Batch Scripting References

Tuesday, August 30, 2011 Posted by Corey Harrell 3 comments
“Give a man a fish; you have fed him for today. Teach a man to fish; and you have fed him for a lifetime”—Author unknown.


My ability to use my weak kung fu to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r batch scripts has only been a recent occurrence. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part I was always constricted by my tools. If my tool wasn’t able to automate a process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I’d adapt and take a little bit more time to complete a task. If my tools didn’t perform a task cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I’d search for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool or script to accomplish what I needed. Basically, I had to adapt to my tools to perform a task instead of making my tools adapt to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task at hand. Things changed when I spent a week working on a case when I realized knowing how to script was a necessity. I’m sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 references I came across that did a decent job of teaching me how to write batch files.

The first reference was what taught me how to fish. Batch Files (Scripts) in Windows provides an introductory overview about batch files. The article starts out explaining what a batch file is and how to construct one before it covers more advanced topics. A few topics include explanations about using if statements and for loops in scripts. The author provides links pointing to explanations about terms cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader may want more information on. The article taught me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of writing batch files and afterwards I was able to write simple scripts without needing to do anymore research. In a way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article converted me from being a person who receives fish from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (scripts) to one who is able to catch my own fish (write my own scripts).

The scripts I’ve been writing automate repetitive tasks such as running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same command against different folders. The for loop is one option to complete repetitive tasks and this is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next reference comes into play. ss64.com’s For loop webpages breaks down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 syntax for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different ways to implement a for loop. The information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site gave me a better understanding on how to write for loops. If Batch File (Scripts) in Windows taught me how to fish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ss64 helped me to improve my casting.

Despite having a pretty decent cast, I’m still fishing with a bobber. Beginner fishermen may have a tough time knowing when to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hook in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fish’s mouth so a bobber helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Bobbers are a visual indicator that a fish is biting your line which alerts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fisherman when to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hook. Similar to a beginner fisherman, I still need to learn a lot more. Rob van der Woude’s Scripting Pages website has a few pages discussing batch scripting. So far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site has helped me solve a few scripting problems I encountered but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s still a wealth of information I haven’t even read.

One item that makes batch scripting a little easier is native Windows commands can be used in addition to third party tools. Microsoft’s Command-line reference A-Z is a great resource for learning about commands. The command-line reference A-Z is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent to adding additional lures and bait to your tackle box so you can catch bigger and better fish.

The last reference and one that shouldn’t be overlooked is having a person to bounce ideas off of. The person doesn’t need to be an expert eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. My coworker is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same boat as me and is trying to learn how to write batch files. It’s been helpful to have someone to provide feedback on what I’m trying to do and to help me work through complex code. A person is like a fishing buddy who can provide you with some tips, better ideas, or helps you become a better fisherman.

Learning how to write batch scripts has been an awaking. I’m leveraging my tools to extract data in different ways and I'm cutting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time required to complete some tasks in half. I constantly reflect on what tasks can be automated with scripting and how I can present extracted data to better suite my needs. Paraphrasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quote I referenced through out my post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to illustrate how I benefited from learning how to script.

“Give a man a script; you have solved his issue for today. Teach a man to script; and you help him solve his own issues for a lifetime.”
Labels:

Where Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensics Threat Report

Monday, August 22, 2011 Posted by Corey Harrell 8 comments
Every year brings a new round of reports outlining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current trends. Information security threats, data breaches, and even cyber crime are covered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reports. The one commonality across every report is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are lacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensic perspective. The reports address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current threats potentially affecting your information and systems. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR point of view asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 follow-up questions: how would you investigate a current threat that materialized on your systems and what would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts look like? If a DF Threat Report existed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I think those two questions would be answered.

What The DF Threat Report Could Contain?

I’d like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report use case examples to illustrate a specific threat on a system. I find it easier to understand an investigative method and potential artifacts by following along an examination from start to finish. A simple way to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats would be to just replicate it on a test system. The use of test systems would enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to be discussed in detail without revealing any specific case details. The current trend reports would just be guides highlighting what threats to focus on.

