Reviewing Timelines with Excel
Wednesday, November 3, 2010
Generating timelines used to be a manual method for me until I started to use Harlan Carvey's timeline tools and Kristinn Gudjonsson's log2timeline. I finally saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 light of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of a timeline because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools allow for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automated generation of timelines. This enabled me to focus on how to apply this technique in different types of investigations. My next step was to determine how to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timelines and two methods that can be used are Grep and Microsoft Excel. The purpose of this post is to provide a tutorial on how to use Microsoft Excel 2007 to review timelines.
Grep and Excel both have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to examine timelines and to create custom timelines to display certain types of data. However, I prefer to use Excel over Grep because Excel allows me to keep track on my timeline examination. I can create a separate column for notes or I can highlight rows or text containing items of interest. I can even use a color scheme to highlight groups of rows that are related. For example, if a system is infected with two pieces of malware cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I can use a certain color for each malware to highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows associated with that malware. The following are various activities for reviewing a timeline with Excel.
* Getting Started
* Importing Timeline Data into Excel
* Filters
* Advanced Filters
* Find
Custom timelines can be created using Excel filters while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find function can be used to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. In my limited experience with timelines, I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a set order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se activities since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation will dictate what needs to be done. Sometimes I start out examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with Find while at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times I first create custom timelines in order to narrow down where to start examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with Find. This post will show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of Excel filters and demonstrate how Find can be used for examinations.
Getting Started
The timeline first has to be generated and stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file format. I'm not going to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of timelines but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following sites have information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic: Windows Incident Response blog, Log2timeline website, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs forensic blog. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decisions that has to be made when creating timelines is to decide what data to include. The approach I take is to make a judgment call about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts I might need based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of investigation and a few quick checks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer being examined. I include all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts in one timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I create custom timelines by applying Excel filters.
For this post, I didn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to setup a scenario and a test system so I am using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer I referenced as Infected 1 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Infected. The timeline was created using tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit, regtime.pl, and an updated version of timescanner.
Side note: Kristinn Gudjonsson was kind enough to provide assistance to a complete stranger. He pointed out I was using an older version of log2timeline and helped me upgrade to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version. Timescanner now has an input module which allows you to specify what artifacts to include in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline instead of including everything. This is awesome; not only is timescanner faster but specifying only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts you need speeds up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 generation of timelines.
Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline you should have a lead. This lead can come from numerous places such as a person’s statement, a website of interest, antivirus log, intrusion detection system alert, examination of a computer's auto-start locations or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of a computer's volatile data. The lead I'm using for this post came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of volatile data. The examination located a few suspicious items which were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asr64_ldm.exe process, _VOIDd.sys driver, and DLLs with names starting with _void.
Importing Timeline Data into Excel
The timeline in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file can be directly opened by using Excel. However, I have had issues with trying to add edits to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline using this method. To avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues I now import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file as a comma delimited file. (Note: selecting comma delimited results in rows containing commas being separated into different columns but I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I need to filter on still appears under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename column. An example of a row containing commas is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed Windows event logs.)
The following steps outline how to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file into Excel.
The Excel program needs to be opened first. The area to import external data is located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon. The option to get data from a text file is required for a csv file.
The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default option is to select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fix Width. The issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fixed Width is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is not separated into different columns as highlighted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red box below.
The option for Delimited needs to be selected instead of using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default Fixed Width.
After you select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Delimted option cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next page allows you to set delimiters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. I found using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comma delimiter separates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct columns as shown below.
At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Finish button can be selected to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file. Excel will prompt about where to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default selection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing blank worksheet is fine. The process may take a few seconds to a couple of minutes.
Filters
I mostly use filters to create custom timelines or to see relationships between data with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise suppressed. Excel has two filter functions which are filters and advanced filters. Both filters can be accessed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon.
Clicking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filter icon activates Excel filters and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top row of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spreadsheet now has drop down menus for each column.
The drop down menu lets you apply a filter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in that column. A text filter can be applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column in order to create a custom timeline of your choice. For example, "event log" or "internet history" can be filtered under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column to create a timeline of just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event logs or Internet usage while "March 11 2010" can be filtered under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date column to create a timeline for March 11, 2010. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options for a text filter.
