes were shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output
  2. Deleted files were designated as deleted
  3. Deleted files were shown with correct file paths
  4. Time to parse MFT: 39 minutes
MFTDump 
  1.  File sizes were shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output
  2. Deleted files were designated as deleted
  3. Deleted files were enclosed  with ‘?’ to alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner that file paths may be inaccurate
  4. Time to parse MFT: 7 minutes
Please note, I did not cross reference and verify every single file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output. The observations made above were for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files that I reviewed.

What does this mean, or why are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results important?

No file size reported
The file size can help give context to a file. Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size can help determine if a file is suspect or not. If no file size is provided, this context is lost.

'0’ File size reported
The incorrect file size of ‘0’ can be misleading to an investigator. Take into consideration a RAM scraper output file. If an examiner is checking various systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see a file size of ‘0’, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is empty, when in fact, it could have thousands of credit card numbers written to it.

Files are not being reported/noted as deleted
Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no designation that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is deleted, malware might appear to exist on a system, when in fact, it has been deleted. A suspect may have deleted a file and it is still showing as active in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output.

Deleted files are being associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong parent path
As noted above, due to issues with looking up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent folder for deleted files, incorrect file paths were found to be prepended to deleted files. Even though a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path may be correct, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prepended path could cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner to draw an incorrect conclusion.

For example, many times a malware file will have a legitimate windows system name, such as svchost.exe. What flags cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file as suspicious is where it was/is located. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent path is reportedly incorrectly, a malicious file may be missed. Or, a file may my attributed to an incorrect user account because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path is listed incorrectly.

Conclusion

Based on my testing and criteria, MFTDump seems to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best fit for my process. It contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file sizes, and designates between an active file and a deleted file. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that it recovers a file path for a deleted file, it lets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner know that it might be inaccurate by making a notation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output.  If any important files are found using any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools, it would be prudent for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner to verify with a full disk image.

Sample Test Data

Below, I show some examples from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for each tool. Although I did some testing and verification, it is up to each examiner to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tools – I accept no liability or responsibility for using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools and relying on my results. For demonstrative purposes only. :)

I used FLS from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit and X-Ways to check a deleted file. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n compared how this deleted file was handled with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different tools. I also used Harlan Carvey’s tools (bodyfile.exe and parse.exe) to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodyfile generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool into TLN format for readability.

The deleted file I reviewed was “048002.jpg”.  The path was shown as C:/$OrphanFiles/Pornography/048002.jpg (deleted) in both FLS and X-Ways.

Each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outputs were grepped for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file 048002.jpg, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries located are displayed below in TLN format. I omitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Type" (File), "Host" (Computer1) and "User" (blank) columns in order to better display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results.

I have also included how long each process took. The system I used was Windows 7 with an Intel i7 and 16GB of RAM. The size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT was about 1.8GB (which is much larger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n most systems I process)
  
FLS Output
fls -m C: -f ntfs -r \\.\[Mounted Drive] >> C:\path\to\bodyfile

Date Description
2076-11-29 08:54:34 MA.B [4995] C:/$OrphanFiles/Pornography/048002.jpg (deleted)
2014-01-11 01:25:45 ..C. [4995] C:/$OrphanFiles/Pornography/048002.jpg (deleted)
2013-10-28 20:38:37 MACB [124] C:/$OrphanFiles/Pornography/048002.jpg ($FILE_NAME) (deleted)

FLS was used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 baseline for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output was verified with X-Ways. It shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file as a deleted Orphan file, with a partial recovered directly listing of "/Pornography/048002.jpg". According to The Sleuthkit documentation on orphan files:
"Orphan files are deleted files that still have file metadata in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system, but that cannot be accessed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root directory."
Fls took about 20 minutes to run accross cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted image.

AnalyzeMFT Output
analyzeMFT.py -f "C:\path\to\$MFT" -b "C:\path\to\output\bodyfile.txt" --bodyfull -p

Date Description
2013-10-28 20:38:37 MACB [0] /Users/SpeedRacer/AppData/Roaming/Scooter Software/Beyond Compare 3/BCState.xml/Pornography/048002.jpg

AnalyzeMFT showed 0 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size. It had no designation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output that flags if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is deleted or active. Although it was able to recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted file path "/Pornography/", it prepended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path with a folder that currently exists on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n identify it as an Orphan file.

This makes it appear to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner that this is an active file, under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location "Users/SpeedRacer/AppData/Roaming/Scooter Software/Beyond Compare 3/BCState.xml/Pornography",  when in fact, it is a deleted Orphan file.

During my review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outputs, I noticed quite a few files were showing an incorrect file size of '0', including active files.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open issues on github, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues appear to have been noted.

I also ran AnalyzeMFT with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default output, a csv file. In this output, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file did have a flag designating it as deleted, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodyfile format does not.

Log2Timeline.pl Output
log2timeline -z local -f mft -o tln -w /path/to/bodyfile.txt


Date Description
2014-01-11 01:25:45 FILE,-,-,[$SI ..C.] /Pornography/048002.jpg (deleted)|UTC|  inode:781789

The “old” version of log2timeline has an –f  mft option that parses an MFT file into bodyfile format. The “new” version of log2timeline with Plaso does not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT separately (at least I coudnt find it.). log2timeline.pl was run from a SIFT Virtual Machine. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM, I gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM about 11GB of RAM, and 6 CPUs. With this setup, it took about 39 minutes to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT.

No file size was provided in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log2timeline for any files. The file is flagged as deleted, and includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct partial recovered path /Pornography/". Out off all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT tools I tested, this one most accurately depicts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted file path. However, it's interesting to note that it did not include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FileName attribute.

list-mft Output
list-mft.py "C:\path\to\$MFT" >> "C:\path\to\output\bodyfile.txt"

Date Description
2014-01-11 01:25:45 ,..C. [4995] \\$ORPHAN\048002.jpg (inactive)
2013-10-28 20:38:37 ,MACB [4995] \\$ORPHAN\048002.jpg (filename, inactive)

list-mft provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size, and a designation that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was deleted (inactive). It also identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file as an Orphan, however, it did not recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partial path of /Pornography/. This may be important as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partial path can help provide context for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deleted file.

This program took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 longest to run at 1 hour and 49 minutes. There is a -c, cache option that can be configured. This can be increased for better performance, however, I just used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default settings.

MFTDump Output
mftdump.exe "C:\path\to\$MFT" /o "C:\path\to\output\mftdump-output.txt"

Date Description
2076-11-29 08:54:34 MA.B [4995] ?\Users\SpeedRacer\AppData\Roaming\Scooter Software\Beyond Compare 3\BCState.xml\Pornography\048002.jpg?(DELETED)
2014-01-11 01:25:45 ..C. [4995] ?\Users\SpeedRacer\AppData\Roaming\Scooter Software\Beyond Compare 3\BCState.xml\Pornography\048002.jpg?(DELETED)
2013-10-28 20:38:37 MACB [4995] ?\Users\SpeedRacer\AppData\Roaming\Scooter Software\Beyond Compare 3\BCState.xml\Pornography\048002.jpg? (DELETED)(FILENAME)

The file sizes are displayed, and a designation is included showing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file has been deleted. Deleted files were enclosed  with ‘?’ to alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner that file paths may be incorrect. This tool ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest, clocking 7 minutes for a 1.8 GB MFT file. The output from this tool as a TSV file. I wrote a python script to parse it into bodyfile format.

To keep this post relativity short, I just demonstrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for one file, however, I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process on several files and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results were consistent. Whatever tool an examiner chooses to use will depend on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir particular needs. For example, an examiner may not be interested in file sizes, and in this case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may choose to use log2timeline.  However, if speed is an issue, MFTDump might make more sense. As long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner knows what information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output is portraying, and can verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results independently, any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done.

Carrier, B. (2005). File System Forensic Analysis. Upper Saddle River, NJ: Pearson Education

Monday, June 22, 2015

SQLite Deleted Data Parser Update - Leave no "Leaf" unturned

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I love about open source is that people have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to update and share code.  Adrian Long, aka @Cheeky4n6Monkey, did just that. Based upon some research, he located additional deleted data that can be harvested from re-purposed SQLite pages - specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Leaf
Table B-Tree page type. He updated my code on GitHub and BAM!! just like that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQLite Deleted Data parser now recovers this information.

He has detailed all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specifics and technical goodies in a blog post, so I won't go into detail here. It involved a lot of work and I would like to extend a huge thank you to Adrian for taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code and for sharing his research.

You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent version on my GitHub page. I've also update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line and GUI to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes as well.

Tuesday, June 9, 2015

Does it make sense?


Through all my high school and college math classes, my teachers always taught me to step back after a problem was completed and ask if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer made sense.  What did this mean?  It meant don't just punch numbers into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calculator, write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer, and move on. It meant step back, review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, consider all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 known information and ask, "Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer I came up with make sense?"

Take for instance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pythagorean Theorem. Just by looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture, I can see that C should be longer than A or B. If my answer for C was smaller than A or B, I would know to recheck my work.

Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above example is relatively simple, this little trick applied to more complicated math problems, and many times it helped me catch incorrect answers.

But what does this have to do with DFIR?  I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same principle can be applied to investigations. When looking at data, sometimes stepping back and asking myself cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question, "Does what I am looking at make sense?" has helped me locate issues I may not have ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise caught.

I have had a least a couple of DFIR situations where using this method paid off.

You've got Mail...
I was working a case where a user had Mozilla Thunderbird for an email client. I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email with some typical forensic tools and begin reviewing emails.

While reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output, I noticed it seemed pretty sparse, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profile folder was several gigs. This is where I stepped back and asked myself, does this make sense? It was a large profile, yet contained very few emails.  This led to my research and eventual blog post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Thunderbird MBOXRD file format. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs were just parsing out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBOX format and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBOXRD format, and thus, missing lots of emails. Had I just accepted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, I would have missed a lot of data.

All your files belong to us...
Many times I will triage a system eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r while waiting for an image to complete, or as an alternate to taking an image. This is especially useful when dealing with remote systems that need to be looked at quickly. Exporting out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs and Registry files results in a much smaller data set than a complete image. These artifacts can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be used to create a mini-timeline so analysis can begin immediately  (see Halan's post here for more details on creating mini-timelines).
 
To parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT file into timeline format, I use a tool called Analyze MFT  to provide a bodyfile. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT is in bodyfile format, I use Harlan Carvey's parse.pl to convert it into TLN format and add it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.

While working a case, I created timelines using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above method for several dozen computers. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timelines were created, I grepped out various malware references from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se timelines. While reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results, I noticed many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware files had a file size of zero. Weird. I took a closer look and noticed ALL cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware files contained a file size of zero. Hmmm.. what did that mean? What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances that ALL of those files would have a zero file size??? Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full disk images were not available, validateing this information with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual files was not an option. But I stepped backed and asked myself, given what I knew about my case and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware behaved.. does that make sense?

So I decided to "check my work" and do some testing with Analyze MFT. I created a virtual machine  with Windows XP and exported out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT.  I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT with Analyze MFT and began looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results for files with a zero file size.

I noticed right away that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files had a file size of zero, which is odd.  I was able to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files sizes were in fact NOT zero by using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT, as well as looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM. My testing confirmed that Analyze MFT was incorrectly reporting a file size of zero for some files.

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing I reached out to David Kovar, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of Analyze MFT, to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. I also submitted a bug to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 github page.

If I had not "checked my work" and assumed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size of  zero meant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files were empty, it could have led to an incorrect "answer".

So thanks to those teachers that ground cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "does it make sense" check into my head, as it has proved to be a valuable tip that has helped me numerous times  (more so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pythagorean Theorem...)

Tuesday, April 7, 2015

Dealing with compressed vmdk files


Wherever I get vmdk files, I take a deep breath and wonder what issues might pop up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I recently received some vmkd files and when I viewed one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in FTK Imager (and some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mainstream forensic tools), it showed up as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dreaded "unrecognized file system".

To verify that I had not received some corrupted files, I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMWares disk utility to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partitions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file. This tool showed two volumes, so it appeared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file was not corrupted:




When I tired to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file using vmware-mount, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive mounted, but was not accessible. A review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir documentation, specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limitation section, pointed out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility could not mount compressed vmdk files:

You cannot mount a virtual disk if any of its files are encrypted, compressed, or have read-only permissions. Change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attributes before mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual disk

Bummer. It appeared I had some compressed vmdk files.

So after some Googling and research, I found a couple different ways to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se compressed vmdk files - at least until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream forensic tools. The first way involves converting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second way is by mounting it in Linux.

Which method I choose ultimately depend on my end goals. If I want to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file into one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream forensics tools, converting it into anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r format may work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best. If  I want to save disk space, time and do some batch processing, mounting it in Linux may be ideal.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things I do when I get an image is create a mini-timeline using fls and some of Harlan's tools. Mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in Linux enables me to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional overhead of converting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file first.

Method 1: "Convert"

The first method is to "convert" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file.
I'm using "quotes" because my preferred method is to "convert" it right back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file format, which in essence, decompresses it.

The vmdk file format is usually much smaller cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw/dd image and appears to take less time time to "convert".

I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free VBoxManger.exe that comes with VirtualBox. This is a command line tool located under C:\Program Files\Oracle\VirtualBox. This tool give you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed vmdk (or a regular vmkd) into several formats: VHD, VDI, VMDK and Raw. The syntax is:

VboxManage.exe clonehd "C:\path\to\compressed.vmkd" "C:\path\to\decompressed.vmdk" --format VMDK.

It give you a nice status indicator during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process:



Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is in a format that can worked with like any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r normal vmdk file.

Method 2: Mount in Linux

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method that I prefer when dealing with LOTS of vmdk files. This method uses Virtual Box Fuse, and does not require you to decompress/convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmkd first.

I had a case involving over 100 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se compressed files. Imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overhead time involved with converting 100+ vmdk files before you can even begin to work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This way, I was able to write a script to mount each one in Linux, run fls to create a bodyfile, throw some of Harlan's parsers into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix, and was able to create a 100+ mini-timelines pretty quickly.

There is some initial setup involved but once that's done, it's relatively quick and easy to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed vmdk file.

I'll run though how to install Virtual Box Fuse, how to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed vmkd file  mounted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run fls on it.

1)Install VirtualBox:

sudo apt-get install virtualbox-qt

2) Install Virtual Box Fuse. It is no longer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app repository, so you will need to download and install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb file - don't worry, it's pretty easy, no compiling required :)

Download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb from from Launchpad under "Published Versions". Once you have it downloaded, install it by typing:

sudo dpkg -i --force-depends virtualbox-fuse_4.1.18-dfsg-1ubuntu1_amd64.deb

Note  - this version is not compatible with Virtual Box v. 4.2. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of this writing, when I installed Virtual Box on my Ubuntu distro, it was version 4.1 and worked just fine. If you have a newer version of virtual box, it will still work - you just unpack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb file and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary without installing it. See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread here for more details.

3)Mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed VMDK file read-only


vdfuse -r -t VMDK -f /mnt/evidence/compressed.vmdk /mnt/vmdk

This will created a device called "EntireDisk" and Parition1, Parition2 etc. under /mnt/vmdk


(even though I got this fuse error - everything seems to work just fine)

At this point and time, you can use fls to generate a bodyfile. fls is included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuth Kit, and is installed on SIFT by default. You may need to specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset for your partition.  Run mmls to grab this:


Now that we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offsets, we can run fls to generate a bodyfile:

fls -r -o 2048 /mnt/vmdk/EntireDisk -m C: >> /home/sansforensics/win7-bodyfile
fls -r -o 206848 /mnt/vmdk/EntireDisk -m C: >> /home/sansforensics/win7-bodyfile


Next, if you want access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files/folders etc, you will need to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EntireDisk Image as an ntfs mount for each partition. This is assuming you have an Windows system - if not, adjust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type accordingly:

Mount Partition 1, Offset 2048:


Mount Parition2, Offset 206848:



There are multiple ways to deal with this compressed format, such as using VMWare or VirtualBox GUI to import/export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compresses file... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are just some examples of a couple of ways to do it. I tend to prefer command line options so I can script out batch files if necessary.












Wednesday, March 4, 2015

USN Journal: Where have you been all my life


One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of IR engagements is to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector and/or patient zero. In order to determine this, timeline analysis becomes critical, as does determining when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365  malware was created and/or executed on a system.

This file create time may become extremely critical if you're dealing with multiple or even hundreds of systems and trying to determine when and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware first made its way into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment.

But what happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware has already been remediated  by a Systems Administrator, deleted by an attacker, or new AV signatures are being pushed out, resulting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being removed?

Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 residual artifacts demonstrate execution,  however, it seems very few actually document when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal recently helped me on a case. The USN Journal is by no means new.. but I just wanted to talk about a case study and share my experience with it, as I feel it's an often overlooked artifact.

For purposes of demonstrative data, I downloaded and infected a Windows 7 VM with malware.  This malware was from a phishing email that contained a zip file, voice#5734223.zip. This zip file contained a payload, voice.exe. For more details on this malware sample, check out http://malware-traffic-analysis.net/2015/01/27/index.html
 
So lets run through some typical artifacts that demonstrate execution along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available timestamps and see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do and don't tell us...

MFT
The MFT contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem information - Modified, Accessed and Created dates, file size etc. However, a deleted file's MFT record may be overwritten. If you're lucky, your deleted malware file will still have an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT - however, in my case this was not to be.

The ShimCache
I won't go into to much detail here as Mandiant has a great white paper on this artifact. Basically, on most systems this artifact contains information on files that have been executed including path, file size and last modified date. I parsed this registry key with RegRipper, and located an entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test malware, voice.exe:

C:\Users\user1\Downloads\voice#5734223\voice.exe
ModTime: Wed Jan 28 15:28:46 2015 Z
Executed

So what does this tell me? That voice.exe was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Downloads path, was executed, and has a last modified date of 01/28/2015 - no create date .
 
UserAssist
The User Assist is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r awesome key... it displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time a file was executed, along with a run count. Once again, using RegRipper to parse this I located an entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test malware:

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}
Mon Feb 23 02:33:34 2015 Z C:\Users\user1\Downloads\voice#5734223\voice.exe (2)*

By looking at this artifact, I can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was executed twice - once on February 23rd, however, I don't know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time was. It could have been minutes, hours or days earlier. It still does very little to let me know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, although I do know it should be sometime before this time stamp.

Prefetch File
This is a great artifact that can show execution and even multiple times of execution. But what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is a Server, where prefetching may not be enabled?  In my case, prefetching was enabled, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no prefetch file for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question - at least that is what I thought until I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal. And, once again, it does not contain information related to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Ok, so I've reviewed a couple of typical artifacts that demonstrated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware executed (for more artifacts related to execution, check out this blog post by Mandiant "Did it Execute") With timeline analysis, I may even get an idea of when this file was most likely introduced on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system - however, a definitive create date would be nice to have. This brings me too.....cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal.

USN Journal
There are a couple of tools I use to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal. A quick, easy to use script is usnj.pl available from Harlan Carvey's GitHub page.

Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal and looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question, I see some interesting entries for voice.exe, highlighted in red below:



Sweeet! I now have a File_Create timestamp for voice.exe I can use in my timeline. I can also see that voice.exe was deleted relatively quickly ~ 30 seconds after it was created. This deletion occured about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file for it was created. This might be an indication that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware deleted itself upon execution.

It's also interesting to note that around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file was created for voice.exe, a file called testmem.exe was created and executed (highlighted in yellow)..hmmmm.

Time to dig deeper. For a little more detail on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TriForce tool. This tool processes three files: $MFT, $J and $Logfile. It cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cross references cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se three files to build out some additional relationships. In my experience, this tool takes a bit longer to run. As you can see by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output below, I now have full file paths that may help add a little more context:


That testmem.exe just became all that more suspicious due to it's location - a temp folder.

By reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal file, I was able to establish a create date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. This create date located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal gave me an additional pivot point to work with. This pivot point lead to some additional findings -  a suspicious file, testmem.exe. (For some more on timeline pivoting, check out Harlan's post here). Not only did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 create date help locate additional artifacts, but it can also help me home in on which systems may be patient zero. Malware may arrive on a system long before its executed.
 
Just because it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re - doesn't mean it didn't exist. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case I was working, I did not have any existing prefetch files for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. However, when I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal, I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware get created and deleted within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 span of 40 minutes. I also saw some additional temporary files get created and deleted, some of which were not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT.

Alass, as sad as it is, my relationship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal does have some shortcomings (and it's not my fault). Since it is a log file, it does "roll over" The USJ Journal can be limited in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data that it holds - sometimes it seems all I see in it are Windows Update files. If a system is heavily used, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was deleted months ago, it may no longer be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal. However, all is not lost though, Rumor has it that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be some USN Journal files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Copies so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may still be hope. Also, David Cowen points out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log file is not circular (as I once thought), and just frees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old pages to disk:

"After talking to Troy Larson though I now understand that this behavior is due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journal is not circular but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pages are allocated and deallocated as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journal grows"

This means that you can carve USN Journals records! Check out his blog post here for more information.

Happy Hunting!

Additional reading on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Journal

http://journeyintoir.blogspot.com/2013/01/re-introducing-usnjrnl.html

http://forensicsfromcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sausagefactory.blogspot.com/2010/08/usn-change-journal.html

https://msdn.microsoft.com/en-us/library/windows/desktop/aa363798%28v=vs.85%29.aspx

*The run count number was modified from 1 to 2 on this output to illustrate a point.