Building Timelines – Tools Usage

Sunday, September 25, 2011 Posted by Corey Harrell 3 comments
Tools are defined as anything that can be used to accomplish a task or purpose. For a tool to be effective some thought has to go into how to use it. I have a few saws in my garage but before I try to cut anything with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m I first come up with a plan on what I’m trying to accomplish. Timeline tools are no different and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usage shouldn’t solely consist of running commands. The post Building Timelines – Thought Process Behind It discusses an approach to develop a plan on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way timeline tools will be used. This post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second part where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to build timelines is discussed.

There is not a single tool for building timelines since tools vary based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR practitioner’s needs and preferences. When I first started learning about timeline analysis I read as much as I could about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique and downloaded various tools to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capabilities to see what worked best for me. I’m discussing my current method and a few tools that I build timelines with. The method is different from what I was doing last month and will probably change down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road as tools are updated, new tools are released, and my needs/preferences vary.

I’m trying to show different ways timelines can be built in addition to building my own timeline for an infected Windows XP SP3 test system. The artifacts selected for my timeline are:  event logs, Internet Explorer history, XP firewall logs, prefetch files, Windows restore points, select registry keys, entire registry hives, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata. The user specific artifacts (ie history and registry keys from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT hive) only need to be parsed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user account. The extraction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps from those artifacts will be accomplished in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following activities:

        -  Artifact Timestamps
        -  File System Timestamps
        -  Registry Timestamps

Tools’ Output

Before a timeline can be created one must first choose what format to use for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools’ output. Selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format up front ensures multiple tools’ outputs can go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same timeline. Three common output types are: bodyfile, TLN, and comma-separated value (csv). The bodyfile format shows file activity and separates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output into different sections. The version in use will determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sections are but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit Wiki bodyfile page explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences and provides an example. The TLN format breaks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data up into five sections: time, source, host, user, and description. Harlan provided a great description about his format in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Timeline Analysis...do we need a standard? and in Appendum for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post TimeLine Analysis, pt III. The csv format stores data so it is separated by rows and columns. This format works well for viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data in spreadsheets. However, unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodyfile and TLN formats csv is not a standard format. The csv schema from tools may differ resulting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for additional processing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outputs to go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same timeline. Kristinn’s post Timeline Analysis 201 – review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv schema used in his Log2timeline tool.

I mostly review timelines with spreadsheet programs so I opted for Log2timeline’s csv format. I use Log2timeline to convert ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools’ outputs into proper csv schema. My timeline in this post uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv format and I demonstrate how to convert between different formats.

Artifact Timestamps

I couldn’t come up with a good name when I was thinking about how to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different activities I do when creating timelines. What I mean when I say artifact timestamps is everything expect for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write times from dumped registry hives and timestamps from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system. The different tools to extract timestamps from artifacts include Harlan’s timeline tools and Log2timeline. Harlan accompanies his tools posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 yahoo group with a great step by step guide about building timelines with his tools. I cover how to use Log2timeline and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is a brief explanation about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool’s syntax:

log2timeline.pl -z timezone -f plugin/plugin_ file -r -w output-file-name log_file/log_dir

        -z defines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timezone for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts came from
        -f specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin or pluging file to run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file/directory
        -w specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to
        -r makes log2timeline work in recursive mode so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder specified and its subfolders are all examined for artifacts

Options to Extract Timestamps with Single Plugin or Default Plugin File

Log2timeline is plugin based and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool can execute a single plugin against a single file/directory or execute a plugin file against multiple files in directories. I prefer to use custom plugins for my timelines but first I wanted to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single plugin and default plugin file methods. The command below will execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evt plugin to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security windows event log and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output will be written to a file named fake-timeline.csv.

log2timeline.pl -z local -f evt -w fake-timeline.csv F:\WINDOWS\system32\config\SecEvent.Evt

The single plugin method requires multiple commands to extract timestamps from different artifacts in a system. Plugin files address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 multiple command issue since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file contains a list of plugins to run. Log2timeline comes with a few default plugin files and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best one that fits my selected artifacts is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winxp plugin file. The command below runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winxp plugin file against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire mounted forensic image (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red text highlights what is different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous command).

log2timeline.pl -z local -f winxp -w fake-timeline.csv –r F:\

The winxp plugin file makes things a lot easier since only one command has to be typed. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file parses a lot more data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I actually need. The plugins executed are: chrome, evt, exif, ff_bookmark, firefox3, iehistory, iis, mcafee, opera, oxml, pdf, prefetch, recycler, restore, setupapi, sol, win_link, xpfirewall, wmiprov, ntuser, software, and system. I only wanted to parse IE history but winxp is doing every browser supported by log2timeline. I only wanted to parse artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator’s user profile but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above command is parsing artifacts from every profile on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I wanted to limit my timeline to specific artifacts but winxp is giving me everything. Not exactly what I’m looking for.

Single plugins and default plugin files are viable methods for building timelines. However, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r let’s me easily build a timeline containing only my selected artifacts that were tailored to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case and system I’m processing. This is where custom plugin files come into play and why I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m instead.

Extracting Timestamps for my Timeline with Custom Plugin Files

Kristinn deserves all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit for why I know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to create custom plugin files. I’m just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy who asked him cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question and decided to blog cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer he gave me. A custom plugin file is a text file that lists one plugin per line and is saved with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .lst file extension. The picture is a custom file named test.lst and it contains plugins for prefetch files, event logs, and system restore points.

Custom Plugin File Example

The custom file is placed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same directory where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default plugin files are located. On a Windows system with Log2timeline 0.60 installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory is C:\Perl\lib\Log2t\input\.

I only want to parse artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator user profile instead of all user profiles stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I wrote this post, Log2timeline doesn’t have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to exclude full paths (such as unwanted user profiles) when running in recursive mode. As a result I create two custom plugin files; one file parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts in a user profile while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining artifacts throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This lets me control what user profiles to extract timestamps from since I can run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user plugin file against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact ones I need.

The user custom plugin file is named custom_user.lst and contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iehistory and ntuser plugins. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r custom plugin file is named custom_system.lst and contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evt, xpfirewall, prefetch, and restore plugins. The two commands below execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom_user.lst against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator’s user account profile and custom_system.lst against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire drive while saving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file timeline.csv.

log2timeline.pl -z local -f custom_user -w C:\win-xp\timeline.csv –r “F:\Documents and Settings\Administrator”

log2timeline.pl -z local -f custom_system -w C:\win-xp\timeline.csv –r F:\

The commands extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps from all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts on my list except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire registry hives last write times and file system timestamps. The picture shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline built so far. The timeline is sorted and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section shown is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file I referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post What’s a Timeline is located.

Timeline Data Added by Custom Plugin File

Filesystem Timestamps

The filesystem timestamps is concerned about adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity involving files and directories to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. There are different tools that extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information including FTK Imager, AnalyzeMFT, Log2timeline, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit. I’m demonstrating two different methods to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to my timeline to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two. The tools for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first method include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit and Log2timeline while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second method only uses Log2timeline.

The fls.exe program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit will list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files and directories in an image. The command below creates a bodyfile containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files/directories’ activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test forensic image and stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file named fls-bodyfile.txt. (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –m switch makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output format mactime, -r is for recursive mode, and –o is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sector offset where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem starts)

fls.exe -m C: -r -o 63 C:\images\image.dd >> C:\win-xp\fls-bodyfile.txt

Fls.exe’s output is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodyfile format but my timeline is in Log2timeline’s csv format. Log2timeline has plugins to parse output files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLN and bodyfile formats. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool can be used to convert one format into anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. The command below parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fls-bodyfile.txt file and adds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to my timeline.

log2timeline.pl -z local -f mactime -w C:\win-xp\timeline.csv C:\win-xp\ fls-bodyfile.txt

The picture highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new entries to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section of my timeline. Doesn’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story about what occurred become clearer?

Timeline Data Added by fls.exe

The file system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP test system is NTFS. NTFS stores two sets of timestamps which are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $FILE_NAME attribute and $STANDARD_INFORMATION timestamps. Fls.exe along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forensic tools shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $STANDARD_INFORMATION timestamps. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be times when it’s important two include both sets of timestamps in a timeline. One such occurrence is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s a concern that timestamps might have been altered. Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table ($MFT) can add both sets of timestamps to a timeline. The command below shows Log2timeline parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT and adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file timeline-copy.csv.

log2timeline.pl -z local -f mft -w timeline.csv F:\$MFT

The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline only containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $STANDARD_INFORMATION timestamps compared to containing both timestamps. Quick side note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mft plugin could be added to a custom plugin file.

Timeline Data Added by $MFT

Registry Timestamps

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact timestamps section Log2timeline extracted data from select registry keys. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when I want all registry keys’ last write times from registry hives. So far I want this ability when dealing with malware infections since it helps identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism and registry modifications. The tools to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write times from registry hives include Harlan’s regtime.pl script (I obtained it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift 2.0 workstation) and Log2timeline. For my timeline I’m interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System, Software, and administrator’s NTUSER.DAT registry hives. The commands below has regtime.pl extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write times from each hive and storing it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodyfile file named reg-bodyfil.txt (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –m switch prepends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text to each line and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –r switch is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hive).

regtime.pl –m HKLM/system –r F:\Windows\System32\config\system >> C:\win-xp\reg-bodyfile.txt

regtime.pl –m HKLM/software –r F:\Windows\System32\config\software >> C:\winxp\reg-bodyfile.txt

regtime.pl –m HKCU/Administrator –r "F:\Documents and Settings\Administrator\NTUSER.DAT" >> C:\win-xp\reg-bodyfile.txt

Regtime.pl’s output is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodyfile format so Log2timeline makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format conversion as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command below.

log2timeline.pl -z local -f mactime -w C:\win-xp\timeline.csv C:\win-xp\reg-bodyfile.txt

The picture highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new data added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit. The timeline now highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware’s persistence mechanisms (run and services registry keys)

Timeline Data with Registry Keys' Last Write Times

Sorting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Timeline

When new data is added to a timeline it’s placed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file which means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline needs to be sorted prior to viewing it. There are different sorting options such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mactime.exe program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit to bodyfile format timelines. A quick method I use is my spreadsheet program’s sort feature. The settings below will make Excel sort from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oldest time to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent.

Excel 2007 Sort Feature

Summary

The approach described in my Building Timeline series is just one way out of many to create timelines. The DFIR community has provided a wealth of information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following examples which are only a drop in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bucket of knowledge. Harlan Carvey created and released tools for creating timelines in addition to regularly posting on his blog (a few posts are HowTo: Creating Mini-Timelines and A Bit More About Timelines...). Kristinn Gudjonsson is very similar in that he created and released log2timeline in addition to providing information on his websites (a few posts are Timeline Analysis 101 and Timeline Analysis 201 – review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline). Rob Lee has shared his approach in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way he builds timelines and two of his posts are SUPER Timeline Analysis and Creation and Shadow Timelines And Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VolumeShadowCopy Digital Forensics Techniques with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuthkit. Chris Pogue has shared his method to create timelines on his blog and a few posts are Log2Timeline and Super Timelines and Time Stomping is for Suckers. The last author I’ll directly mention is Don Weber who released his scripts for creating timelines and blogged about creating timelines (one post is Hydraq Details Revealed Via Timeline Analysis). These are only a few tools, blog posts, and authors who have taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thoughts on timeline analysis. To see more try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword “timeline” in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic Search to see what’s out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

For anyone looking to become more proficient at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline analysis cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I recommend to do what I did. Read everything you can find on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic, download and test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different tools people talk about, and try out different approaches to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting timelines differ. It won’t only teach you about timeline analysis but will help identify what method and tools work best for you.

Building Timelines – Thought Process Behind It

Saturday, September 17, 2011 Posted by Corey Harrell 0 comments
Timelines are a valuable technique to have at your disposal when processing a case. They can reveal activity on a system that may not be readily apparent or show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of certain activity helping rule cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories out. Timelines can be used on case ranging from human resource policy violations to financial investigations to malware infections to even auditing. Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique can be used one must first know how to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first post in my two part series on building timelines. Part 1 discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process behind building timelines while Part 2 demonstrates different tools and methods to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Things to Consider

There are two well known approaches to building timelines. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one hand is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimalist approach; only include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact data needed. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kitchen sink approach; include all data that is available. My approach falls somewhere in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle. I put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I definitely need into timelines and some data I think I may need. The things I take into consideration when selecting data is:

        - Examination’s Purpose
        - Identify Data Needed
        - Understand Tools’ Capabilities
        - Tailor Data List to System

Examination’s Purpose

The first thing I consider when building timelines is what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination’s purpose. Every case should have a specific purpose or purposes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF analyst needs to accomplish. For example, did an employee violate an acceptable usage policy, how was a system infected, how long was a web server compromised, or locate all Word documents on a hard drive?

Identify Data Needed

The next area to consider is what data is needed to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose(s). This is where I make a judgment about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts I think will contain relevant information and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts that could contain information of interest. A few potential data sources and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir artifacts are:

        - Hard drives: file system, web browsing history, registry hives, Windows short cut files, firewall logs, restore points, volume shadow copies, prefetch files, email files, or Office documents

        - Memory: network connections, processes, loaded dlls, or loaded drivers

        - Network shares: email files (including archives), office documents, or PDFs

        - Network logs: firewall logs, IDS logs, proxy server logs, web server logs, print/file server logs, or aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication server logs

I take into account cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case type and examination's purpose(s) when picking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts I want. To illustrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affect case type has on my choice I'll use a malware infected system and Internet usage policy violation as examples. The malware infected system would definitely be interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts showing program execution, firewall logs, antivirus logs, and file system metadata. The additional items I'd throw into a timeline would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's web browsing history, removable media usage, and registry keys last write times since those artifacts might show information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector and persistence mechanism. For an Internet usage policy violation I'd only include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata and web browsing history since my initial interest is limited to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person’s web browsing activities.

The examination purpose(s) will point to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts of interest. Let's say if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet usage policy violation's purpose was to determine if an employee was surfing pornographic websites and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were saving pornographic images to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company issued thumb drive. In addition to file system metadata and web history, I’d now want to include artifacts showing recent user activity such as Windows shortcut files or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 userassist registry key.

I try to find a balance between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I know I'll need and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that may contain relevant information. I don't want to put everything into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline (kitchen sink approach) but I'm trying to avoid frequently adding more data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline (minimalist approach). Finding a balance between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two lets me create one main timeline with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to create mini timelines using spreadsheet filters. Making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 call about what data to select is not going to be perfect initially. Some data may not contain any information related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r left out data is going to be important. The important thing to remember is building timelines is a process. Data can be added or removed at later times which means thinking about data to incorporate into a timeline should occur continuously. This is especially true as more things are learned while processing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case.

Understand Tools’ Capabilities

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination’s purpose(s) are understood and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential data required to accomplish it is identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next consideration is understanding my tools’ capabilities. Timeline tools provide different support for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can parse. I review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items I want to put into my timeline against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts supported by my tools to identify what in my list I can’t parse. If any items are not supported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 item is really needed and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a different tool that will work. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r benefit to making this comparison is that helps to identify artifacts I might not have thought about. The picture below shows some artifacts supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I’ll discuss in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Building Timelines – Tools Usage.


Some may be wondering why I don’t think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools’ capability before I consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I need to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination’s purpose(s). My reason is because I don’t want to restrict myself to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability provided by my tools. For example, none of my commercial tools are able to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timelines I’m talking about. If I based my decision on how to accomplish what I need to do solely on my commercial tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n timelines wouldn’t even be an option. I’d racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r first identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I want to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n determine if my tools can parse it. This helps me see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortcomings in my tools and lets me find ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done.

Tailor Data List to System

At this point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process potential data has been identified to put into a timeline. A timeline could be built now even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact list is pretty broad. My preference is to tailor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system under examination. To see what I mean I’ll discuss a common occurrence I encounter when building timelines which is including a user account’s web browser history. Based on my tools supported artifacts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browsing artifacts could be from: Google Chrome, Firefox 2, Firefox 3, Internet Explorer, Opera, or Safari. Is it really necessary to have my tools search for all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system only has Internet Explorer (IE) installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why spend time looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r items. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same system has 12 loaded user profiles but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination is only looking at one user account cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IE history for all 12 user profiles? To minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time building timelines and reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact list needs to be tailored to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. A few examination checks will be enough narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list. The exact checks will vary by case but one step that holds across all cases is obtaining information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system (OS) and its configuration.

I previously discussed this examination step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Obtaining Information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Operating System and it covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three different information categories impacting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact list. The first category is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 General Operating System Information and it shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system version. The version will dictate whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r certain artifacts are actually in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system since some are OS specific. The second category is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 User Account Information which shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts (local accounts as well as accounts that logged on) associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. When building a timeline it’s important to narrow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts under examination; this is even more so on computers shared by multiple people. Identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts can be done by confirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account assigned to person, looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account names, or looking at when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts were last used. The third and final category is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software Information. The category shows information about programs installed and executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The software on a system will dictate what artifacts are present. Quickly review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts supported by my tools (picture above) to see how many are associated with specific applications. This one examination step can take a broad list and make it more focused to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts are coming from.

Select Data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Timeline

I reflect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I considered when coming up with a plan on how to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline The examination's purpose outlined what I need to accomplish, potential data I want to examine was identified, my tool's capabilities were reviewed to see what artifacts can be parsed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n checks were made to tailor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact list to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I’m looking at. The list I’m left with afterwards is what gets incorporated into my first timeline. Working my way through this thought process reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of artifacts going into a timeline; thus reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data I’ll need to weed through.

Thought Process Example

The thought process I described may appear to be pretty extensive but that is really not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. The length is because I wanted to do a good job explaining it since I feel it’s important. The process only takes a little time to complete and most of it is already done when processing a case. Follow along a DF analyst on a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic case to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process works in coming up with a plan to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. Please note, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case only mentions a few artifacts to get my point across but an actual case may use more.

Friend: “Damm … Some program keeps saying I’m infected and won’t go away. Let me call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF analyst since he does something with computers for a living. He can fix it

Phone rings and DF analyst picks up

Friend: “DF analyst … Some program keeps saying I’m infected with viruses and blocks me from doing anything.”

DF analyst: “Do you have any security programs installed such as antivirus software, and if so is that what you’re seeing

Friend: “I think I have Norton installed but I’ve never seen this program before. Wait … hold on … Oh man, now pornographic sites are popping up on my screen

DF analyst: “Yup, sounds like you’re infected

Friend: “I know I’m infected. That’s what I told you this program has been telling me

DF analyst: “Umm .. The program saying you are infected is actually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virus.”

Friend: “Hmmmm….”

DF analyst: “Just power down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and I’ll take a look at later today.

Computer powering down

DF analyst: “When did you start noticing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program?

Friend: “Today when I was using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer.

DF analyst: “What were you doing?

Friend: “Stuff… Surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web, checking email, and working on some documents. I really need my computer. Can you just get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virus and let me know if my wife or kids did this to my computer?

Later that day

DF analyst has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab. He thinks about what he needs to do which is to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and determine how it got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. The potential data list he came up with to accomplish those tasks was: known malware files, system’s autostart locations, programs executed (prefetch, userassist, and muicache), file system metadata, registry hives, event logs, web browser history, AV logs, and restore points/volume shadow copies.

Wanting to know what launches when his friend logs onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF analyst uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sysinternals autorun utility in offline mode to find out. Sitting in one run key was an executable with a folder path to his friend’s user profile. A Google search using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s MD5 hash confirmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was malicious and his friend’s system was infected. DF analyst decided to leverage a timeline to see what else was dropped onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and what caused it to get dropped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place.

DF analyst pulls out his reference showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various artifacts supported by his timeline tools. He confirms that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential data he identified is supported. Then he moves on to his first examination step which is examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive’s layout. Two partitions, one is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dell recovery formatted with Fat32 while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system formatted with NTFS. DF analysts just added NTFS artifacts ($MFT) to his potential data list. To get a better idea about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system he uses Regripper to rip out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general operating system information. Things he learned from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper reports and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decisions he made based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information:

         - OS version is XP (restore points are in play while shadow copies are out. Need to parse event logs with evt file extensions)

        - Three user accounts were used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past week (initial focus for certain artifacts will be from friend’s user account since malware was located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. The two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r user accounts may be analyzed depending on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata shows)

        - Internet Explorer was only web browser installed (all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web browser artifacts won’t be parsed at this time)

        - Kaspersky antivirus software was installed (tools don’t support this log format. AV log will be reviewed and entries will be put into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline manually)

DF analyst performs a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r checks. Prefetch folder has files in it and his friend’s user account recycle bin has numerous files in it. Both were added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline artifact list. The final list contains items from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and one user account. The system data has: prefetch files, event logs (evt), system restore points, Master file Table. The artifacts from one user account are: userassist registry key, muicache registry key, IE history, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycle bin contents. DF analyst is ready to build his timeline …. Stay tuned for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post "Building Timelines – Tools Usage" to see one possbile way to do it.