To see what I’m talking about I’ll walk through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of how threats can be identifed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF Threat Report. The threats can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be simulated against test systems in order to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions I'm bringing up. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past two weeks I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sophos Security Threat Report Mid-Year 2011 and Securelist Exploit Kits Attack Vector – Mid-year Update reports. I’m using both reports since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are fresh in my mind but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas I’m highlighting as lacking are common to most threat reports I’ve read (I’m not trying to single out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two organizations).

Example DF Threat Report Topics

The Sophos Security Threat Report Mid-year 2011 talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different ways malware is distributed. The threats covered included web threats, social networking, and email SPAM / spearphishing. The Securelist Exploit Kits Attack Vector Mid-year Update discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular exploit kits in use and what vulnerabilities are targeted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two new kits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list (Blackhole and Incognito). There are threats in both reports that merit furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r discussion and would fit nicely in a DF Threat Report.

Sophos stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y “saw an average of 19,000 new malicious URLs every day” with more than 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLs belonging to legitimate companies whose websites were hacked. The report provided some statics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLs before moving on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next threat. The DF Threat report could take two different angles in explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web threat; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server or client angle. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone rang at your company and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end said your website was serving up malware cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n how would you investigate that? What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts to indicate if malware is actually present? How would you determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector used to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website? Now for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client angle, a customer comes up to you saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a rogue program holding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer hostage. What approach would you use to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector? What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware came from a compromised website as opposed to an email? These are valid follow-up questions that should be included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web threat’s explanation.

The next threat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sophos report was Blackhat search engine optimization (SEO). SEO is a marketing technique to draw visitors to companies’ websites but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same technique can be used to lure people to malicious websites. “Attackers use SEO poisoning techniques to rank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sites highly in search engine results and to redirect users to malicious sites”. As expected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report doesn’t identify what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts are on a system to indicate SEO poisoning. I could guess what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system would look like based on my write-up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts from Google image search poisoning. However, answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question by examining a test system is a better option than making an assumption.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r threat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sophos report was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing attacks occurring in Facebook, Twitter, and Linkdin. “Scams on Facebook include cross-site scripting, clickjacking, survey scams and identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft”. On Twitter attackers are using shortened URLs to redirect people to malicious websites. LinkedIn malicious invitation reminders contain links to redirect people to malicious websites. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigative method and artifacts on a system were missing. The same question applies to this threat as well. What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts on a system to indicate Blackhat SEO?

Rounding out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sophos threats I’m discussing is SPAM /spearphishing. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high profile breaches this year were covered and a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m involved spearphishing attacks. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no mention explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts tying malware to a specific email containing an exploit. Nor was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a mention of how your investigation method should differ if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is even a possibility spearphishing was involved.

The Securelist Exploit Kits Attack Vector Mid-year Update report identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top exploit kits used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year. One interesting aspect in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities targeted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blackhole and Incognito exploit kits. The comparison showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kits pretty much target cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vulnerabilities. The DF Threat Report may not be able to cover all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list but it could dissect one or two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts left on a system from exploitation.

Conclusion

The process I walked through to identify content for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF Threat Report used reports related to security threats. However, a DF Threat report could cover various topics ranging from security to cybercrime. The report’s sole purpose would be to make people more aware about how to investigate a threat that materialized on your systems and what might cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts look like? In my short time researching and documenting attack vector artifacts I’ve found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information valuable when examining a system. I’m more aware about what certain attacks look like on a system and this helps me determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector used (and not used). I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF Threat Report could have a similar effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who read it.

It would take an effort to get an annual/semi-annual DF Threat report released. People would be needed to organize its creation, research/test/document threats, edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, and to release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. I wouldn’t only be an occasional author to research/test/document threats but I’d be a reader eager to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF Threat Report with each new year. Maybe this is just wishful thinking on my part that one day when reading a report outlining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year’s trends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will actually be useful DFIR information that could be used when investigating a system.
Labels:

Links 4 Everyone

Wednesday, August 10, 2011 Posted by Corey Harrell 1 comments
In this edition of Links I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a little bit of something for everyone regardless if your interest is forensics, malware, InfoSec, security auditing or even good a rant ….

Digital Forensic Search Updates

The Digital Forensic Search index has been slowly growing since it was put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r four months ago. Last Sunday’s update brought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index to: 103 DFIR blogs, 38 DFIR websites, 13 DFIR web pages, and 2 DFIR groups. The initial focus of DFS was to locate information related to specific artifacts as opposed to locating tools to parse those artifacts. My reasoning was because I didn’t want to weed through a lot of irrelevant search hits. Most tools’ websites only provided a high level overview of an artifact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool parses instead of in-depth information. It made sense to leave out tool specific sites to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of noise but things change.

A question I ask myself at times is what tool can parse artifact XFZ. I’m not alone asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question because I see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing. To make things easier in locating tools I’m now adding tool specific sites to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic Search. So far 15 websites and 7 web pages are indexed. I ran a few tests and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search results seem to be a good mixture of hits for information and tools. My testing was limited so if anyone sees too much noise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just shoot me an email telling me who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit is.

Let me know of any links missing from DFS

Windows Shortcut File Parser Update

My post Triaging My Way mentions a need I had for a command line tool to parse Windows Shortcut files. In my quest for a tool I modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lslnk.pl perl script to produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output I wanted. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modifications I made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script was to examine all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in a folder and to only parse files with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lnk file extension. I was running lslnk-directory-parse.pl (modified script) against some shortcut files when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script would abruptly stop. The parsed information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last file only contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system timestamps. Examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file showed that it was empty and this was what caused lslnk-directory-parse.pl to die. I made a slight modification to lslnk-directory-parse.pl so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script checks each files’ header to confirm it is indeed a Windows shortcut file. I uploaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new scripts (lslnk-directory-parse.pl and lslnk-directory-parse2.pl) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yahoo Win4n6 group and added a version number (v1.1) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments.

There are always different ways to accomplish something. When faced with trying to parse all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Window shortcut files in a folder I opted to modify an existing script to meet my needs. The Linux Sleuthing blog took a different approach in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Windows Link Files / Using While Loops. The author uses a while loop with an existing script to parse all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortcut files in a folder. Their approach is definitely simpler and quicker than what I tried to do. I learned a lot from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach I took since I had to understand what modifications to make to an existing script in order to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output I wanted.

How to Mount a Split Image

Speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux Sleuthing blog. They provided anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful tip in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Mounting Split Raw Images. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post implies it is about how to mount a split image in a Linux environment. I can’t remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time I dealt with a split image since I no longer break up images. However, when I used to create split images I remember asking myself how to mount it in Linux. To ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question may be simple but I didn’t have a clue besides concatenating to make a single image. The Mounting Split Raw Images post shows that sharing information – no matter how simple it may appear – will benefit someone at some point in time.

$UsnJrnl Goodness

Bugbear over at Security Braindump put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a great post Dear Diary: AntiMalwareLab.exe File_Created. I recommend anyone who will be encountering a Windows Vista or 7 system to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post even if malware is not typically encountered during examinations. The $UsnJrnl record is an NTFS file system artifact which is turned on by default in Vista and 7. Bugbear discusses what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl record is and how to manually examine it before discussing tools to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination.

What I really like about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way he presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information. He explains an artifact, how to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact, a tool to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsing and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n shares an experience of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact factored into one of his cases. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last part is important since sharing his experience provides context to why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact is important. His experience involved files created/deleted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system as a result of a malware infection. Providing context makes it easier to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of $UsnJrnl on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r types of investigations. For example, a reoccurring activity I need to determine on cases is what files were deleted from a system around a certain time. Data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl record may not only show when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files of interest were deleted but could highlight what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files were deleted around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time.

Memory Forensic Image for Training

While I’m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of malware I wanted to pass along a gem I found in my RSS feeds and seen ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs mention. The MNIN Security Blog published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Stuxnet's Footprint in Memory with Volatility 2.0 back in June but I didn’t read it until recently. The post demonstrates Volatility 2.0’s usage by examining a memory image of a system infected with Stuxnet. A cool thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author makes available cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image can be used as a guide to better understand how to use Volatility. Just download Volatility, download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image, read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, and follow along by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same commands against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image. Not bad for a free way to improve your Volatility skills.

Easier Way to Generate Reports from Vulnerability Scans

Different methods are used to identify known vulnerabilities on systems. Running various vulnerability scanners, web application scanners, and port scanners are all options. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more tedious but important steps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is to correlate all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools’ outputs to identify: what vulnerabilities are present, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir severity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir exposure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Obtaining this kind of information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scans was a manual process since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn’t a way to automate it. James Edge over at Information Systems Auditing is trying to address this issue in something he calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RF Project (Reporting Framework Project). RF Project is able to take scans from Nessus, Eeye Retina, Nmap, HP WebInpect, AppScan AppDetective, Kismet, and GFI Languard so custom reports can be created. Want to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential vulnerabilities detected by Nessus, Retina, and Nmap against server XYZ? Upload cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scans to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reporting framework and create a custom report showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer instead of manually going through each report to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities. I tested an earlier version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework when it only supported Nessus and Retina a few years ago. It’s great to see he continued with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project and added support for more scans.

Jame’s site has some useful stuff besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RF project. He has a few hacking tutorials and some technical assessment plans for external enumeration, Windows operating system enumeration, and Windows passwords.

Good InfoSec Rant

I like a good rant ever once in awhile. Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Breach’s I do it for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lulz explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author works in security. It’s not about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money, job security, or prestige; he works in security because it’s a calling. The post was directed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSec field but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing applies to Digital Forensics. Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following quote:

“Technology, and especially information security has always been more than a job to me. More than even a career. It's a calling. Don't tell my boss, but I'd do this even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't pay me. It's what I do. I can't help it.”

I can’t speak for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs but digital forensics is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most changing field I’ve ever worked in. Technology (hardware and software) is constantly changing in how it stores data and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I use to extract information are also evolving. Digital forensics can’t be treated as a normal 8 to 4 job with any chance of being successful. Five days a week and eight hours each day is not enough time for me to keep my knowledge and skills current about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest technology, tool update, threat, or analysis technique. It’s not a job; it’s my passion. My passion enables me to immerse myself in DFIR so I can learn constantly and apply my skills in different ways outside of work for my employer.

I wouldn’t last if digital forensics was only a day job. Seriously, how could I put myself through some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things we do if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no passion? We read whitepapers dissecting artifacts and spend countless hours researching and testing to improve our skills. Doing eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things would be brutal to someone who lacks passion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic. For example, I couldn’t hack it being a dentist because I lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passion for dentistry. I wouldn’t have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 will power to read a whitepaper explaining some gum disease or spend hours studying different diagnosis. Dentistry would just be an 8 to 4 day job that pays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bills until I could find something else. DFIR on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r story as I spend my evening blogging about it after spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day working on a case.

Happy Birthday jIIr

Saturday, August 6, 2011 Posted by Corey Harrell 2 comments
It’s hard to believe a year has gone by since I launched my blog. I didn’t know what to expect when I took an idea and put it into action. All I knew was I wanted to talk about investigating security incidents but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I didn’t have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR skillset. I also wanted to provide useful content but I was short on personal time to research, test, and write. I went ahead anyway despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons discouraging me from blogging.

The experience has been rewarding. I’m a better writer from explaining various topics in a way that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs can learn from my successes and failures. I have a better understanding about DFIR from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feedback I received. The feedback also helps to validate what 'm thinking and doing. Different opportunities arose -such as talking with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forensicators- as a direct result of my willingness to share information.

The top six posts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year covered a range of topics from detecting security incidents to examining an infected system to a book review. The most read posts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year were:

     1.  Google cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Incident Detector
     2.  Introducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensics Search
     3.  Reviewing Timelines with Excel
     4.  Review of Digital Forensics with Open Source Tools
     5.  Smile for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Camera
     6.  Anatomy of a Drive-by Part 2

I’m looking forward to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r year and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a range of ideas in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hopper. I’ll still touch on investigating security incidents as well as researching attack vector artifacts. However, my focus will gradually extend from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts on a single system to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts located on different network devices. Besides IR, I’m planning on talking about supporting financial investigations, Windows 7 (and Server 2008) artifacts, my methodology, different information security topics, and random DFIR thoughts inspired by things I come across along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way.

Thanks to everyone who keeps stopping by jIIr. There’s no need to be a stranger when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s a comment feature to let me know what you think. ;) A special thank you to all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bloggers and authors who link to my blog and share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thoughts about my posts. I'm thankful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional traffic you send my way since it helps to let ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog.
Labels: