A Little Help with Volume Shadow Copies

Wednesday, April 20, 2011 Posted by Corey Harrell 0 comments
********** 02/06/12 Update **********

I changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script since I made this post. For more info refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Ripping VSCs – Practitioner Method

**********                         **********

This post is about a batch script I wrote to help automate accessing Volume Shadow Copies (VSCs). I'm not going to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic value of VSCs or different ways to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m since I couldn't add to what is already out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. For this type of information check out Harlan's Assessing Volume Shadow Copies post including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links he provides (one link is to Troy Larson's presentation slides), Lee Whitfield's Into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shadows write-up, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 QCCIS whitepaper on recovering data from Volume Shadow Copies (this paper is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 for loops in my batch file). The information I can add is discussing a problem I was facing and how I addressed it. Recently, I've been working with VSCs on different volumes in different systems. When accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs I found myself doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing over and over again which was:

* Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vssadmin list shadows command to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs for a specific volume. At times I'd redirect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command's output to a text file for documentation purposes.

* Changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 for loop with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mklink command to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs I wanted hard links created for.

* Running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 for loop with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mklink command to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links.

* Examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data of interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs.

* Changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 for loop with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rd command to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links I wanted to delete.

* Running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 for loop with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rd command to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links.

Going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above process worked fine. However, I wanted a faster way to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs without always having to make changes to a saved command or batch file. I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r just run one script that allowed me to specify what action to take and what VSCs to create links for. So I read a few articles on batch files and this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution I came up with to meet my need. I thought a few screenshots would help show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script before I posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code.

Menu appears when batch file is executed

List VSCs selection shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to save output to a text file

List VSCs selection prompts for volume to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs for

List VSCs selection showing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C volume doesn't have any VSCs

Create links selection prompts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of VSCs to create hard links for

Remove links selection prompts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of hard links to delete
 As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshots show, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file made things a lot easier and I no longer have to keep changing saved commands or simple batch files. Now I just run a script and specify a few parameters so I can focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I'm after in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs. The text below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file I'm talking about. To create a batch file for yourself, copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text into a text file and save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file with a .bat extension. It can be run from anywhere on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic workstation that's being used to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs. Enjoy ...

@echo off
REM Author: Corey Harrell (Journey into IR)
REM The batch file can be executed from anywhere on a computer by double-clicking on it or calling it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line
REM The only change required is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name and location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links being created. The script uses C:\vsc so this can be changed for your environment
REM Script starts here ...
REM The goto statement below makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu function.
goto :menu
:menu
     REM The menu function allows you to select one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: list all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs for a drive, create hard links to VSCs, or remove hard links pointing to VSCs
     echo Press 1 to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Copies on a drive
     echo Press 2 to create hard links to Volume Shadow Copies on a drive
     echo Press 3 to remove hard links to Volume Shadow Copies
     echo Press 4 to exit
     set /p selection= Enter your selection:
     cls
     REM The if statements below makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script process a specific function based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selection made.
     if %selection% == 1 goto :listvsc
     if %selection% == 2 goto :makelink
     if %selection% == 3 goto :removelink
     REM Selection 4 is to exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script and this will result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goto below being called
     goto :EOF
:listvsc
     REM The listsvc function list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Copies for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selected drive
     setlocal
     REM The line below lets you save a text file listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs injunction with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs being displayed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen. This is helpful if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listing of VSCs has to be documented.
     set /p output=Do you want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to be saved as a text file [y/n]
     cls
     echo Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 letter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Copies for (do not include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 colon)
     set /p drive=Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive letter:
     cls
     REM The if statement below will create a text file listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs if this option was slected. The output file is created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same folder where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file is executed from.
      if %output%== y (vssadmin list shadows /for=%drive%: > list-vscs.txt)
     vssadmin list shadows /for=%drive%:
     echo The Volume Shadow Copies for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 %drive% drive have been listed
     pause
     endlocal
     cls
     REM The goto statement below makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script loop back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu
     goto :menu
:makelink
     REM makelink function creates hard links to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs lists for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selected drive
     echo Configuring what Volume Shadow Copies to create hard links for
     REM The next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start and end parameters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 for loop.
     setlocal
     REM The vssadmin list shadows command provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC numbers. The start parameter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first VSC to create a link to while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end parameter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last VSC to create a link to.
     set /p start=Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC number to start with:
     set /p end=Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC number to stop at:
     cls
     REM The script uses c:\vsc for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location and name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links. The location (c:) and name (vsc) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links can be changed to whatever you choose
     for /l %%f in (%start%,1,%end%) do mklink /j c:\vsc%%f \\?\GLOBALROOT\Device\HardDiskVolumeShadowCopy%%f\
     echo Hard links created for VSC %start% to %end%
     pause
     cls
     endlocal
     REM The goto statement below makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script loop back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu
     goto :menu
:removelink
     REM removelink function removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links to VSCs that were created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer
     echo Configuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links to remove.
     REM The next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start and end parameters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 for loop.
     setlocal
     REM The start and stop parameters are for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links
     set /p start=Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard link to start at:
     set /p end=Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard link to stop at:
     cls
     REM The location and name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard links below must be changed to match what was used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 makelink function
     for /l %%f in (%start%,1,%end%) do rd c:\vsc%%f
     echo Hard links removed for link %start% to %end%
     pause
     cls
     endlocal
     REM The goto statement below makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script loop back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu
     goto :menu

Introducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensics Search

Saturday, April 9, 2011 Posted by Corey Harrell 7 comments
Have you ever run a *insert search engine* search to locate information about an artifact only to find a listing of mostly irrelevant hits? A lot of time is wasted going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 irrelevant hits to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few websites with information that helps you better see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts fit into your forensic examination. Wouldn't it be better if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search hits were in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of digital forensics or incident response, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hits more relevant to your forensic examination? Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formal introduction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic Search engine.

The combination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yahoo Win4n6 group's discussion about David Kovar's post The Fragmentation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensics community, hooked-on-mnemonics blog post Malware Analysis Search, and writing my last post on searching RSS feeds inspired me to want to search for information a different way. A more effective way is to use a custom search engine that's configured to only search blogs, groups, forums, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sites related to digital forensics and incident response. Digital Forensic Search is a custom Google search and in a way I think it harnesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collective knowledge and research of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people/organizations who share information back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics community.

Digital Forensic Search results in more search hits which are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of digital forensics and incident response. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact being researched, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search hits may result in information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact, tools to extract data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact affected ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r practitioners' examinations. For example, perform a search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword "link file" (include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quotes) in your favorite search engine. The first 10 hits in my search only included one digital forensics hit while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hits were for information not beneficial to any type of forensic investigation. Run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same search in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic Search and it results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hits being directly related to link files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of a digital forensic examination. Three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hits on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first page were an article about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evidentiary Value of Link Files on Forensic Focus, Richard Drinkwater's blog post Link Files in System Restore Points, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article The Meaning of Link Files in Forensic Examinations on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Forensics Miscellany website.

If anyone still isn't convinced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of a custom search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I recommend performing a couple of searches between *insert search engine* and Digital Forensic Search. A few potential topics to search on are: comdlg32, tool validation, evidence collection, timeline analysis, or volume shadow copies. The searches should show that Digital Forensic Search has more relevant hits related to digital forensic and incident response which results in it being one effective method to locate information.

This post is where I'm going to be maintaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of sites included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic Search so any updates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index will be reflected below. The repository tries to focus on sites containing information on digital forensics and incident response as opposed to tool specific sites. With this in mind, if you see any sites missing or URLs with too much noise (such as job postings) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n post a comment or send me an email.

Digital Forensic Search can be found at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of jIIr or directly at this link:

http://www.google.com/cse/home?cx=011905220571137173365:7eskxxzhjj8


**********Sites Last Updated on 02/15/2015**********

The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listing of sites indexed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic:

DFIR Blogs

A Geek Raised by Wolves  http://jessekornblum.livejournal.com/
A Renaissance Security Professional  http://renaissancesecurity.blogspot.com/
Adventures in Security http://securitykitten.github.io/
An Eye on Forensics  http://eyeonforensics.blogspot.com/
Active Security  http://active-security.blogspot.com/
Andrew Hay  http://www.andrewhay.ca
All things time related http://blog.kiddaland.net/
American Destroyer http://megadeus.com/
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Forensics Blog  http://az4n6.blogspot.com/
Anton Chuvakin  http://blogs.gartner.com/anton-chuvakin
appointments-uk  http://appointments-uk.blogspot.com/
Ball In Your Court  http://ballinyourcourt.wordpress.com/
binary foray http://binaryforay.blogspot.com/
Blog Matt Churchill  http://mattchurchill.net/blog/
Bradley Schatz on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intersection of technology and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law  http://blog.schatzforensic.com.au/
BriMor Labs  http://brimorlabs.blogspot.com
Browser Forensics  http://www.browserforensics.com/
c-APT-ure  http://c-apt-ure.blogspot.com/
cci  http://takahiroharuyama.github.io/
Cellular.Sherlock - Mobile Forensics from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front lines  http://blog.csvance.com/
Cheeky4n6Monkey - Learning About Digital Forensics  http://cheeky4n6monkey.blogspot.com/
Chip_DFIR  http://chip-dfir.techanarchy.net/
Chris Sanders  http://chrissanders.org/
Christa Miller  http://christammiller.com/
CnW Recovery  http://cnwrecovery.blogspot.com/
Codeslack  http://codeslack.blogspot.com/
Command Line Kung Fu  http://blog.commandlinekungfu.com/
Computer Forensic Blog  http://computer.forensikblog.de/en/
Computer Forensic Graduate  http://computerforensicgraduate.wordpress.com
Computer Forensic Source  http://forensicsource.blogspot.com/
Computer Forensics and IR - What's New  http://newinforensics.blogspot.com/
Computer Forensics, Malware Analysis & Digital Investigations  http://www.forensickb.com/
Computer Forensics-E-Discovery Tips-Tricks and Information  http://cfed-ttf.blogspot.com/
ComputerForensicSource.com  http://www.computerforensicsource.com/
Consortium of Digital Forensic Specialists CDFS Blog  http://www.cdfs.org/blog/
copgeek018  http://copgeek018.wordpress.com/
Crucial Security Forensics Blog http://crucialsecurityblog.harris.com/
CSITech - Computer Forensics  http://nickfurneaux.blogspot.com/
Cyber Security Maven -- Techie  http://cybersecuritymave-techie.blogspot.com
CyberSpeak's Podcast  http://cyberspeak.libsyn.com/
Cylance Blog  http://blog.cylance.com
Dancho Danchev's Blog - Mind Streams of Information Security Knowledge  http://ddanchev.blogspot.com/
Default Deny  http://kurtaubuchon.blogspot.com/
Derek Newton « Information Security Insights http://dereknewton.com/
DF Procedures and Musings  http://dfprocedures.blogspot.com
DFF and Open Sourse Digitial Forensics blog http://www.digital-forensic.org/blog/
Digital Forensics Solutions  http://dfsforensics.blogspot.com/
Enterprise Detection & Response  http://detect-respond.blogspot.com
Every Bit Counts  http://forensicmatt.blogspot.com

Ex Forensis  http://exforensis.blogspot.com/
FireEye Malware Intelligence Lab  http://blog.fireeye.com/research/
Forensic 4cast  http://www.forensic4cast.com/
forensic . seccure . net  http://seccure.blogspot.com/
Forensic Artifacts  http://forensicartifacts.com/
Forensic Computing — Digital forensics from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view of a computer scientist  http://www.forensicblog.org/
Forensics For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Newbs  http://forensicnewbs.wordpress.com/
Forensic Incident Response  http://forensicir.blogspot.com/
Forensic interviews  http://f-interviews.com/
Forensic Methods http://forensicmethods.com/
Forensic Photoshop  http://forensicphotoshop.blogspot.com/
Forensicaliente - because digital forensics is "hot"  http://forensicaliente.blogspot.com/
Forensically sound(ing off) http://marshalla99.wordpress.com/
Forensicator Of The Dead  http://forensicotd.blogspot.com/
Forensics from London  http://forensiccontrol.blogspot.com/
Forensics from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sausage factory  http://forensicsfromcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sausagefactory.blogspot.com/
ForensicZone  http://forensiczone.blogspot.com/
Fun with Lost Bits n Bytes  http://blog.roberthaist.com
G33k G1r1 goes Binary  http://g33k-g1rl.blogspot.com/
Geoff Black's Forensic Gremlins - Everything that gives you fits in Digital
Ghetto Forensics  http://www.ghettoforensics.com
Girl, Unallocated  http://girlunallocated.blogspot.com/
GPS Evidence Tracking Issues http://gpsevidence.blogspot.com/
Grand Stream Dreams  http://grandstreamdreams.blogspot.com/
Forensics and E-Discovery  http://www.geoffblack.com/
Hacking Exposed Computer Forensics blog  http://hackingexposedcomputerforensicsblog.blogspot.com/
HandlerDiaries  http://blog.handlerdiaries.com
Happy As A Monkey  http://happyasamonkey.wordpress.com/
Hexacorn Blog  http://www.hexacorn.com/blog/
HeX-OR Forensics  http://nicoleibrahim.com
HolisticInfoSec http://holisticinfosec.blogspot.com/
InfoSec Insights  http://www.seanmason.com
integriography A Journal of Broken Locks, Ethics, and Computer Forensics  http://integriography.wordpress.com/
Internet Storm Center Diary  http://isc.sans.edu/
JonRajewski  http://www.jonrajewski.com/cyberblog/
Journey into Incident Response  http://journeyintoir.blogspot.com/
JustAskWeg  http://justaskweg.com
Lenny Zeltser on Information Security  http://blog.zeltser.com
Linux Sleuthing  http://linuxsleuthing.blogspot.com/
Lowmanio (digital forensic category)  http://www.lowmanio.co.uk/blog/categories/digital-forensics/
Macaroni Forensics  http://macaroniforensics.blogspot.com/
man allyn-blog http://allynstott.blogspot.com/
Matthieu Suiche’s blog ! - Happiness only real when shared.  http://www.msuiche.net/
Memory Forensics  http://memoryforensics.blogspot.com/
MetaDatum  http://metadatum.me
MNIN Security  http://www.malwarecookbook.com/
MNIN Security Blog  http://mnin.blogspot.com/
Mobile Device Forensics  http://mobileforensics.wordpress.com/
Mobile Forensics Inc Blogger  http://blog.mobileforensicsinc.com/
Mobile Telephone Evidence  http://trewmte.blogspot.com/
Post Humorous  http://www.posthumorous.com/
Practical Digital Forensics http://practicaldigitalforensics.blogspot.com/
Propeller Head Forensics  http://propellerheadforensics.com/
Push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Button  http://moyix.blogspot.com/
RAM Slack – Random Thoughts from a Computer Forensic Examiner  http://ramslack.wordpress.com/
Riij morf tnetnoc siht elots I  http://journeyintoir.blogspot.com
Ryan Stillions  http://ryanstillions.blogspot.com

SANs Penetration Testing Blog  http://pen-testing.sans.org/blog
Sketchymoose's Blog  http://sketchymoose.blogspot.com/
Security Ripcord  http://www.cutawaysecurity.com/blog/
Securosis Blog  https://securosis.com/blog
Sempersecurus http://sempersecurus.blogspot.com/
Sergio Hernando http://www.sahw.com/wp/
Scudette in Wonderland  http://scudette.blogspot.com/
Student of Security http://mikeahrendt.blogspot.com/
Sucuri Blog  http://blog.sucuri.net
System Forensics  http://www.sysforensics.org/
Seculert  http://blog.seculert.com/
Secureartisan http://secureartisan.wordpress.com/
Security Braindump  http://securitybraindump.blogspot.com/
TaoSecurity  http://taosecurity.blogspot.com/
Windows Incident Response  http://windowsir.blogspot.com/
WriteBlocked  http://writeblocked.org/
Wyatt Roersma Blog  http://www.wyattroersma.com/
Yogesh Khatri's forensic blog  http://www.swiftforensics.com/

DFIR Websites

Brian Carrier Digital Investigation - Forensics and Evidence Research  http://www.digital-evidence.org/
CERIAS Reports and Papers Archive  https://www.cerias.purdue.edu/apps/reports_and_papers/
Computer Crime & Intellectual Property Section US DOJ  http://www.justice.gov/criminal/cybercrime/
Computer Forensics Miscellany  http://computerforensics.parsonage.co.uk/
Craig Gall Helping Lawyers Master Technology  http://www.craigball.com/
DFRWS (Digital Forensics Research Conference)  http://www.dfrws.org/
Digital Forensics Magazine supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professional computer security industry  http://www.digitalforensicsmagazine.com/
Digital Forensics Solutions' Research http://www.digitalforensicssolutions.com/research.shtml
ENSIA CERT  http://www.enisa.europa.eu/act/cert/
E-Evidence Information Center - Home  http://www.e-evidence.info/
FIRST - Improving security togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r  http://www.first.org/
Forensic Focus  www.forensicfocus.com/
Forensic Magazine Issues  http://www.forensicmag.com/
Forensics Wiki  http://www.forensicswiki.org/
HolisticInfoSec toolsmith http://holisticinfosec.org/toolsmith
Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry  http://www.insidecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365registry.com/regdatabase/
I-Sight's Investigations http://i-sight.com/investigation/
International Journal of Digital Evidence on Utica College  http://www.utica.edu/academic/institutes/ecii/ijde/
Into The Boxes  http://intocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365boxes.wordpress.com/
IronGeek's InfoSec Articles http://www.irongeek.com/i.php?page=security/
Journal of Digital Forensics, Security and Law  http://www.jdfsl.org/
Lenny Zeltser  http://zeltser.com/
log2timeline  http://log2timeline.net/
mnin.org  http://www.mnin.org/
Mobile Forensics Central  http://www.mobileforensicscentral.com/
National Institute of Justice Publications  http://nij.gov/nij/pubs-sum/
National White Collar Crime Center  http://www.nw3c.org/
Network Forensics Puzzle Contest  http://forensicscontest.com/
NIST Computer Security Division Special Publications  http://csrc.nist.gov/publications/nistpubs/
Open Source Digital Forensics  http://www2.opensourceforensics.org/
SANs Computer Forensics  http://computer-forensics.sans.org/
SANS InfoSec Reading Room - Forensics  http://www.sans.org/reading_room/whitepapers/forensics/
SANS InfoSec Reading Room - Incident Handling  http://www.sans.org/reading_room/whitepapers/incident/
SANS InfoSec Reading Room - Malicious Code  http://www.sans.org/reading_room/whitepapers/malicious/
SANS InfoSec Reading Room - Steganography  http://www.sans.org/reading_room/whitepapers/stenganography/
SANs Summit Archives  http://digital-forensics.sans.org/summit-archives
Small Scale Digital Device Forensics Journal  http://www.ssddfj.org/
SWGDE  http://www.swgde.org/
The Honeynet Project Challenges  https://www.honeynet.org/challenges/
Welcome AppleExaminer  http://www.appleexaminer.com/
Williballenthin.com  http://williballenthin.com

DFIR Webpages

AuSCERT Forming an Incident Response Team  http://www.auscert.org.au/render.html?it=2252&cid=1938
Cybercrime.gov searching and seizing manual  http://www.cybercrime.gov/ssmanual/index.html
Daubert v. Merrell Dow Pharmaceuticals  http://www.law.cornell.edu/supct/html/92-102.ZS.html
Default Processes in Windows 2000  http://support.microsoft.com/kb/263201
Digital Evidence: Standards and Principles  http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm
Digitalcorpora Disk Images  http://digitalcorpora.org/corpora/disk-images/
FileSignatures Table  http://www.garykessler.net/library/file_sigs.html
Forensically interesting spots in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7, Vista and XP file system and registry (and anti-forensics)  http://www.irongeek.com/i.php?page=security/windows-forensics-registry-and-file-system-spots
Microsoft Windows XP - Default settings for services  http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx?mfr=true
QQIS Whitepapers  http://qccis.com/resources/publications/
RFC 3227 - Guidelines for Evidence Collection and Archiving  http://www.rfc-archive.org/getrfc.php?rfc=3227
SEI Handbook for Incident Response Teams  http://www.sei.cmu.edu/library/abstracts/reports/03hb002.cfm
Windows 7 Default Services and Suggested Startup Mode  http://www.windowsnetworking.com/articles_tutorials/Windows-7-Default-Services-Suggested-Startup-Mode.html

DFIR Groups

Yahoo Win4n6 Group  http://tech.groups.yahoo.com/group/win4n6/
Yahoo Linux Forensics Group  http://tech.groups.yahoo.com/group/linux_forensics/ 
The Vol-users Archives  http://lists.volatilesystems.com/pipermail/vol-users/

DFIR Tool Websites

Digital Forensics Framework Wiki  http://wiki.digital-forensic.org/
Jafat Archive of Forensic Analysis Tools  http://jafat.sourceforge.net/
Joakim Schicht  https://github.com/jschicht
Live View  http://liveview.sourceforge.net/
md5deep and hashdeep  http://md5deep.sourceforge.net/
mft2csv  http://code.google.com/p/mft2csv
MiTec  http://www.mitec.cz/
My SecTools  http://www.mysectools.com/
NirSoft  http://www.nirsoft.net/
OpenSourceForensics  http://code.google.com/p/opensourceforensics/
plaso - home of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 super timeline  http://plaso.kiddaland.net
pydetective  http://code.google.com/p/pydetective/
Registry Decoder  http://code.google.com/p/registrydecoder/
Registry Decoder Live  http://code.google.com/p/regdecoderlive/
RegRipper  http://regripper.wordpress.com/
Rekall Memory Forensic Framework  http://www.rekall-forensic.com
Shadow Explorer  http://www.shadowexplorer.com/
Sleuthkit  http://www.sleuthkit.org/
TZWorks LLC  http://www.tzworks.net/
Volatility An advanced memory forensics framework  http://code.google.com/p/volatility/
Winforensicaanalysis  http://code.google.com/p/winforensicaanalysis/
Windows Forensic Environment  http://winfe.wordpress.com/
Woanware  http://www.woanware.co.uk/

DFIR Tool Webpages

Digital Detective - Free Tools  http://www.digital-detective.net/digital-forensic-software/free-tools/
Forensic Control Free Computer Forensic Tools  http://forensiccontrol.com/resources/free-software/
HB Gary Free Security Tools  http://www.hbgary.com/free-tools
Mandiant Free Software  http://www.mandiant.com/products/free_software
QCC Information Security Free Forensic Tools  http://www.qccis.com/forensic-tools
RedWolf Computer Forensics http://redwolfcomputerforensics.com/index.php?option=com_content&task=view&id=42&Itemid=55
Sanderson Forensics Free Utilities  http://www.sandersonforensics.com/content.asp?page=15

How do you use your feeds?

Tuesday, April 5, 2011 Posted by Corey Harrell 0 comments
A feed reader is a valuable resource since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software manages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content from websites such as news sites, blogs, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r online publishers. A reader not only enables you to stay informed of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest content from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites but it also enables content to be leverage to help keep your knowledge current and to assist with research for your investigations. This post is about how I’ve been using RSS feeds to help keep my knowledge current and conduct research.

Before I discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of RSS feeds I wasted a lot of time and energy on trying to stay current with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest content from information security and digital forensics websites. Periodically I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites to see if anything was new, I wasted time trying to find an article I read but couldn’t remember where, and I struggled to remember all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 articles/posts I wanted to read on new sites I came across. Needless to say this was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong approach so I turned to RSS feeds to help me manage this content.

Getting Started with Feeds

RSS (Rich Site Summary) is a “format for delivering regularly changing web content”. A feed reader is software that downloads feeds from various sites and stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for a person to read and use. The first and only program I tested was FeedReader and this has become my reader of choice. The software has no fees and a range of capabilities to read, collect, and organize web content using RSS or Atom feeds. I’m not going to go into detail about FeedReader’s features or its configuration since I wanted to focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of feeds.

Right away I knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one feature I wanted in any reader was portability. I use numerous computers between work and home so I didn’t want to be tied to one system or have to worry about syncing content between systems. FeedReader can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be installed on a computer using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zip package can be used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program to run from a thumb drive. I opted for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter option and this has allowed me to have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web content no matter where I am. Plus an additional benefit is being able to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database without needing Internet access.

Adding Feeds

There are different ways to find digital forensics and incident response related websites. Most blogs have an area where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors share links or blogs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y follow. Authors’ may also include links to content on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sites in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir posts/articles. Following all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se links can lead to interesting sites that can be used to create a collection of feeds. In addition to blogs and news sites, I’ve been working on adding social media sites, such as Twitter, to my feed collection. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites are located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to determine if a site supports RSS or Atom feeds. One quick way to determine this is to look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 icon in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 icon highlighted in Firefox and Internet Explorer.

Adding feeds to a reader will vary depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program being used. FeedReader supports adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following types: feeds, smartfeeds, and search feeds. My current FeedReader database consists of 159 feeds, 20,031 news (downloaded web content), 141 unread news, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database is only 76 MB. I organized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content into folders to make it easier to manage. The picture below shows FeedReader’s interface and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web content downloaded from jIIr. Unread items are highlighted in bold and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folders show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of unread content in that folder.

Leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feeds

FeedReader automatically downloads feeds from sites and this saves me a lot of time since I no longer have to periodically check sites for new content. The reader allows me to stay informed about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest content and helps me organize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content. This isn’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only benefit of a reader because anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r benefit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content for research or investigations. To see how it's possible I’ll perform three different searches against my FeedReader’s database.

The first search will be on random topic and Internet Explorer 8 InPrivate browsing feature is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing I thought about. The feature enables users to surf cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web without leaving any traces of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer being used. To obtain information about this feature I performed a search against my feeds using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword inprivate. The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summary of three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword hits:

* Derek Newton’s blog post Internet Explorer InPrivate URL Artifacts. The post discusses a few areas that could contain InPrivate URL artifacts and how those areas can be searched.

* Digital Detective’s blog post NetAnalysis v1.50 - New Release and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post advertizes that Netanalysis can recover data from InPrivate browsing.

* Computer Forensics and IR – What’s New blog post Internet Evidence Finder - new release and more and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post mentions how IEF is able to recovery IE8 URLs.

The previous search showed how to locate information on a random topic. The search located research on InPrivate browsing artifacts and three possible ways to try to recover data from InPrivate browsing. The next search will illustrate how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feeds can help in obtaining more information about an artifact found during an investigation. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of a user account cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of interest could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ntuser.dat registry hive. A search was conducted using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword userassist and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is a summary of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hits.

* ForensicArtifacts blog post UserAssist which is a write-up about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key is and contains useful references about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key.

* Richard Drinkwater’s Forensics from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sausage Factory blog post Prefetch and User Assist. This write-up was about determining how often a program was ran and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas that provided this information was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key.

* Harlan Carvey’s Windows IP blog post Accessing Volume Shadow Copies where he discusses how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key could be analyzed in Volume Shadow Copies.

* Chris Pogue’s Digital Standard blog post The “Not So” Perfect Keylogger. In this write-up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial execution of a keylogger.

* Into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Boxes Digital Forensics and Incident Response Magazine Issue 0x0. Didier Stevens wrote an article for this issue about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 Userassist Registry key.

* Dave Hull’s post Digital Forensics: Detecting time stamp manipulation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs forensics blog. This write-up was about identifying time stamp manipulation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts including in a timeline.

The previous search showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential wealth of information that could be obtained about an artifact of interest. The last search will illustrate how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feeds can help in conducting research about an item such as an email. The picture below shows an email that was in one of my throw away email accounts and this email will be used for this demonstration.

The email appears to be a notification from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Parcel Service and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment is supposed to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tracking number and more information about a shipment. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of email I would do additional research on so I can learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spamming campaign and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left on a system by opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment. The first keyword I searched for was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment which was upsnotify. This only resulted in one hit in my feeds and this was for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Spamvertised United Parcel Service notifications serve malware on Dancho Danchev's blog - Mind Streams of Information Security Knowledge. His post was about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current spam campaign impersonating UPS for malware serving purposes. The information covered was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection rates for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment contents, additional executables downloaded, and domains contacted. I wanted more information so I ran anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r search using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword United Parcel Service. The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summary of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword hits:

* MXLab blog post “United Parcel Service notification” from UPS contains trojan. The post discusses how MXlab started receiving a new trojan distribution campaign by email with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject “United Parcel Service notification" and it provides some information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email.

* MXLab blog post “United Parcel Service notification 48161” from UPS contains trojan. This write-up is about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAM campaign and provides details about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spoofed email address, URLs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan downloads data from, payload artifacts created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and processes started on system.

* Microsoft Malware Protection Center post Trojan downloader Chepvil on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UPSwing. The post discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email campaign and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment that was detected as TrojanDownloader:Win32/Chepvil.I.

* There were a couple of tweets mentioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAM email as well.

The searches against my feeds provided a wealth of information. I was able to determine an email sitting in my Inbox was a part of a Spamming campaign and identified some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts on a system where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment was opened. The two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r searches located information on how to recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InPrivate browsing data and a wealth of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key.

The best part about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moving to a feed reader is that I have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information at any time since it is stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSS feed database stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumb drive. Sometimes it feels like I have a portable Google in my pocket.
Labels: ,