Journey Into Incident Response

Your onsite performing a collection or you are in your lab when a computer is given to you and you don’t have a lot of time to answer a few initial questions. How would you quickly determine someone’s activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer? What pictures were viewed, programs ran, files accessed, or removable devices used? Quickly assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer will not only provide information to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions but will also reveal relevant data storage locations for an investigation. This post describes a process – including tools usage – where a few initial questions can be answered in a matter of minutes by examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user activity on a computer.

Approaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Triage

I know I promised to write about how to answer questions in less than two minutes by examining user activity on a computer. Before I dive into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 land of ones and zeros I wanted to take a step back to talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process of how to approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage. Goals need to be established and a plan needs to be developed on how those goals can be obtained. To accomplish this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first three questions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alexiou Principle can be used:

* What question are you trying to answer?
* What data do you need to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question?
* How do you extract that data?

The Alexiou Principle is very versatile since it can be to create analysis design plans, assist with DFIR training (as I described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensicator Readiness post), and guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process for triaging. The first Alexiou Principle question is what question you are trying to answer and this question is pretty self explanatory. As it relates to triage, what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions to determine if “something” is relevant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensic examination? The initial questions will vary based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of DFIR case and customer needs but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opening paragraph provided a few example questions.

The second Alexiou Principle question is what data do you need to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question? The data not only includes data sources such as computers, servers, and people but it also includes what information in those data sources can help answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions. Take for example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question was someone accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr blog and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only data source available is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person’s computer. What data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer can help determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person visited my blog? A few areas to check could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed software (what web browser are installed), web browser artifacts (history, cookies, or favorites/bookmarks), and maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TypedURLs key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s NTUSER.DAT hive.

The third Alexiou Principle question is how do you extract that data? The tools selected to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage need to be able to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that is required to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selection of tools should not occur before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is identified since this may force people to have to work within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confines of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools. Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selection of tools should be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last things completed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to use will be dependent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal(s) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assessment. I wanted to mention this point because I’ve seen numerous times where discussions are started with “should I use this tool” when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion should start with this is what I’m trying/need to accomplish.

Triaging User Activity in Under Two Minutes

Now that I’ve explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process of how to approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assessment of user activity on a computer I’ll walk through an issue I had at one point. I work in corporate environments and as expected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks are running Windows domains. A Windows domain can have a significant impact on digital forensic examination because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer being collected may not contain all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data relevant to an investigation. The IT department may have assigned home folders to employees using company computers to make it easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT department to back up people’s files. If an organization is using home folders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n most likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is encouraging users to store all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir home folders instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers’ My Documents folders. In addition to home folders, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person may be accessing and storing data in network shares. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial questions I need to answer in this type of environment is what data sources - besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person’s computer – do I need to collect?

Two options to determine what data sources - besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person’s computer – need to be collected is speaking with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT department or quickly triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. IT departments are not known for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir great documentation skills so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better option is to triage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer. What data is needed to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network shares a person accessed? The data to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question could be located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person’s activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. Three locations containing user activity are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry, system restore points/volume shadow copies’ registry files, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s profile. For additional references on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidentiary value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Windows Registry Forensics while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digitial Forensic Search custom Google query for link files can be used to learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

How do you extract data stored in registry and link files? I took into account cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following for my tool selection: had to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, had to be fast, had to be command line tools (you’ll see why), and my preference was for tools already in my toolbox. Harlan Carvey’s Regripper was chosen to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry files, Harlan’s RipXP (included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper downloaded) was chosen to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry files in system restore points, a modified version of Harlan’s lslnk.pl script to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link files and FTK Imager to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive/image.

The example I’m using is to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network shares accessed but keep in mind this will work for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r types of user activity since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry and link files store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information. I promised to write about how to answer a few initial questions in less than two minutes by assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. Here goes ………..

Mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Image/Hard Drive

The situation will dictate if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer’s hard drive will be examined using a write blocker or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer’s hard drive will be examined. The triage will work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive or image is being examined. When quickly triaging a system my preference is to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data of interest where it’s located instead of copying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to my forensic computer. The image/hard drive has to be mounted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic computer in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry and link files to be parsed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir storage locations and this can be accomplished using FTK Imager version 3.0 with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “File System / Read Only” mount option (allows access to system restore points). F:\[root]\ is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume I’m examining and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands below will reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path.

User Activity Stored in Registry

A user account’s NTUSER.DAT registry hive stores configuration information and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. A quick way to identify registry keys of interest (in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry Forensics book) is to reference registry checklists like AccessData’s Registry Quick Find Chart or review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper’s plugin files. The three registry keys of interest are: Map Network Drive MRU since it lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recently mapped network drives, MountPoints2 since it lists devices accessed, and RunMRU since one way to access network shares is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 run dialog box. Regripper has plugins to parse all three registry keys and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands for running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command-line version of Regripper with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output being redirected to a text file is below.

rip.exe -r "F:\[root]\Documents and Settings\Administrator\NTUSER.DAT" -p mndmru >> rip-drives.txt

rip.exe -r "F:\[root]\Documents and Settings\Administrator\NTUSER.DAT" -p mp2 >> rip-drives.txt

rip.exe -r "F:\[root]\Documents and Settings\Administrator\NTUSER.DAT" -p runmru >> rip-drives.txt

The first command uses -p mndmru to specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Map Network Drive MRU registry key. The output of this command identifies four network shares that were mapped to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account of interest as shown below.

Map Network Drive MRU
Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
LastWrite Time Sat May 14 18:13:18 2011 (UTC)
MRUList = dcba
c \\192.168.1.80\Map Drive 2
a \\192.168.1.80\Map Drive D
b \\192.168.1.80\Map Drive 1
d \\192.168.1.80\Map Drive 3

The second command uses -p mp2 to specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MountPoints2 registry key. The output of this command also identifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same four network shares. A portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output is shown below.

MountPoints2
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
LastWrite Time Sat May 14 18:19:16 2011 (UTC)

Remote Drives:
Sat May 14 18:13:18 2011 (UTC)
##192.168.1.80#Map Drive 3
Sat May 14 18:04:37 2011 (UTC)
##192.168.1.80#Map Drive 2
Sat May 14 17:59:27 2011 (UTC)
##192.168.1.80#Map Drive 1
Sat May 14 17:56:10 2011 (UTC)
##192.168.1.80#Map Drive D

The third and last command uses -p runmru to specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RunMRU registry key. The output of this command shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same device with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four network shares (192.168.1.80) as well as a new device (192.168.2.50). The output doesn’t show any network shares being accessed but it does attempts were made to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices in a method that will display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network shares (\\IP-Address). The runmru output is shown below.

RunMru
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
LastWrite Time Sat May 14 18:22:00 2011 (UTC)
MRUList = bca
a cmd\1
b \\192.168.2.50\1
c \\192.168.1.80\1

User Activity Stored in System Restore Points (or Volume Shadow Copies) Registry Files

Windows system restore uses restore points to return system files and settings to an earlier point in time for computers running Windows 2000 or XP. Windows Vista and 7 uses volume shadow copies instead of restore points. Registry files covering different points of time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past are located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points and volume shadow copies, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files may contain additional information about user account activity. To parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume shadow copies a simple batch file using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command-line version of Regripper can be used. RipXP.exe can be used to parse a key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current registry hive and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points (RipXP.exe parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current registry hive so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rip.exe commands can be skipped when using RipXP.exe in this triage method). RipXP.exe requires three switches: -r specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current registry hive, -d specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore point directory, and –p specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug to use. The commands to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three registry keys of interest with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output being redirected to a text file are below.

ripxp.exe -r "F:\[root]\Documents and Settings\Administrator\NTUSER.DAT" -d "F:\[root]\System Volume Information\_restore{3F806DB1-464B-46B0-B724-4376EC868222}" -p mndmru >> rip-rp-mndmru.txt

ripxp.exe -r "F:\[root]\Documents and Settings\Administrator\NTUSER.DAT" -d "F:\[root]\System Volume Information\_restore{3F806DB1-464B-46B0-B724-4376EC868222}" -p runmru >> rip-rp-runmru.txt

ripxp.exe -r "F:\[root]\Documents and Settings\Administrator\NTUSER.DAT" -d "F:\[root]\System Volume Information\_restore{3F806DB1-464B-46B0-B724-4376EC868222}" -p mp2 >> rip-rp-mp2.txt

The output of all three commands will be similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper output I showed before with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry keys in all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points being displayed. I'm only showing a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Map Drive MRU registry key output since it demonstrates how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output will look. As can be seen below, RipXP.exe output first displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current registry hive before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore point registry data. The current Map Drive MRU key has four mapped network drives while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore point shown only has three.

RipXP v.20090818
Launched Sat May 14 19:46:12 2011 Z

F:\[root]\Documents and Settings\Administrator\NTUSER.DAT
Map Network Drive MRU
Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
LastWrite Time Sat May 14 18:13:18 2011 (UTC)
MRUList = dcba
c \\192.168.1.80\Map Drive 2
a \\192.168.1.80\Map Drive D
b \\192.168.1.80\Map Drive 1
d \\192.168.1.80\Map Drive 3
----------------------------------------
Restore Point Info
Description : access share files
Type : System CheckPoint
Creation Time : Sat May 14 18:08:38 2011

F:\[root]\System Volume Information\_restore{3F806DB1-464B-46B0-B724-4376EC868222}\RP10\snapshot\_REGISTRY_USER_NTUSER_S-1-5-21-1214440339-1708537768-725345543-500

Map Network Drive MRU
Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
LastWrite Time Sat May 14 18:04:37 2011 (UTC)
MRUList = cba
c \\192.168.1.80\Map Drive 2
a \\192.168.1.80\Map Drive D
b \\192.168.1.80\Map Drive 1

User Activity Stored in Link Files

The registry provides a wealth of information but link files is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r location containing information about a user account activity on a computer. A link file is created when a person accesses a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer's hard drive, removable media, or a network share. The link file contains information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file including its storage location which will show someone accessing network shares. A few locations containing link files are:

Windows XP: C:\Documents and Settings\username\Recent and C:\Documents and Settings\\Application Data\Microsoft\Office\Recent

Windows Vista and 7: C:\Users\username\AppData\Roaming\Microsoft\Windows\Recent and C:\Users\\AppData\Roaming\Microsoft\Office\Recent

One of my requirements for a tool to parse link files was it had to be a command line tool. My reasoning is command-line tools can be used in scripts but more importantly command-line tools can be used in batch files to parse artifacts in volume shadow copies. I couldn't find a tool to meet my needs. Harlan provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lslnk.pl script in WFA 2nd edition and it displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information contained in link files. However, lslnk.pl only works against individual files when I needed a tool to parse an entire directory of link files. I'm not a programmer and I don't know Perl but I can use search engines so I decided to try to modified lslnk.pl. The first modification I made was to enable lsnk.pl to parse all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link files in a directory with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output being in report format. The modified script - lslnk-directory-parse.pl - worked fine but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best for filtering data. I needed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to display all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from a link file on one line so I perform a search I can see all information for a specific link file. I made anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r change to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output contain one link file per line in comma delimited format and this resulted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lslnk-directory-parse2.pl script. Both modified scripts can be found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yahoo Win4n6 group's tools folder. The only parameter required by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory to parse as shown below.

C:\Perl>lslnk-directory-parse2.pl "F:\[root]\Documents and Settings\Administrator\Recent" > lsnk-parse2-output.txt

The output is a comma delimited text file and this means it can be opened in Excel/Calc (to see how to import a text file in Excel check out my posts Reviewing Timelines with Excel or Reviewing Timelines in Calc). Opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text file at this point will show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link files instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question at hand which is what network shares did an account access. The text file can be searched prior to it being reviewed in Excel/Calc and I use Grep (available in UnxUtils) to do this. There are numerous characteristics to search on such as filenames, directory paths, file extensions, removable media, and network shares. That's right, link files indicate if person accessed a file on a network share. The lslnk-directory-parse2.pl can be redirected to Grep for searching prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text file. The command below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lslnk-directory-parse2.pl output being searched for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "network share" (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary-file=text switch forces Grep to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output as text).

C:\Perl>lslnk-directory-parse2.pl "F:\[root]\Documents and Settings\Administrator\Recent" | grep.exe -i --binary-files=text "network share" > lsnk-parse2-output.txt

The output file is still a comma delimited file but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only link files present will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "network share" in its information. Reviewing a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output not only shows files accessed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network shares identified previously with Regripper and RipXP but it also identifies files accessed in a new share (\\192.168.2.50\Share) as shown below.

Summary

The triage extracted data from registry and link files to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of what network shares a person accessed. There was some redundancy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extracted data since both locations showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same user account activity (same network share access). However, at times one location may reveal information that is not present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. I promised to write about how to answer a few initial questions in less than two minutes by examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. It took me less than one minute to run Regripper, RipXP, and lslnk-directory-parse2.pl, and to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three tools. Within this one minute I was able to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network shares a user account had readily available access to (mapped drives) and network shares accessed. The process can be even quicker by creating a batch file with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands since a batch file can just be executed. I answered a question network share access but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process I described should not be limited to only this activity. Different registry keys in combination with information contained in link files can be used to quickly determine someone’s activity on a computer.

According to Websense, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a new trend where cyber criminals are spreading malware by taken advantage of Google Image search rankings. The attack involves poisoned pictures being displayed in Google’s image search results which when clicked redirects a user to a malicious site. As I was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this write-up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unmask Parasites blog had a great post, Thousands of Hacked Sites Seriously Poison Google Image Search Results, on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 websites involved in this attack were compromised and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search is poisoned while Brian Krebs wrote his own article on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject Scammers Swap Google Images for Malware.

Those write-ups provided good information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search poisoning technique but I was approaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic from a different angle. My approach is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensic practitioner who investigates this attack on a computer (client side). The Google image search is being leverage to spread malware but one important question I haven’t seen addressed is what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts that indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware came from a Google image search. Along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same line of thinking, how are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of this delivery mechanism different than a Google web search, SPAM email, or a network share? The answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions will be discussed in detail, hopefully before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search attack comes to a system near you.

Simulation Setup

I tried to simulate how a user would perform Google searches for a selected topic. The topic I selected for my searches was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day on 05/02/11 since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media coverage was everywhere. The topic seemed like a candidate for cyber criminals to try to leverage for spreading malware. I performed Google web and image searches using different word combinations until I had my first sign of an infection which was a warning message saying my unpatched Windows XP SP3 system was infected. I pretended to be a “normal” user to get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warning by clicking cancel but in a short period of time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer was held hostage by a fake antivirus program.

The Search Hit Culprit

I usually write my posts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I conducted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination. The malware is located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I work backwards in time examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector. I’m taking a slightly different approach for this write-up by first explaining what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user saw followed by what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensic practitioner would see during an examination. The potential artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search being used to deliver a payload is shown through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF perspective.

***** Heads Up: some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLs and domains mentioned in this write-up were malicious at one point in time so caution should be used if anyone tries to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own research. All URLs were sanitized (or purposely only shown in images) to prevent anyone from accidently accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLs. *****

User Perspective 1

Starting at 09:41:38 PM on 05/02/11 Google web and image searches were performed looking for sites and images about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day. After about 20 minutes I performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below. The highlighted image in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first row of search results is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image I access which lead to my system being infected.

DF Perspective 1

The above picture shows what a user sees when performing a Google image search. Different tools/techniques can be used to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search looks like on a system post mortem. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search occurred and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline were downloaded because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search.

User Perspective 2

Clicking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image highlighted in red resulted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Explorer window disappearing and being replaced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warning message below.

It wasn’t too long until an Internet Explorer window appeared which was pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious mlrglrqj.co.cc domain as illustrated below.

DF Perspective 2

At this point a Google image search resulted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Explorer browser being redirected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mlrglrqj.co.cc domain where a fake online scanner was located. To see how this occurred forensically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image being accessed needs to be examined. The portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image URL that was accessed and this resulted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image (line 151879) and a webpage (line 151880) being downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The timeline also shows a webpage, mlrglrqj.co[2].htm, being downloaded six seconds after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image was accessed (line 151881).

The URL in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above picture shows that when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image was accessed it brought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to hxxp://pimpit.com/pr-Osama-Binladen-Dead.html (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imgrefurl variable contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webpage was using an image located at hxxp://cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365blackboxoffice.com/wp-content/uploads/2010/08/binladen_dead_alive.jpg (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imgurl variable contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL). Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image of interest, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser redirect was an htm file named CA16L2DT.htm (this file was uploaded to jsunpack and can be viewed here). I examined CA16L2DT.htm to see if I could find in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file what caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser redirect. There was a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 t3.gstatic.com domain so I decided to look into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain a little closer. The first Google search hit for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain was a thread in a CNET forum titled “Phishing on Google Image Search - t3.gstatic.com/images” from July 2010. A person in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread mentioned how Kaspersky antivirus was blocking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 t3.gstatic.com domain due to it being a phishing attack. I did a search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analysis Search which found malware samples associated with URLs that looked similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL I found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA16L2DT.htm file (two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware sample reports can be found here and here). I wasn’t able to confirm what caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser redirect but I was able to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pimpit.com domain was involved with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 redirect and a suspicious URL was present on pimpit.com’s webpage.

User Perspective 3

A “Windows Security Alert” appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake online scanner as shown below.

Shortly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “Windows Security Alert” a program named XP Home Security appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. XP Home Security was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program holding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system hostage.

DF Perspective 3

User Perspective 3 showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack wasn’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake online scanner but was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP Home Security program which was successfully installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Continuing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system indicates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake online scanner was still open as can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline below.

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake online scanner activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an Internet Explorer history entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following URL hxxp://mlrglrqj.co.cc/file/sc1/SecurityScanner.exe. Immediately after this URL was accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a few registry modifications and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of a prefetch file indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityScanner.exe program was executed. The picture below shows this activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.

The timeline showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no indications of a software exploit (vulnerable programs executing, new files appearing on system ,etc..) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system so it doesn’t appear an exploit was responsible for installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user account was responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious Internet activity so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account's recent activity was examined to shed light on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware was installed. I used Regripper to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user activity stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry by parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user account’s NTUSER.DAT registry hive. The MUICache registry key entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper report shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user account executed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Scanner.exe and ieh.exe programs. The MUICache data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs are shown below:

Software\Microsoft\Windows\ShellNoRoam\MUICache
LastWrite Time Tue May 3 02:09:07 2011 (UTC)
     C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\4967GLU3\SecurityScanner[1].exe (SecurityScanner[1])
     C:\Documents and Settings\Administrator\Local Settings\Application Data\ieh.exe (ieh)

The lack of exploit artifacts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache registry key data indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user account installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware which was exactly what happened. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ieh.exe file as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program holding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system hostage and a VirusTotal scan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file had a detection rate around 30%.

Potential Google Image Search Delivery Artifacts

At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user and digital forensics perspectives showed malware being installed on a system because of a Google image. The purpose of this post was to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts of a Google image search being used to deliver malware which is why I stopped writing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF perspective once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware was installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline in my write-up showed had a lot of deleted files which helped explain how this attacked happened. Most likely deleted files will be over written since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system won’t be preserved within 30 seconds of being infected. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search being used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism may still be present on a system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet browsing history. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser history artifacts occur around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when malware firsts executes on a system (prefetch files, registry modifications, etc) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this may indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search was used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery method. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware executed on my test system around 10:03 PM on 05/02/11 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet browsing history around this time showed a Google image being accessed followed by my Internet browser visiting a malicious domain. My browser history showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google image search is below.

I use a range of tools to perform digital forensics and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools fall into different categories such as free, open source, and commercial tools. Some readers of this blog may have picked up on that Encase is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial tools in my toolbox. I thought I would share some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting links I came across over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past month about Encase.

Forensic Analysis Techniques Using Encase

Lance Muller put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a couple of posts about computer forensics analysis techniques using Encase. First up is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Basic Computer Forensic Analysis Techniques in Encase which outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques commonly used in cases and techniques specific to certain types of cases. His second post is General Forensics (using EnCase Enterprise) Flow chart and this provides some ideas on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different ways to use Encase Enterprise in support of investigations, incident response, and e-discovery.

Lance mentioned that both posts are not meant to be all inclusive lists but are to be used as starting points. He also said in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posts that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of investigation will impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques to use. I couldn’t agree more with his comment. To help determine what techniques to use a person should take a step back before an image is loaded into Encase or a servlet is pushed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Taking a step back provides time to think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir forensic examination, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that need to be answered, and what data is needed to answer those questions. This quick reflection (or better yet an analysis design plan) will not only help determine what techniques/activities are needed to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data of interest but can also help keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination focused on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer wants or needs.

A New Option for Creating Timelines

Kristinn Gudjonsson released version 0.52 of log2timeline in April. I was checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change log to see what was new and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ENCASE_DIRLISTING input module. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change log, this new module imports a text file exported by Encase which contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file listing of an image. It’s good to see more options for creating timelines. Now we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit, Sleuthkit with Harlan’s timeline tools, Sleuthkit with log2timeline, FTK file listing, FTK file listing with log2timeline, Encase enscript, Encase file listing, and now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Encase file listing with log2timeline. Having options lets me test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different ways to create timelines and choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method that best meets my needs. An additional thought that came to me as I was typing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various options was to do a write up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different ways to create timelines. One more idea added to my blog hopper.

Encase version 7

Just in case for anyone who missed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcements from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Guidance Software’s advertising machine, Encase version 7 is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horizon. If you’re interested in some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new features or changes check out Lee Whitfield’s podcast Episode 36 Encase Forensic 7 and Geoff Black’s Forensic Gremlins post Encase 7 Sneak Peek (NYC).

Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365  layout of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface, two new improvements I’m also interested in are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index and email functionality. At times and in certain types of cases, I need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility to search an index on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly so I’m curious how well cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new index will work. I always found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email analysis in Encase to be lacking so I'll welcome any improvements in this area. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new email still lacks support for Lotus Notes version 8.X but I have ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options to address this need.

Encase Version 7 Preview

Speaking of wanting to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new features in Encase 7, Guidance released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Encase 7 preview software last weekend. Paul Bobby of SecureArtisan has been testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software and sharing his thoughts on his blog. Encase v7 Preview, Encase v7 Conditions, and Tagging in Encase v7 are his posts so far. Hopefully I’ll find some time over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next week to play with my preview software. I was a little disappointed to see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software is restricted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence files provided by Guidance. I was looking forward to throwing my images and email files at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new version to see how it performs … at least in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime I can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new layout.