As you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are different types of text filters. To demonstrate this functionality I selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Contains option underneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column. This brings up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Custom Autofilter window which allows you to specify only two variables for your filters. The limitation of two variables is why advanced filters are required. Two wildcards are available for filters which are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ? for a single character or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 * for a series of characters. The picture below shows I am only using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word prefetch to only show rows containing this word.
The rows' numbers turn to blue indicating a filter is applied. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column’s drop down arrow is changed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter icon. Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below.
If desired, a filter can be applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r columns that still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drop down arrow. For example, I can apply a filter for ???b to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type column to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r filter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data so only items that have been created are shown. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two filters applied.
To remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filters just click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Clear icon which is next to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filter icon on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon. Click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filter icon again in order to turn off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter functionality.
Advanced Filters
I started looking into advanced filters when I wanted to create a custom timeline to show someone's Internet activity involving downloading numerous files. Basically, I wanted to use a combination of variables involving file names, folders, folder paths, parsed artifacts, and dates to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline (I wanted to filter using about 20 different variables in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date and File Name columns). I couldn't use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Excel filters since only two variables can be used so I started to look into advanced filters when I came across Excel Advanced Filter Introduction.
To use advanced filters you first have to set up a database within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worksheet. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 headings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column you want to filter on but I find it easier to copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire top row right away so I don't have to change it later.
The database has to be setup outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worksheet but I usually place it below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database is separated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data.
I use advanced filters in order to string togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r different functions (or/and) with different variables. The and statement is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same row. The picture below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 row must have ???b under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Type column and prefetch under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column. The asterisk is required around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word prefetch in order to filter on rows which contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word prefetch.
The or statement occurs when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables are on different rows. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter to only show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows with asr64_ldm or _void under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column.
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 or statement is below. This statement only wants to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows which have Mar 12 2010 under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date column or Event Log under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column.
Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database is setup with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter you want to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced filter. This will be demonstrated using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search for asr64_ldm or _void under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column. First select a cell containing timeline data (this can be any cell containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced icon on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon.
The Advanced Filter window will appear with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default option to filter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list in place. You have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filtered data to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r worksheet but this tutorial will be filtering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list in place. Excel should automatically detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 List Range but this can be verified by scrolling down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last line of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data. The List Range value should contain all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows and columns with timeline data (note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename will be column H but Excel will have a higher column due to selecting comma delimited when importing data). The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last row containing timeline data matching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last row in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 List Range.
If all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data is reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 List Range cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range needs to be verified. Excel may automatically detect this but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range Excel detected for me was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous filter I used. To configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range to match your filter. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current selection is $A$157121:$A$1571 which is saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter is column A row 157121. This filter needs to be changed to show column H rows 157121 to 157123.
The Criteria Range value can be deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n with your mouse you can first select cell H:157121 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hold down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shift key and select cell H:157123. This is shown below (note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way would be used to select a filter spanning multiple columns except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first cell would be under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first column).
The OK button can be selected once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range value is configured. The picture below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter being applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism for _voidd.sys is a service and asr64_ldm.exe was created on 03/12/10 at 11:29:06.
Find
I use Excel filters to create custom timelines or to see relationships between data while I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find funtion to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline since filters hide some cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity around an item of interest. To open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find and Replace window you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key combination of CTRL and F or select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find icon on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Home Ribbon. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Home Ribbon.
The Find and Replace window has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next occurrence of a keyword or to find all occurrences of a keyword. This is accomplished by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find Next or Find All option.
The Find Next option will be shown first by searching for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword asr64_ldm.exe. This search is only being performed to show how it works since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination will use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find All option. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search selects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first row containing asr64_ldm.exe.
I mostly use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find Next option to determine if a keyword is present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worksheet. For example, an antivirus scan might have been used to clean a system so I may search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name is present anywhere else on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find All option is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better method to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline since it not only enables you to quickly move around in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline but it's easier to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity around a keyword. The examination will start by first reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial programs of interest which are asr64_ldm.exe, _void.sys, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLLs' names starting with _void to determine which appeared first on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 find All option being used to locate all occurrences of asr64_ldm.exe. As was mentioned previously, asr64_ldm.exe was created on 03/12/10 at 11:29:06.
The Find All option was used to search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rogue driver _voidd.sys and this is shown below.
The Find All option was used to search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rogue DLLs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and this is shown below. The Find and Replace window shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLLs appear on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 _voidd.sys driver.
The _voidd.sys driver appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system at 11:29:28 and this was 22 seconds after asr64_ldm.exe. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial focus should be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity prior to asr64_ldm.exe appearing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The Find All option was used to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first occurrence of asr64_ldm.exe.
The activity before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first occurrence of asr64_ldm.exe shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user account accessed a file called update.exe as can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below.
The Find All option was used to search for all references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 update.exe file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting hits shows update.exe is associated with a website visited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator user account.
Advanced Filters during Examination
As I mentioned previously, I use advanced filters in order to see relationships between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. The brief examination using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find function identified a suspicious program being launched a few seconds before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first malware appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and this suspicious program is associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. An advanced filter can be used to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationships between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.
The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter being applied to see this relationship by using a combination of and statements being linked togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by or statements. For example, Internet Explorer history or Temporary Internet Files folder activity for March 12, 2010 will appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. The Criteria Range value for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below is Sheet1!$A$157121:$H$157132. (Note: I also included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter and statements to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch folder activity and all files created on 03/12/10 at 11:28 or 11:29.)
The applied filter shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn’t much Internet activity before update.exe being accessed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were only two websites accessed. The website that stands out is highlighted in red.
The picture below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with activity involving this website.
The examination isn't even close to being complete but I hope I was able to demonstrate how Excel could be used to review timelines. Excel provides you with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to create custom timelines, view relationships between data, or examine timelines.
I hope this tutorial has been helpful.
Grep and Excel both have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to examine timelines and to create custom timelines to display certain types of data. However, I prefer to use Excel over Grep because Excel allows me to keep track on my timeline examination. I can create a separate column for notes or I can highlight rows or text containing items of interest. I can even use a color scheme to highlight groups of rows that are related. For example, if a system is infected with two pieces of malware cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I can use a certain color for each malware to highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows associated with that malware. The following are various activities for reviewing a timeline with Excel.
* Getting Started
* Importing Timeline Data into Excel
* Filters
* Advanced Filters
* Find
Custom timelines can be created using Excel filters while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find function can be used to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. In my limited experience with timelines, I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a set order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se activities since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation will dictate what needs to be done. Sometimes I start out examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with Find while at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times I first create custom timelines in order to narrow down where to start examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with Find. This post will show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of Excel filters and demonstrate how Find can be used for examinations.
Getting Started
The timeline first has to be generated and stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file format. I'm not going to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of timelines but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following sites have information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic: Windows Incident Response blog, Log2timeline website, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs forensic blog. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decisions that has to be made when creating timelines is to decide what data to include. The approach I take is to make a judgment call about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts I might need based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of investigation and a few quick checks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer being examined. I include all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts in one timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I create custom timelines by applying Excel filters.
For this post, I didn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to setup a scenario and a test system so I am using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer I referenced as Infected 1 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Infected. The timeline was created using tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit, regtime.pl, and an updated version of timescanner.
Side note: Kristinn Gudjonsson was kind enough to provide assistance to a complete stranger. He pointed out I was using an older version of log2timeline and helped me upgrade to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version. Timescanner now has an input module which allows you to specify what artifacts to include in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline instead of including everything. This is awesome; not only is timescanner faster but specifying only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts you need speeds up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 generation of timelines.
Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline you should have a lead. This lead can come from numerous places such as a person’s statement, a website of interest, antivirus log, intrusion detection system alert, examination of a computer's auto-start locations or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of a computer's volatile data. The lead I'm using for this post came from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of volatile data. The examination located a few suspicious items which were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asr64_ldm.exe process, _VOIDd.sys driver, and DLLs with names starting with _void.
Importing Timeline Data into Excel
The timeline in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file can be directly opened by using Excel. However, I have had issues with trying to add edits to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline using this method. To avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues I now import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file as a comma delimited file. (Note: selecting comma delimited results in rows containing commas being separated into different columns but I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I need to filter on still appears under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename column. An example of a row containing commas is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed Windows event logs.)
The following steps outline how to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file into Excel.
The Excel program needs to be opened first. The area to import external data is located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon. The option to get data from a text file is required for a csv file.
The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default option is to select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fix Width. The issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fixed Width is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is not separated into different columns as highlighted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red box below.
The option for Delimited needs to be selected instead of using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default Fixed Width.
After you select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Delimted option cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next page allows you to set delimiters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. I found using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comma delimiter separates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct columns as shown below.
At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Finish button can be selected to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file. Excel will prompt about where to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default selection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing blank worksheet is fine. The process may take a few seconds to a couple of minutes.
Filters
I mostly use filters to create custom timelines or to see relationships between data with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise suppressed. Excel has two filter functions which are filters and advanced filters. Both filters can be accessed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon.
Clicking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filter icon activates Excel filters and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top row of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spreadsheet now has drop down menus for each column.
The drop down menu lets you apply a filter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in that column. A text filter can be applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column in order to create a custom timeline of your choice. For example, "event log" or "internet history" can be filtered under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column to create a timeline of just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event logs or Internet usage while "March 11 2010" can be filtered under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date column to create a timeline for March 11, 2010. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options for a text filter.
As you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are different types of text filters. To demonstrate this functionality I selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Contains option underneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column. This brings up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Custom Autofilter window which allows you to specify only two variables for your filters. The limitation of two variables is why advanced filters are required. Two wildcards are available for filters which are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ? for a single character or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 * for a series of characters. The picture below shows I am only using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word prefetch to only show rows containing this word.
The rows' numbers turn to blue indicating a filter is applied. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column’s drop down arrow is changed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter icon. Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below.
If desired, a filter can be applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r columns that still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drop down arrow. For example, I can apply a filter for ???b to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type column to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r filter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data so only items that have been created are shown. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two filters applied.
To remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filters just click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Clear icon which is next to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filter icon on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon. Click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filter icon again in order to turn off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter functionality.
Advanced Filters
I started looking into advanced filters when I wanted to create a custom timeline to show someone's Internet activity involving downloading numerous files. Basically, I wanted to use a combination of variables involving file names, folders, folder paths, parsed artifacts, and dates to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline (I wanted to filter using about 20 different variables in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date and File Name columns). I couldn't use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Excel filters since only two variables can be used so I started to look into advanced filters when I came across Excel Advanced Filter Introduction.
To use advanced filters you first have to set up a database within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worksheet. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 headings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column you want to filter on but I find it easier to copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire top row right away so I don't have to change it later.
The database has to be setup outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worksheet but I usually place it below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database is separated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data.
I use advanced filters in order to string togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r different functions (or/and) with different variables. The and statement is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same row. The picture below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 row must have ???b under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Type column and prefetch under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column. The asterisk is required around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word prefetch in order to filter on rows which contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word prefetch.
The or statement occurs when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables are on different rows. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter to only show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows with asr64_ldm or _void under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column.
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 or statement is below. This statement only wants to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows which have Mar 12 2010 under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Date column or Event Log under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column.
Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database is setup with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter you want to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced filter. This will be demonstrated using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search for asr64_ldm or _void under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column. First select a cell containing timeline data (this can be any cell containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced icon on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data Ribbon.
The Advanced Filter window will appear with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default option to filter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list in place. You have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filtered data to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r worksheet but this tutorial will be filtering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list in place. Excel should automatically detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 List Range but this can be verified by scrolling down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last line of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data. The List Range value should contain all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows and columns with timeline data (note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename will be column H but Excel will have a higher column due to selecting comma delimited when importing data). The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last row containing timeline data matching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last row in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 List Range.
