Sizing up CVE-2010-1885 Exploit Artifacts

Monday, December 13, 2010 Posted by Corey Harrell 0 comments
There are numerous resources available to assist you during a system examination. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m include search engines, blogs, books, forums, and listservs. These resources have helped me gain a better understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I’m seeing when processing cases. I thought one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit artifacts left on a system would be to have a resource that could be referenced during examinations of compromised systems. I felt this would have been helpful during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Anatomy of a Drive-by II. I was unfamiliar with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and this made it difficult to determine what vulnerability was exploited which lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being downloaded.

The one area of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector I wasn't as confident about was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit used. The examination showed it could have involved Java, Adobe Reader, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center Vulnerability. This was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons of why I started documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various attack vector artifacts by focusing on exploits instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanisms. To identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential exploit artifacts I’m using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits in Metasploit by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits against various test systems in order to see what artifacts are created. The first vulnerability I researched using Metasploit was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 (Windows Help Center vulnerability) explot and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts I found are documented here. However, this testing made me question if it’s feasible to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by Metasploit as a reference to compare against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits being used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. I wondered if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was enough similarity between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various implementations of exploits (various exploit packs available) to make identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various artifacts meaningful. One way to find out is to compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by Metasploit against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by an exploit pack being used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. I'm going to be comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 exploit artifacts against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I suspected this vulnerability was exploited by an exploit pack. This will not only help determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feasibility of using Metasploit to document exploit artifacts but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison can also show how useful a reference about attack vector artifacts could be.

Metasploit Potential Artifacts Summary
The potential artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-1885 exploit included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit itself and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit caused in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. As a reminder, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five artifact areas and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts located in those areas:

        * Artifact with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables
            - htm file located in a temporary folder

        * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files specified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables being accessed
            - ASX file located in a temporary folder (parname = )
            - htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string
            - Image file located in a temporary folder
            - References to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts being accessed [Internet Explorer history contained entries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files being accessed].

        * Folder of interest associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
            - Activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder

        * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
            - Internet Explorer’s index.dat file recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
            - Files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder. Files located in this folder are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same files which were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder

        * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs executed during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
           - Programs were executed verclsid.exe, helpctr.exe, and helpsvc.exe

Review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Anatomy of a Drive-by Examination
The comparison will be made using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline and image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Anatomy of a Drive-by posts. The system will be examined to identify any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability being exploited. The bullets below show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack artifacts I located when I examined this system (I copied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bullets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive-by post):

* 09/12/10 06:38:25PM show[1].htm file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This file had references to a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts (jar file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability). Also, this file was associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 xhaito[dot]com domain.

* 09/12/10 06:38:35PM The hcp[1].htm file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The content of this file is associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability.

* 09/12/10 06:38:35PM 0.8503427712213907.exe (Hiloti MD5 a06e417b9743e65bbb9ace16d6d3a65f) was created.

To be safe I'm starting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review one minute before 06:38:25PM and five minutes afterwards. I think this timeframe is sufficient to identify if any CVE-2010-1885 exploit artifacts are present. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help center vulnerability.

The xhaito domain was hosting an exploit pack used to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. There was a hidden iframe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rain[1].htm that pointed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 xhaito domain (Line 847906) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivacIE entry showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain (Line 847904). The first artifact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 exploit was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file named show[1].htm in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder (line 847907). Jsunpack was used to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain was still active. As a result, not only could you see a reference to an ASX file but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX file was actually downloaded as shown below.

I examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show[1].htm file again to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was still a reference to an ASX file when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain was no longer active. The ASX file wasn’t downloaded but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was still a reference indicating an ASX file was involved.

 The show[1].htm file also had a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string. The entire string was captured by Jsunpack when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious domain was still active as shown below.

There was only a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain was active. This reference can still be used to explain where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm file came from.

The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability.

 The htm file (hcp[1].htm) referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show[1].htm file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder (line 847947). The file’s content was obfuscated as shown below.

 I used Jsunpack to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in order to deobfuscate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s content. This revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string as shown below.

The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Help Center vulnerability.