I'd like to hear feedback about how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r's approach building timelines; especially if it's different than what I wrote. It's helpful to see how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts are building timelines.
Labels:

Linkz 4 Advice

Monday, September 12, 2011 Posted by Corey Harrell 2 comments
There won’t be any links pointing to Dr. Phil, Dear Abby, or Aunt Cleo. Not that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s anything wrong that… They just don’t provide advice on a career in DFIR.

Getting Started in DFIR

Harlan put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Getting Started which contains great advice for people looking to get into DF. I think his advice even applies to folks already working in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. DF is huge with a lot of areas for specialization. Harlan’s first tip was to pick something and start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. How true is that advice for us since we aren’t Abby from NCIS (a forensic expert in everything)? People have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expertise: Windows, Macs, cell phones, Linux, etc. but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is always room to expand our knowledge and skills. The best way to expand into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r DF areas is to “pick something and start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re”.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tip is to have a passion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work we do. In Harlan’s words “in this industry, you can't sit back and wait for stuff to come to you...you have to go after it”. I completely agree with this statement and DF is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field to get complacent in. There needs to be a drive deep down inside to continuously want to improve your knowledge and skills. For example, it would be easy to be complacent to maintain knowledge only about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP operating system if it’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology normally faced. However, it would be ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that at some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future encounters with Windows 7 boxes and non-Windows system will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm. A passion for DF is needed to push yourself so you can learn and improve your skills on your own without someone (i.e. an employer) telling you what you should be doing.

I wanted to touch on those two tips but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire post is well worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read, regardless if you are looking to get into DF or already arrived.

Speaking about a Passion

Little Mac over at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensicaliente blog shared his thoughts about needing a drive to succeed in DF. I’m not musically inclined but he uses a good analogy to explain what it takes to be successful. Check out his post Is Scottish Fiddle like Digital Forensics?.

Breaking into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field

Lenny Zelster discussed How to Get Into Digital Forensics or Security Incident Response on his blog last month. One issue facing people looking to break into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field is that organizations may not be willing to spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and resources to train a person new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. Lenny suggested people should leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir current positions to acquire relevant DFIR skills.

Lenny’s advice doesn’t apply to how I broke into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field since DFIR was basically dropped into my lab when I was tasked with developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DF capability for my organization. However, his advice is spot on for how I was able to land my first position in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security field (which is what lead me into DFIR). I was first exposed to security during my undergraduate studies when I took a few courses on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic. It was intriguing but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re weren’t a lot of security jobs in my area which meant my destination was still IT operations. I continued down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 track pushing me furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r into IT but I always kept my desire for security work in mind. After graduation I took a position in an IT shop where I had a range of responsibilities including networking and server administration. In this role, I wanted to learn how to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology I was responsible for managing and what techniques to use to test security controls. This is due diligence as being a system admin but it also allowed me to get knowledge and some skills in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security field. In addition to operational security, I even tried to push an initiative to develop and establish an information security policy. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative failed and it was my first lesson in nothing will be successful without management’s support. All was not lost because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience and my research taught me a lot about security being a process that supports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business. This is a key concept about security and up until that point my focus was on security's technical aspects.

I leveraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position I was in to acquire knowledge and skills about my chosen field (security). My actions weren’t completely self serving since my employer benefited from having someone to help secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network. I didn’t realize how valuable it was to expand my knowledge and skills until my first security job interview. Going in I thought I lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills and knowledge but over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview I realized I had a lot more to offer. I took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative to expand my skillset and it was an important factor in helping me land in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security field. My experience is very similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lenny’s advice except his post is about getting into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR field.

Get a plan before going into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weeds

Rounding out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links providing sound guidance, Bill over at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unchained Forensics blog gave some good advice in his recent post Explosions Explosions. He shared his thoughts on how he approaches examinations. One comment he made that I wanted to highlight was “more and more of my most efficient time is being used at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case planning stage”. He mentions how he thinks about his plan to tackle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, including identifying potential data of interest, before he even starts his examination. I think it’s a great point to keep reinforcing for people new and old to DFIR.

I remember when I was new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. I had a newly established process and skillset but I lacked certain wisdom in how to approach cases. As expected, I went above and beyond in examining my first few cases. I even thought I was able to do some “cool stuff” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person requesting DF assistance would be interested in. There was one small issue I overlooked. The person was only interested in specific data’s content while I went beyond that, way beyond that. I wasted time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool stuff I thought I did was never even used. I learned two things from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience. First was to make sure I understand what I’m being asked to do; even if it means asking follow-up questions or educating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requestor about DF. The second lesson was to think about what I’m going to do before I do it. What data do I need? What steps in my procedures should I complete? What procedural steps can be omitted? What’s my measure for success telling me when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination is complete? Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time beforehand to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r your thoughts and develop a plan helps to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer’s needs while limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “cool stuff” that’s not even needed.

Books On demand

If someone were to ask me what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best training I have every taken I know exactly what I would say. A book, computer, Google, and time. That’s it and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost is pretty minimal since only a book needs to be purchased. I’m not knocking training courses but classes cannot compare to educating yourself through reading, researching, and testing. I never heard about Books24x7 until I started working for my current employer. Books24x7 is virtual library providing access to “in-class books, book summaries, research reports and best practices”. The books in my subscription include topics on: security, DFIR, certification, business, programming, operating systems, networking, and databases. I can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I’m looking for by searching numerous books whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r I’m researching, testing, or working. A quick search for DFIR books located: Malware Forensics: Investigating and Analyzing Malicious Code, Windows Registry Forensics: Advanced Digital Forensic Analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Registry, Windows Forensic Analysis Toolkit Second Edition, Malware Analyst's Cookbook: Tools and Techniques for Fighting Malicious Code, EnCase Computer Forensics: The Official EnCE: EnCase Certified Examiner Study Guide, and UNIX and Linux Forensic Analysis Toolkit. That’s only a few books from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pages and pages of search results for DFIR. Talk about a wealth of information at your fingertips.

The cost may be a little steep for an individual but it might be more reasonable for an organization. If an organization’s employees have a passion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work and take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative to acquire new skills cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Books24x7 could be an option as a training expense. Plus, it could save money from not having to purchase technical books for staff. Please note, I don’t benefit in any way by mentioning this service on my blog. I wanted to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site since it’s been a valuable resource when I’m doing my job or self training to learn more about DFIR and security.
Labels: ,

What’s a Timeline

Wednesday, September 7, 2011 Posted by Corey Harrell 3 comments
Timeline analysis is a great technique to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity that occurred on a system at a certain point in time. The technique has been valuable for me on examinations ranging from human resource policy violations to financial investigations to malware infections. Here is an analogy I came up with to explain what timelines are.

Not Even Close To a Timeline

The picture below shows how data looks on a hard drive using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. It does a decent job if you are using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method doesn’t work for a forensic examination. There’s a lot of missing data such as: file system artifacts, hidden files/folders, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata stored in files/folders.


In technical books cabinets are used to explain how hard drives function since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y store items similar to how a drives store data. Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system to view data on a hard drive is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent to looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cabinet as pictured below. You are unable to see what lies beneath.


Getting Closer To a Timeline

The picture below shows how data on a hard drive looks using a digital forensic tool. The tool does a better job than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system since it displays a lot more data. File system artifacts, hidden files/folders, and file system metadata can now be examined. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool does not readily show some data such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata stored inside of files. The picture highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for additional steps to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data inside prefetch files.


The cabinet’s contents can now be seen since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doors are opened. There are containers, pots, and pans. However, additional steps need to be taken to determine what is inside those items. Just like more steps are required in Encase to see prefetch files’ metadata.


This is What I’m Talking About

The picture below shows how data looks on a hard drive using a timeline. It might not look as pretty as a Graphical User Interface but it provides so much more data. The timeline section shown contains: both timestamps from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master File Table (MFT), data stored in prefetch files, events from an event log, and registry keys.


The opened cabinet doors allowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pots, pans, and containers’ contents to be examined. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 untrained eye it might look like chaos but to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledgeable observer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can now see what was stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cabinet including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 now visible measuring cups. It's kind of like how a timeline makes visible activity on a system that may not have been readily apparent.

Labels: