Journey Into Incident Response

I became involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensics (DF) field when I had to establish and manage a DF process to support financial investigations and fraud audits. When I got to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of identifying tools I first looked to see what resources I had at my disposal. Lo and behold my security lab had a dongle to a commercial forensic product. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning I exclusively used a few commercial products to perform forensics but over time I added additional tools to my arsenal to expand my capability. I’m bringing up my background since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intended audience for Digital Forensics with Open Source Tools (DFwOST) is new forensic practitioners and experienced DF practitioners new to open source tools. My review of DFwOST is coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of an experienced DF practitioner who may rely on a few (or single) commercial tools during examinations.

Before diving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of open source tools DFwOST starts out by defining digital forensics and explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of any examination which is for an examiner to locate artifacts to indicate if a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis is true or false. DFwOST cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three different analysis types used during an examination and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis types are: system, application, and file. DFwOST explains how to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different analysis by explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts of interest located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source tools to use against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. The system analysis covers partitioning and disk layouts of physical storage devices. In addition to this, DFwOST discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different file types and artifacts specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Linux, and Mac operating systems. The application analysis explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts associated with different web browsers and mail applications. Rounding out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file analysis covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activities for examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of individual files and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir metadata. The authors provided a listing of references at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of each chapter that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader can use to learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topics DFwOST doesn't go into great detail on.

I think DFwOST will be beneficial to anyone who reads it whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field or an experienced practitioner. However, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is a great resource to experienced DF practitioners who are not familiar with open source and free digital forensic tools. My reasoning is because DFwOST can help to expand capabilities in DF examinations, understand how commercial tools work, and identify additional tools.

Expand Capabilities in DF Examinations

Every tool has its strengths and weaknesses, and commercial tools are no different. There is not a single commercial product that has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability examine every possible type of data or artifact encountered during exams. This issue is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons why DF practitioners have multiple tools at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir disposal. How does DFwOST fit into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture?

First DFwOST discusses tools and techniques that have a capability not present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current crop of commercial tools. The additional capability provided by open source tools can be used to compliment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of commercial tools. For example, chapter 9 discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline analysis technique and mentions a few tools to create timelines that include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system and various artifacts. In my experiences, timeline analysis is a powerful technique and it has helped me on a range of different examinations from financial investigations to human resource policy violation investigations to security incidents. The ability to generate timelines would be lost by solely relying on a single or few commercial products.

Understand How Commercial Tools Work

Some commercial tools automatically extract information from data and this functionality can help reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time needed to complete an examination. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downside, automation provides a layer of abstraction that may result in examiners not completely understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are seeing or how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool works. The tools (open source and free ones in Appendix A) highlighted in DFwOST can be a great educational benefit to examiners by helping better understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir commercial tools work; thus removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layer of abstraction caused by automation. Open source tools can not only be ran against data to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output is different but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools' various options can be tested and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code can be read to better understand how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool functions. The educational benefit provided by open source tools will be helpful to any examination even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools are not actually used on a case.

Identify Additional Tools

DFwOST points out numerous tools to use during a digital forensic examination. Using additional tools can provide flexibility and additional resources for validation testing. At times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be a need to only conduct a few activities and using a multipurpose commercial tool may be overkill for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task at hand. Additional time will be needed for a multipurpose tool since it takes time to load and configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task at hand is just to extract specific information from data. The tools in DFwOST provide this kind of flexibility.

In addition to flexibility, open source tools can be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validation testing of commercial tools. Does XYZ commercial software extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from a certain type of data properly? Does XYZ commercial tool work as advertised? Both questions can be quickly verified by reproducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source tools discussed in DFwOST.

Five Star Review

Overall DFwOST will be a welcome addition to anyone’s DFIR library. The one topic I thought was missing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book (or I overlooked) is mentioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process or methods to validate digital forensic tools before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are used during an examination. I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors had to go into great detail on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject but pointing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader (especially people new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field) to a few references could be helpful. Despite this, if I was posting my review on Amazon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n DWwOST would get anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r five star rating.

The links discussed include a triage model, mapping tweets, and an incident analysis write-up.

A Triage Model

Last week I attended my graduation at Norwich University. Not only was it great to finally be done with college but I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to sit through presentations including a few on digital forensics. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF presentations was given by Marc Rogers of Purdue University on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Forensics Field Triage Process Model (CFFTPM). Marc’s presentation was informative and afterwards I wanted to learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model so I read a whitepaper on it. For people unfamiliar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different CFFTPM phases.

Source: http://www.mendeley.com/research/computer-forensics-field-triage-process-model/

CFFTPM appears not to be technology dependent which means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model can be used against different platforms in various types of cases. Even knowing this couldn't stop me from thinking about what impact technology may have when trying to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems I come across run some version of Windows and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been an increase in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Windows 7 systems I’m seeing. If I were to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I take into consideration cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume shadow copies (VSCs) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newer Windows operating systems. For example, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phases in CFFTPM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 User Profiles by reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home directory, file properties, and registry. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system contains VSCs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be user profile data at different points in time and just triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current state might not show an accurate picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. What happens if data is deleted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage? The examiner might not notice this occurred without taking a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in VSCs.

The example holds true for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r triage phases as well. On a few recent cases VSCs contained pertinent data and if I was triaging a system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs need to be considered. A script and a few tools could parse all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data - including data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume shadow copies – in a short timeframe and still allow me to review all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information onsite.

Mapping Tweets

A few months ago cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article This is What A Tweet Looks Like discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata stored in a tweet. The metadata contains a wealth of information such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's name, account creation date, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author’s location. I thought about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article when I was reading Creepy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Geolocation Information Aggregator. Creepy is a python script (still in beta form) that allows people to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r publicly available geolocation information from social networking platforms and image hosting services. The article showed how Creepy can harvest “geolocation information from Twitter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of geotagged tweets, foursquare check-in’s, geotagged photos posted on twitter via image hosting services such as yfrog, twitpic, img.ly, plixi and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, and Flickr”.

I didn’t test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 python script and my judgment is solely based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. Creepy appears to make it extremely easy to map cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 geolocation information from Twitter and I can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two sides of how this ability can be used. For investigations it might be helpful to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whereabouts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person tweeting. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side, this ability can make it pretty easy to stalk someone and help identify people’s patterns.

Incident Analysis Write-up

The Carnal0wange blog posted Incident Analysis: Lost Million Dollars in a Minute. The post has a link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir write-up about an incident where a victim’s online banking account was compromised and a sum of money was transferred to Eastern Europe. The analysis involved examining a forensic image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim’s machine and a network packet capture. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few years, I’ve seen numerous articles about Trojans being leverage to steal money but until now I haven’t seen any public write-ups about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of systems infected with a banker Trojan. The write-up is interesting and I’m thankful cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusions was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “victim's machine is infected via an email by executing a malicious executable file” but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up didn’t cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts to point to this type of delivery mechanism. The next area I’m looking into is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by using email as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism so it would have been nice to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts looked in an actual incident. Despite this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up still provides a glimpse about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of a system infected with a banker Trojan.

The Carnal0wange blog had a link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident analysis report but has since removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link and is providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report by email.

Mass Malware Still a Threat

Speaking of attack vector artifacts… The ThreatPost article Forget APT, Mass Malware is Still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Big Threat said “type of attacks that most enterprises see today still come from mass malware that defenders haven't yet figured out a good way to stop”. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot of enterprises who don’t react well to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mass malware problem. The standard SOP is to wipe, reimage, update, and redeploy. The one step missing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware got onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. Did an exploit target one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following vulnerable applications: Java, Adobe Flash, Adobe Reader, QuickTime and Internet Explorer? If so which one and how did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit get delivered to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Did a social engineering trick make an end user infect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves? Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware spread through email?

The answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 how question is crucial for an organization to decide what measures to put in place to better protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Do resources need to be used to improve a breakdown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch management process, offer a security awareness refresher training to employees, implement a new security control, etc.. The attack vector artifacts left on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system can help an examiner determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 how of a mass malware infection.

Information Gleamed from Stolen Router

This isn't directly related to DFIR but part of my background includes networking so articles about network security peeks my interest. When I was checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSec Resources newsletter I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article The Case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Great Router Robbery which discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different information that can be obtained from a stolen router and ways to reduce your exposure if a router is stolen from your organization. I don’t know how many routers are actually being stolen from organizations but it’s good to be informed about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential risk.

….. Or more specifically why is Microsoft Office metadata what it is?

Microsoft Office documents contain metadata that may be relevant to a digital forensic examination. The metadata may show when a file was created, modified, printed, or what user accounts were used to perform those actions. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have already researched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in Microsoft Office 2003 and 2007 documents including providing programs to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-ups are: Kristinn Gudjonsson’s Office 2007 metadata post, and Lance Muller’s Office Metadata EnScript & Updated Office 2007 Metadata EnScript posts. I was interested in understanding how different actions taken against a Microsoft Office document affect its metadata.

To help show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevance of Office documents’ metadata I included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata from one of my test Word 2007 documents. Usually I manual examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in metadata on an as needed basis but I thought for this post it would be cleaner to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in report format. The text below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from Kristinn’s read_open_xml_win.pl script ran against a test Word document. The File Metadata section shows when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created, modified, printed, and what user accounts were used to perform those actions. Did you notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last print date/time (2011-05-27T19:09:00Z) occurred one minute before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was even created (2011-05-27T19:10:00Z)? I’ll touch on this later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post which is why I pointed it out.

Document name: E:\office metadata testing\word 2007\Xp-2007-1sp.docx
Date:
--------------------------------------------------------------------------
Application Metadata
--------------------------------------------------------------------------
Template = Normal.dotm
TotalTime = 2
Pages = 1
Words = 1
Characters = 9
Application = Microsoft Office Word
DocSecurity = 0
Lines = 1
Paragraphs = 1
ScaleCrop = false
Company = Test-lab
LinksUpToDate = false
CharactersWithSpaces = 9
SharedDoc = false
HyperlinksChanged = false
AppVersion = 12.0000
--------------------------------------------------------------------------
File Metadata
--------------------------------------------------------------------------
title =
subject =
creator = test-2007
keywords =
description =
lastModifiedBy = test-2007
revision = 2
lastPrinted = 2011-05-27T19:09:00Z
created = 2011-05-27T19:10:00Z
modified = 2011-05-27T19:10:00Z

Usernames in Microsoft Office Metadata

Before looking into how different actions against a Microsoft Office document affect its metadata I think it is useful to know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usernames reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creator and modifiedby attributes. The usernames are not populated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows registry containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name to use.

When Office 2003 and 2007 is installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is prompt asking for a user name and company. Those fields are already prepopulated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information entered when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system is installed which is located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion (thanks Greg Kelly for this info). The prompt gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user an opportunity to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name or company or to leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fields with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information entered during OS installation.

There is a registry key containing what user name and company was used when Microsoft Office was installed. To locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office program’s GUID must first be determined and this Microsoft article explains how to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUID. The GUID of Microsoft Office programs I tested were 9040110900063D11C8EF10054038389C for Microsoft Office Professional Edition 2003 and 00002109110000000000000000F01FEC for Microsoft Office Professional Plus 2007. The registry key containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office installation is: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\{GUID}\InstallProperties. The regowner and regcompany values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and company entered during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office installation.

The usernames and company information reflected in Microsoft Office documents’ metadata are pulled from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s NTUSER.DAT hive performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions. The names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two values containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key are UserName and Company. The location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key varies depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Microsoft Office but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paths below show where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key is located for Office 2007 and 2003.

Microsoft Office 2007: HCU\Software\Microsoft\Office\Common\UserInfo
Microsoft Office 2003: HCU\Software\Microsoft\Office\11.0\Common\UserInfo

Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question I found myself asking is how are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserName and Company values initially populated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo key? I previously explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and company during Office installation because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entered information is used to populate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that installed Microsoft Office. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that are using Microsoft Office but didn’t install it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values are populated a little different. The first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launches an Office application a dialog box appears asking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and initials. The dialog box is prepopulated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 currently logged on user. The information entered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dialog box is what results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 username value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's UserInfo key while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company value comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information entered when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office was installed.

The metadata shown above now has a little more meaning. The username test-2007 is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that created and modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document but is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key. The name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key can be changed at any point but any changes will alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s UserInfo key should be taken into consideration when examining metadata. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key last write time is before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates/times in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata (create, modify, or print) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata reflects what is currently in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s NTUSER.DAT hive. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key last write time is after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata timestamps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what is currently in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s NTUSER.DAT hive may not be what was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action was taken against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office document (did I just hear someone whisper check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points or volume shadow copies for registry files).

How Actions Change Microsoft Office Metadata

The testing I conducted consisted of creating one document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n performing different actions against copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata changed. I only ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests against documents created by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following programs: Word 2007, Word 2003, Excel 2007, and Excel 2003. If I test ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Office Programs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I’ll update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post to reflect it. The observed changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents’ metadata were consistent across all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different versions of Office but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were some minor differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different file types. The Excel metadata differed from Word in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following ways: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no revision number, some timestamps contained seconds, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Save As function didn’t change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents’ creation date.

I’m providing charts of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata was affected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different actions taken against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents. The chart has information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parencá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis to show what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata values were for one set of documents (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps don’t include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date since it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents).

Here’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Office Word Metadata Changes chart and Microsoft Office Excel Metadata Changes chart.

The charts show how different actions against a Microsoft Office document affect its metadata. There are quite a few takeaways but I’m only going to highlight a few.

* The metadata create date/time reflects when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office program was opened as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document was saved
* Copying an Office document doesn’t changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata
* The metadata print date/time only changes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document is saved after it is printed
* The Save As function results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Word metadata create and modification date/times being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification date/time only changes in Excel metadata

Now let’s go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata I posted above. Do you remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last print date (2011-05-27T19:09:00Z) occurred one minute before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was even created (2011-05-27T19:10:00Z)? There was one action taken against a Microsoft Word document that produced this pattern in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata. The action was printing a document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Save As function to create a new document. The metadata shown above is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly created document.

Hopefully, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sharing of my test results can help ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who are pondering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question “why is Microsoft Office metadata what it is”.

At different times in my personal life I come across everyday people who are experiencing or know of someone having a security issue. Random emails being sent from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email accounts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y clicked on a link that posted something to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir friends' Facebook walls, or some rogue program is saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computers are infected? I expanded jIIr by setting up a Facebook page where I intend to provide security tips to help everyday people protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves and be safer, smarter users of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. "Everyday Cyber Security" is meant to be informational and helpful to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "everyday" person so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is drastically different than my blog. In setting up Everyday Cyber Security I kept reflecting on how I choose to use my DFIR skillz and if I can use my skillz to benefit ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. My hope is my personal reflection will encourage you to question how you use your DFIR skillz and if you can be doing more....

I have a certain skillset that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general public does not have. The same is true to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readers of my blog, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are seasoned forensicators, students studying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, or people transitioning into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSec and DFIR fields. I attained my skillset through various means: professional training, self training, researching, and from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experience and knowledge. At times I wonder if I can use my skillset outside of my professional obligations, and if so...how? More importantly I ask myself: can I use my skillz to help ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet community and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communities in which I live.

I've come across some great people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community who are more than willing to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir knowledge and tools; some I have had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pleasure to meet in person while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority I have not. With that said, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum...those who do not share any information at all. This lack of sharing (whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason) not only inhibits discussions nor offer anything to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger DFIR community, but at times its very discouraging to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 receiving end. Some time ago I asked a question about a DFIR technique. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question was and where I asked it isn't important. What is important is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response I got to my question, which was along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of "with experience you'll know." There was no explanation about a process, no suggested method to carry out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique, no discussion on how to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and not even a mention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible tools to use. This response left me without any references to help me answer my own question and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people who witnessed my question didn't have an opportunity for a discussion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic. Is this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example I should follow with how to use my skillz?

I attended a service this morning that is relevant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of "how do you use your skillz?" The message was about not being dormant and taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunities to help ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. How does this apply to DFIR...? It's very easy to say to myself "someone else will step up to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, someone else will ask a question sooner or later, someone else will answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question, or eventually you will know with experience." All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excuses enable me to be dormant instead of taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to share my knowledge and experiences.

The decision I've made with how to use my skillz is to try to give back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community that has given so much to me. I started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr blog to share my research, experience, and thoughts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a chance ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs would benefit. Now I'm taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step of using my skillz and knowledge to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet community and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community where I live. Everyday Cyber Security is a means to empower people to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves from malicious cyber activities. There are a million different reasons of why I shouldn't use my DFIR skills outside of my professional obligations, but I only need one reason to do it anyway. How about you?

About a month ago I was talking with a co-worker when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation turned to graphic design. I was thinking about trying to get a few graphics designed for my blog but I had no clue how to go about it. My co-worker knew Julia Hoffman (his sister) who happened to be a graphic design artist and he offered to send her a sketch of my idea. In less than two hours I had two draft pages of my idea and eventually that led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr symbol. Julia is a great person to work with and her work is impressive. I look forward to working with her on my next graphic project. She is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of setting up a website but her college project site is still up if anyone is interested in her work.