The first artifact in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture occurred on Line 847985 which was a modification to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key HKU\Software\Microsoft\MediaPlayer\Health. This same registry key was modified when Metasploit was run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test systems running Internet Explorer 8. I didn’t find a lot of information about this key but I came across a forum where a person stated Windows Media Player may use this key to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player shut down properly. I ran a few tests using Procmon and found that Windows Media Player creates a subkey in this location with a name similar to {4AC12489-C148-4C7F-9FA0-3C5D8A590E0D} when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player is started. This subkey is deleted when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player shuts down properly but remains if not properly shut down. I consistently saw this behavior in my testing on XP and this registry modification may indicate that Windows Media Player was running. The last artifact was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pchealth\helpctr folder being accessed. This activity occurred on Lines 847993 and 847994.

Potential Artifacts Comparison
The examination was able to locate various artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-1885 exploit. It may not be clear how many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit artifacts were actually located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. To help this comparison cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five Metasploit artifact areas and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts located in those areas are listed below with notes in red highlighting if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system:

* Artifact with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables
     - htm file located in a temporary folder *** Artifact not present ***

* Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files specified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables being accessed
     - ASX file located in a temporary folder (parname = ) *** show[1].htm file with references to an ASX file ***
     - htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string *** show[1].htm file with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp exploit ***
     - Image file located in a temporary folder *** Artifact not present ***
     - References to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts being accessed [Internet Explorer history contained entries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files being accessed] *** Artifact not present ***

* Folder of interest associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
     - Activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder *** helpctr folder was accessed ***

* Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
     - Internet Explorer’s index.dat file recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol *** Artifact not present ***
     - Files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder. Files located in this folder are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same files which were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder *** Artifact not present ***

* Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs executed during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
     - programs were executed verclsid.exe, helpctr.exe, and helpsvc.exe *** Only artifact present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline of interest was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key HKU\Software\Microsoft\MediaPlayer\Health indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player was running. Verclsid.exe executed 30 minutes after my timeline of interest ***

Conclusion
As I was going back over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of this system I kept thinking how useful this information would have been when I first examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I was still able to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-1885 exploit was involved with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack but I didn’t locate all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of this attack such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder activity. Having a resource with this information would have allowed me to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pattern of this attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. I think this pattern could be helpful even when certain artifacts are not present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

The system didn’t have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire documented CVE-2010-1885 exploit artifacts present. However, I don’t think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same artifacts would appear between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various exploit packs targeting this vulnerability. For example, a member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 Yahoo group said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser entries in unallocated space showing activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries even contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp exploit string. This artifact wasn’t present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I examined but this artifact was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system Metasploit was run against. Even with this slight variation, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts that are present could be used to determine if this vulnerability was targeted in an attack.

I know this is only one comparison but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re appears to be enough similarity between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various implementations of an exploit to make identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various artifacts meaningful. Metasploit is one tool that could be used to help identify and document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts.


Thoughts? Comments?

CVE 2010-1885 (Windows Help Center URL Validation Vulnerability) Exploit Artifacts

Monday, December 6, 2010 Posted by Corey Harrell 0 comments
Artifact Name

CVE 2010-1885 (Windows Help Center URL Validation Vulnerability) Exploit Artifacts

Attack Vector Category

Exploit

Description

Vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr.exe affects Microsoft Windows XP and Windows Server 2003. Exploitation allows remote attackers to bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trusted documents option and execute arbitrary commands using a crafted hcp:// URL.

Attack Description

The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as described by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Seclist Full disclosure reference..

1. Using “an html page, email, document, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r application force a user to fetch an .asx file containing an HtmlView element”. Author mentioned this could be accomplished using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable: var asx =http://something/something.asx. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author mentioned Windows Media Player could be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack.

2. “From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HtmlView element, invoke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol handler that would normally require confirmation”. Author mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol can be invoked from within an iframe in an ASX HtmlView element.

3. “From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HCP Protocol handler, bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /fromhcp whitelist by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string miscalculation”. Author mentioned to defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whitelist use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following string:

4. “Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whitelist has been defeated, invoke a help document with a known” cross-site scripting vulnerability. Author mentioned one help document available in a default installation is system/sysinfo/sysinfomain.htm.

5. “Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defer property of a script tag to execute script in a privileged zone”.

6. “Invoke an arbitrary command using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wscript.shell object”.

Exploits Tested

Metasploit v3.5 ms10_042_helpctr_xxs_cmd_exec

Target System Information

* Windows XP SP3 Virtual Machine with Internet Explorer v8 with administrative user account

* Windows XP SP3 Virtual Machine with Internet Explorer v8 with non-administrative user account

* Windows XP SP3 Virtual Machine with Internet Explorer v7 with administrative user account

* Windows XP SP3 Virtual Machine with Internet Explorer v7 with non-administrative user account

Different Artifacts based on Administrator Rights

No

Different Artifacts based on Tested Software Versions

Yes, different artifacts between Internet Explorer 7 and 8

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-1885 exploit and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit causes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following five areas:
      * Artifact with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables
      * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files specified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables being accessed
      * Folder of interest associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
      * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
      * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs executed during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit

Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documenting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts attempted to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability being exploited as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific artifacts unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual artifact storage locations and filenames are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

      * Artifact with references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables located in a temporary folder
           - htm file located in a temporary folder [Temporary Internet Files folder]. Image below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables.

      * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files specified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX and iframe variables being accessed (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts varied based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Internet Explorer)
           - ASX file located in a temporary folder [Temporary Internet Files folder]. This file invokes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol handler through an iframe. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe is located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file named [c.html]. The ASX file line containing "REF href" mentions an image file [gif image] which is accessed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Media Player. This ASX file wasn’t present with Internet Explorer 7.

           - htm file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp string located in a temporary folder [Temporary Internet Files folder]. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe is referencing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysinfo/sysinfomain.htm document which contains a cross site scripting vulnerability. The iframe is detected by VirusTotal as CVE-2010-1885 exploit.

           - image file [gif image] located in a temporary folder [Temporary Internet Files folder] and files associated with Windows Media Player executing [Windows Media Player prefetch file and registry entries]. These artifacts weren’t present with Internet Explorer v7

           - references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts being accessed [Internet Explorer history contained entries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files being accessed]. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASX filename is lk.asx, iframe is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file named c.html, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image filename is t.gif, and 192.168.11.200 was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit exploit.

     * Folder of interest associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit
           - There was a lot of activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder [C:\WINDOWS\pchealth\helpctr]. The image below shows a portion of this activity involving files being accessed as well as a cache file being created.

     * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol
           - Internet Explorer’s index.dat file recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hcp protocol. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iframe located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7:18:05PM entry.

          - Files located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder. Files located in this folder are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same files which were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 helpctr folder [C:\WINDOWS\pchealth\helpctr]. This was determined through a comparison of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files’ hashes and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arrows in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below highlight two of those files.

     * Artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows programs executed during exploit
           - The following programs were executed verclsid.exe, helpctr.exe, and helpsvc.exe. The Prefetch folder had files indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs [C:/WINDOWS/Prefetch/VERCLSID.EXE-3667BD89.pf], [C:/WINDOWS/Prefetch/HELPCTR.EXE-3862B6F5.pf], and [C:/WINDOWS/Prefetch/HELPSVC.EXE-2878DDA2.pf].

Timeline View of Potential Artifacts

The images below shows above artifacts in a timeline created from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP SP3 Internet Explorer 8 with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrative user account test system. However, this timeline doesn't include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Explorer history entries.

















References

        Vulnerability Information
            Mitre’s CVE-2010-1885 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885
            NIST Vulnerability Database CVE-2010-1885 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1885

        Full Disclosure Information
           Seclists Full Disclosure http://seclists.org/fulldisclosure/2010/Jun/205
           Neohapsis Archives http://archives.neohapsis.com/archives/fulldisclosure/2010-06/0197.html
           Microsoft Security and Research Blog http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx

        Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Information
           Microsoft Security Bulletin MS10-042 http://www.microsoft.com/technet/security/bulletin/MS10-042.mspx

Reviewing Timelines with Calc

Monday, November 22, 2010 Posted by Corey Harrell 3 comments
At one point I could have been considered a blog stalker. By this I mean I would follow and read numerous blogs without ever providing feedback to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author. I wouldn't contact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m offline and I wouldn’t leave a comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blogs. The only indication of my presence would appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website’s statics as a unique visitor on a certain day. During my stalking days I didn't realize how valuable feedback was to an author about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are sharing. I also didn't realize how comments on a blog post could help start discussions or help point to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas of furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research and testing.

I mention this because an anonymous reader asked a question to my post Reviewing Timelines with Excel. The reader wanted to know if Calc (spreadsheet program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OpenOffice suite) could be used to review timelines similar to Excel. I didn't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to this question since I 'm not that familiar with Calc. However, it was a great question and I wondered how Calc compares to Excel as a tool for reviewing timelines. The purpose of this post is to compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of Calc against Excel as it relates to reviewing timelines.

The first thing I needed to know before I spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time testing Calc was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum number of rows supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program. The maximum number of rows for a spreadsheet program is important for reviewing timelines because all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data has to included. I didn't want to waste my time testing Calc if it couldn't handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential large datasets created by timelines. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline I'm using in this post was from a Windows XP SP3 virtual machine that only had Adobe Reader and Java installed. This timeline still had over 100,000 rows. Excel started supporting over a million rows with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Excel 2007 (prior versions of Excel only supported about 65,000 rows). The latest version of Calc at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of this post was version 3.2.1 and this version only supports about 65,000 rows. I attempted to load a timeline into Calc v3.2.1 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data was truncated to 65,000 rows resulting in half of my data being lost. However, OpenOffice version 3.3.0 is available for download and this version supports over a million rows. (I tested OpenOffice v3.3 Release Candidate 4)

The comparison can be made between Calc and Excel since Calc can handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large datasets involved with timelines. Calc will be compared to Excel using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different functionality I covered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Reviewing Timelines with Excel. The following are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four areas being compared:
     * Importing Data
     * Filters
     * Advanced Filters
     * Find

Side note: I will be using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post How Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Become Infected Part 2. The keywords I will be using are aaclientt.exe and 75622830.exe since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se were two rogue processes identified running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The Excel pictures I'm using as a comparison are from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Reviewing Timelines with Excel post.

Significant Differences
I noticed two significant differences between Calc and Excel 2007 (besides Calc being free while Excel costs money). The first difference was Calc’s ability to support regular expressions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter and find functionality. Regular expressions enable you to create more powerful filters or searches. Excel 2007 supports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of two symbols in variables when applying a filter or performing a search. The symbols supported are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question mark (?) to represent any single character and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asterisk (*) to represent any series of characters. It appears Excel can support regular expressions using macros but this isn't an option for me (I would prefer to learn Perl or Enscripting instead of Visual Basic which would be needed to write a macro). The help file in Calc outlines all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expressions supported but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first four regular expressions listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help file.

The second difference is Calc supports three types of filters while Excel 2007 only supports two filters (filters and advanced filters). The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three types of Calc filters.

Importing Data
Timelines in csv files can be opened directly using a spreadsheet program. However, I have had issues with trying to add edits to timelines by directly opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file in Excel. As a result, I started importing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file as a comma delimited file. I haven't fully tested Calc so I don't know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue would be encountered but I wanted to compare how Calc imports a csv file. The process in Calc to import a text file as a comma delimited file is very similar to performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function is Excel. There are only a few slight differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two programs as I’ll demonstrate.

To import a csv file select Insert > Sheet From File as shown below.

An Insert window will appear with a browse option which lets you locate and select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to be imported. Calc will automatically detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file as a text file and will display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Text Import window. The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline csv file as a comma delimited file. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options are selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n OK can be clicked in order to import cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

For a comparison I included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image of Excel importing a csv timeline as a comma delimited file.

Autofilters
I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autofilter filter is not useful for reviewing timelines. Autofilter only lets you select a variable from an automatically generated list and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't an option to type in your own variable. This is why I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard and advanced filters are better choices when working with timelines. I'm still briefly discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autofilter functionality in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison between Calc and Excel to be complete.

To activate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autofilter filter select Data > Filter > Autofilter. A dialog will appear stating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a column header and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first line can be used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 header.

Drop down arrows will appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first row when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autofilter is activated as shown below.

To apply a filter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drop down arrow has to be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter is being applied to. To test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality I applied a filter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automatically generated values that can be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter.

Notice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Name column has to be used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter. I think this isn't feasible for reviewing timelines because it will only show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows with that exact value. I usually want to apply filters using keywords since this will show me all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable. For example, selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value HKCU-Administrator only shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows containing that exact value as shown below (notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slight change in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drop down menu indicating a filter is applied).

To remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter select Data > Filter > Remove Filter.

The picture below shows autofilter icon being shaded indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter is turned on. To deactivate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autofilter select Data > Filter > Autofilter.

Standard Filter
Calc's standard filter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of Excel's regular filter. However, Calc has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to filter on eight different variables combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with or/and operations while Excel only supports filtering on two variables. As I stated previously, Calc also has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to support regular expressions in filters. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combination of regular expressions and eight different variables makes Calc a viable alternate to Excel's filter functionality including Excel’s advanced filters using less than eight variables. Accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard filter option (select Data > Filter > Standard Filter) brings up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Standard Filter window as shown below.

A standard filter has three parts which are field name (column to filter on), condition, and value (variable). To demonstrate functionality of a standard filter I will apply a filter for aaclient to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name column. To select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name column use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drop down arrow in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field Name box as shown below.

The condition I'm using is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contains option since it will show all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable aaclient. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various conditions that could be used in filters.

 Lastly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable aaclient has to be typed into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Value box. The filter I'm applying to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline only has one variable but Operator’s drop down menu enables up to eight variables to be included in a filter. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two operations available.

At this point this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter is configured and can be applied by pressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OK button. The picture below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with this filter applied.

The filter I demonstrated was pretty basic so it didn't show all of options available in standard filters. These options can be accessed by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 More Options button located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom left of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Standard Filter window. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional options (note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 regular expressions option needs to be selected in order to use regular expressions).

As I mentioned previously, Calc's standard filter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of Excel's regular filter but Calc has additional options. The Calc Standard Filter window above can be compared to Excel's Custom Autofilter window below in order to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two programs.

Advanced Filter
Calc's advanced filter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of Excel's advanced filter. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of Calc supporting regular expressions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced filter functionality between both programs is very similar. Just like Excel, a database has to be setup in a worksheet in order to use advanced filters. The top row with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column names can be copied and pasted into an area of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worksheet not containing timeline data. The picture below shows I setup cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database two rows below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data.

The advanced filters in Calc work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as Excel. The variable(s) is placed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column(s) to be filtered on and variables can be combined using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 and/or operations. The and operation is when both variables are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same row while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 or operation is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables are on different rows.

Side note: To apply an advanced filter using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contains condition requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 symbols for any series of characters to enclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable. In Excel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asterisk (*) symbol was used and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final variable looks like *this*. In Calc two symbols have to be used to accomplish this. The first symbol is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 period (.) since it represents any character while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second symbol is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asterisk (*) since it finds zero or more characters of what is preceding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asterisk. The final variable looks like .*this.*

Applying a filter is similar to Excel. Variable(s) are placed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired column cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n any cell containing timeline data is selected followed by selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced filter (Data > Filter > Advanced Filter). The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced Filter window containing a filter. This filter will only display rows containing a newly created file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word aaclientt.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced Filter window above, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter criteria matches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database (A165360:H165361). The filter contains regular expressions so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 regular expressions option must be selected using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 More button. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option being selected.

The filter can be applied once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter criteria is verified and all desired options are selected. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter applied.

To continue demonstrating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 similarity between Calc and Excel's advanced filters I'll show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data with two filters applied. The picture below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data with a filter containing an and statement applied (I included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced filter window so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter criteria can be seen).

The picture below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data with a filter containing an or statement applied (again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced filter window was included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot).


Find
Calc supports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next instance of a variable or to find all instances of a variable. The find next option in Calc is very similar to Excel but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 find all option in Calc doesn't provide you with a quick method for reviewing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rows with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable(s) like Excel. I will first demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 find next functionality cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I will demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 find all functionality. To access Calc’s find and replace functionality you can use CTRL + F, select Edit > Find & Replace, or click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 find and replace icon (binoculars image) as shown below.

The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find and Replace window. Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filters, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 regular expression option must be selected if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable contains regular expressions. The Find button is used to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next instance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find All button will find all instances of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.

The picture below shows how Calc finds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next instance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable aaclient.

The similarities between Calc and Excel can be seen by comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 below picture of Excel’s find next window.

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same variable, I selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Find All button to demonstrate this functionality. The only visible difference with using find all is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background color of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable changes.

You have to browse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline in order to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instances of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable. I think this is a significant difference compared to Excel because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manual browsing makes it more challenging when working with a large dataset since a row could be overlooked. The picture below shows two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rows containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable aaclient.

Calc’s find all functionality is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one area I felt was lacking when compared to Excel. Excel provides a way to quickly locate all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instances which makes examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline faster and more efficient. The picture below shows how Excel provides this ability to quickly locate rows containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable being searched for.

Conclusion
Every tool has its advantages and disadvantages. In one instance a tool may better suit your needs while in a different situation anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better option. Calc is just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool that can be used to review timelines and it will have a place in my toolbox.

I wanted to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anonymous reader for posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir comment. Not only did I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison of Calc and Excel to be interesting but I also learned how to review timelines with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program.
Labels: ,