If all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data is reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 List Range cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range needs to be verified. Excel may automatically detect this but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range Excel detected for me was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous filter I used. To configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range to match your filter. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current selection is $A$157121:$A$1571 which is saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter is column A row 157121. This filter needs to be changed to show column H rows 157121 to 157123.
The Criteria Range value can be deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n with your mouse you can first select cell H:157121 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hold down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shift key and select cell H:157123. This is shown below (note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way would be used to select a filter spanning multiple columns except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first cell would be under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first column).
The OK button can be selected once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Criteria Range value is configured. The picture below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter being applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism for _voidd.sys is a service and asr64_ldm.exe was created on 03/12/10 at 11:29:06.
Find
I use Excel filters to create custom timelines or to see relationships between data while I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find funtion to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline since filters hide some cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity around an item of interest. To open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find and Replace window you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key combination of CTRL and F or select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find icon on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Home Ribbon. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Home Ribbon.
The Find and Replace window has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next occurrence of a keyword or to find all occurrences of a keyword. This is accomplished by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find Next or Find All option.
The Find Next option will be shown first by searching for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword asr64_ldm.exe. This search is only being performed to show how it works since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination will use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find All option. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search selects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first row containing asr64_ldm.exe.
I mostly use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find Next option to determine if a keyword is present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worksheet. For example, an antivirus scan might have been used to clean a system so I may search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name is present anywhere else on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find All option is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better method to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline since it not only enables you to quickly move around in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline but it's easier to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity around a keyword. The examination will start by first reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial programs of interest which are asr64_ldm.exe, _void.sys, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLLs' names starting with _void to determine which appeared first on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 find All option being used to locate all occurrences of asr64_ldm.exe. As was mentioned previously, asr64_ldm.exe was created on 03/12/10 at 11:29:06.
The Find All option was used to search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rogue driver _voidd.sys and this is shown below.
The Find All option was used to search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rogue DLLs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and this is shown below. The Find and Replace window shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLLs appear on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 _voidd.sys driver.
The _voidd.sys driver appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system at 11:29:28 and this was 22 seconds after asr64_ldm.exe. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial focus should be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity prior to asr64_ldm.exe appearing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The Find All option was used to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first occurrence of asr64_ldm.exe.
The activity before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first occurrence of asr64_ldm.exe shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user account accessed a file called update.exe as can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below.
The Find All option was used to search for all references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 update.exe file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting hits shows update.exe is associated with a website visited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator user account.
Advanced Filters during Examination
As I mentioned previously, I use advanced filters in order to see relationships between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. The brief examination using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find function identified a suspicious program being launched a few seconds before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first malware appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and this suspicious program is associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. An advanced filter can be used to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationships between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.
The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter being applied to see this relationship by using a combination of and statements being linked togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by or statements. For example, Internet Explorer history or Temporary Internet Files folder activity for March 12, 2010 will appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. The Criteria Range value for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below is Sheet1!$A$157121:$H$157132. (Note: I also included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter and statements to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch folder activity and all files created on 03/12/10 at 11:28 or 11:29.)
The applied filter shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn’t much Internet activity before update.exe being accessed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were only two websites accessed. The website that stands out is highlighted in red.
The picture below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with activity involving this website.
The examination isn't even close to being complete but I hope I was able to demonstrate how Excel could be used to review timelines. Excel provides you with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to create custom timelines, view relationships between data, or examine timelines.
I hope this tutorial has been helpful.
Posts
Very cool! I love seeing how different analysts solve problems like this. Thanks!
Would this work okay with Calc?
> work okay with Calc
Good question. I am not that familiar with Calc so I don't know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program's filter or find capabilities. However, I'm curious about it as well since you mentioned it. I'll try to look into it over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next week.
I quickly looked into Calc and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program appears to have similar functionality as Excel for reviewing timelines. I'm going to process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same timeline with Calc to see how Excel and Calc compare against each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r as it relates to timelines. Stay tuned for a post about using Calc as an alternative to Excel for reviewing timelines.
Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments.