My Journey into Academia Part Two

Tuesday, January 28, 2014 Posted by Corey Harrell 1 comments
I have always maintained a strong separation between jIIr -which is my personal blog - and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work I do for my employers. For one time, for one post I'm blurring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines between my personal publishing platform and work I did for an employer. I previously posted about My Journey into Academia where I discussed why I went from DFIR practitioner to DFIR educator. I'm continuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journey by discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course I designed for Champlain College's Master of Science in Digital Forensic Science (MSDFS) program. My hope is by sharing this information it will be beneficial to those developing DFIR academia curriculum and those going from DFIR practitioner to DFIR educator.

Why Academia Recap


My Journey into Academia post goes into detail about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue where some academic programs are not preparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir students for a career in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensic and incident response fields. How students coming out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs are unable "to analyze and evaluate DFIR problems to come up with solutions." In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words of Eric Huber in his post Ever Get The Feeling You’ve Been Cheated?:

"It’s not just undergraduate programs that are failing to produce good candidates. I have encountered legions of people with Masters Degrees in digital forensics who are “unfit for purpose” for entry level positions much less for positions that require a senior skill level."

As I said before, my choice was simple: to use my expertise and share my insight to improve curriculum; to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a course to help students in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir careers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR field.

Why Champlain College


Years ago I went to my first DFIR conference where I met Champlain's MSDFS program director at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussions we had was about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program being put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. A program that was supposed to not only help those looking to break into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field but to benefit those already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field by covering advanced forensic topics.

Years later when an opportunity presented itself for me to develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analysis course for Champlain's MSDFS program I remembered this discussion. I always heard great things about Champlain's programs and it was humbling to be offered this chance. It was even better when I took a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSDFS curriculum. Seeing courses like: Operating System Analysis, Scripting for Digital Forensics, Incident Response and Network Forensics, Mobile Device Analysis, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n adding Malware Analysis to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix. The curriculum looks solid covering a range of digital forensic topics; a program I could see myself associated with.

For those who don't want to pursue a Master's degree can have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same curriculum through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Certificates in Digital Forensic Science option. An option I learned about recently.

DFS540 - Malware Analysis Course


How can you reverse malware if you are unable to find it? How can you find malware without identifying what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector is? How can you identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector without knowing what artifacts to look for? How can you consistently explore artifacts without a repeatable process to follow? How can you carry out a repeatable process with having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to do so? I could go on but this adequately reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process I went through when developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curriculum. Basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course had to explore malware in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context that a DFIR practitioner will encounter it. To me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to approach building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course was by starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course objectives and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones created (posted with permission):

     -  Evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware threat facing organizations and individuals
     -  Identify different types of malware and describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capabilities including propagation and persistence mechanisms, payloads and defense strategies
     -  Categorize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different infection vectors used by malware to propagate
     -  Examine an operating system to determine if it has been compromised and evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method of compromise
     -  Use static and dynamic techniques to analyze malware and determine its purpose and method of operation
     -  Write reports evaluating malware behavior, methods of compromise, purpose and method of operation

Course Textbooks


After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course objectives were created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next item I took into consideration was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reading materials. One common question people ask when discussing academic courses is what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 courses’ textbooks are. I usually have mixed feelings about this question since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required readings always extend beyond textbooks. The Malware Analysis course is no different; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readings include white papers, articles, blogs, reports, and research papers. However, knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 textbooks does provide a glimpse about a course so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I selected (as of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date this post was published) were:

Szor, P. (2005). The Art of Computer Virus Research and Defense. Upper Saddle River: Symantec Press.

Russinovich, M., Soloman, D., & Ionescu, A. (2012). Windows Internals, Part 1 (6th ed.). Redmond: Microsoft Press.

Honig, A, & Sikorski, M. (2012). Practical Malware Analysis: The Hands on Guide to Dissecting Malicious Software. San Francisco: No Starch Press.

Ligh, M., Adair, S., Hartstein, B., & Richard, M. (2011). Malware Analyst’s Cookbook and DVD: Tools and Techniques for Fighting Malicious Code. Indianapolis: Wiley Publishing.

Course Curriculum


I started creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curriculum after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objectives were all set, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readings were identified, and most of my research was completed (trust me, I did plenty of research). When building out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curriculum its helpful to know what format you want to use. Similar to my collegiate experience (both undergraduate and graduate), I selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional teaching methods for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course such: lectures, readings, discussions, laboratories, and assignments. I made every effort to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekly material covered by each teaching method tied togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material from each week.

Developing Weekly Content


To illustrate how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekly material ties togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r I thought it would be useful to discuss one week in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course's second week material which explores anti-forensics and Windows internals. Each week (eight in total) begins with a recorded lecture. The lectures eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r convey information that is not discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readings - such as a process -  or re-enforces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readings and lab. The week two lecture explores anti-forensics to include: what it is, its strategies, and its techniques to defeat post mortem analysis, live analysis, and executable analysis. When dealing with malware whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on a live system (including memory images), powered down system, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware itself it's critical to know and understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various anti-forensics techniques it may leverage. Without doing so may result in an analyst missing something or reaching false conclusions. Plus, anti-forensics techniques provide details about malware functionality and can be used as indicators to find malware.

The week two readings continue exploring anti-forensics as well as self protecting strategies used by malware. The readings also go in-depth on Windows internals to explore covering items such as system architecture, registry, processes, and threads. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readings explore topics crucial for malware forensics and analysis.

Even though this is an online course I made a strong emphasis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekly labs so students explore processes, techniques, and tools. The week two lab ties togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week's ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r material by exploring how two malware samples use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows application programming interface to conceal data with different anti-forensic techniques.

The remaining weeks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course ties togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material in a similar way I described for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second week. (There is more to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second week's material but I didn't think it was necessary to disclose every detail). The topics explored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r weeks include but isn't limited to:

     -  Malware trends
     -  Malware characteristics
     -  Memory forensics
     -  Malware forensics
     -  Timeline analysis
     -  Static and dynamic malware analysis

Assignments


The curriculum wouldn't be complete without requiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students to complete work. In addition to weekly discussions about engaging topics cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be assignments to engage and challenge students. The assignments need to tie back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course objectives and this was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r area I made sure of. I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r not disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assignments I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course or my thought process behind creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. However, I will discuss one assignment that I think truly reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final assignment. Students are provided with a memory image and a system forensic image and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n are tasked with meeting certain objectives. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se objectives are: finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector, analyzing any exploits, analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, and conveying everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings in a digital forensic report.

Summary


In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analysis course is just one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 courses in Champlain's MSDFS and certificate in digital forensic science programs; a course I would have killed to take in my collegiate career. A course with material that cannot be found in any training.

Developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course has been one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most challenging and rewarding experiences in my DFIR career. Not only did I develop this course but I'm also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructor. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best experiences so far about my journey into academia has been watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of students. Seeing students who never worked a malware case successfully find malware, identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector, analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n communicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings. Seeing students who already had DFIR experience become better at working a malware case and explaining everything in a well written report. My posts about academia may come to a close but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 journey is only just beginning.

 
Labels:

It Is All About Program Execution

Tuesday, January 14, 2014 Posted by Corey Harrell 6 comments
Computer users are confronted with a reoccurring issue every day. This happens regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is an employee doing work for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company or a person doing online shopping trying to catch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 holiday sales. The user is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next thing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know it is infected with malware. Then someone gets tasked with resolving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware issue and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to do is to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. This is a common occurrence that plays out every day to anyone who eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses a computer or is responsible for protecting a network. How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware gets found depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person. Some fire off antivirus scanners, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs examine memory, some follow a documented process, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are not sure where to start. I've talked about my detailed process numerous times and I even shared one of my triage techniques last year. Regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one examination step that stands above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest in locating malware on a system. This step is examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts.

What Malware Indicators to Look For


As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name implies program execution artifacts show what programs executed on a system and at times what programs were present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The significance of knowing what programs ran can be seen in my corollary to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rootkit Paradox:

      1. They need to run
      2. They want to remain hidden

Malware wants to remain hidden on a system so it can accomplish what it was designed to do. However, in order for malware to hide on a system a program has to run. This program executes to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hide itself or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r piece of malware; in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process it will leave artifacts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. These artifacts - program execution artifacts - can be used to find where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is hidden. Below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware indicators to look for as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts are reviewed (my post Triaging Malware Incidents shows how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se indicators for triaging).

      - Programs executing from temporary or cache folders
      - Programs executing from user profiles (AppData, Roaming, Local, etc)
      - Programs executing from C:\ProgramData or All Users profile
      - Programs executing from C:\RECYCLER
      - Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
      - Programs with random and unusual file names
      - Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
      - Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around suspicious files

Program Execution Artifacts


Program execution artifacts have been well documented over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years. For example, Harlan put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a post explaining how to determine what programs executed on a system. The key to finding malware is to look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above indicators in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts and to review all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts since each one provides different information. To illustrate why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reviewing program execution artifacts examination step stands above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest I'll walk through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 step against a system I infected with malware.

Parsing Program Execution Artifacts


The purpose of this post is to show how just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts can reveal malware on a system as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools one should use. However, for completeness I'm sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I use to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts. I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorip script along with RegRipper to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts and Nirsoft Winprefetchview to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files.

RecentFileCache.bcf File


The first artifact to review on Windows 7 systems is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recentfilecach.bcf file. This file shows programs that executed on a system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs are new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The programs listed here executed recently; within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 24 hours or when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramDataUpdater task last ran. The RecentFileCache.bcf on my test system showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

c:\program files\common files\java\java update\jusched.exe
c:\users\lab\appdata\local\microsoft\windows\temporary internet files\content.ie5\i87xk24w\n6up2014[1].com
c:\program files\common files\java\java update\jucheck.exe


The one program that stands out is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 n6up2014[1].com program since it's located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary Internet files folder.

Prefetch Files


The next artifact to review to identify malware quickly on a system are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows prefetch files. Prefetch files show a wealth of information: program's file path, last run time, run count, and files accessed during start-up. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch file's creation date can indicate when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program first ran. Sorting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files on my test system by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program's file path makes it easier to spot malware. The image below illustrates this.


Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first malware indication is a randomly named program (n6up2014[1].com) executing from a temporary folder in a user profile. The n6up2014[1].com prefetch file also provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest to help locate ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware which is 01/10/14 00:38:25 UTC. Prefetch files contain references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files accessed during start-up and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se references can point to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware. The image below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winupdates.exe program referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 n6up2014[1].com prefetch file.


The winupdates.exe program is suspicious since it's a program that executed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users profile. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winupdates.exe zone.identifier alternate data stream indicates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program was downloaded from a different security zone (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet). Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program executed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 n6up2014[1].com program. Sorting prefetch files by last modification is a fast and simple method to find ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files sorted by last modification time.


The image above didn't highlight any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r potential malware but it does reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 netsh.exe program executed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. netsh.exe is a program to "administrator can use to configure and monitor Windows-based computers at a command prompt."


AppCompatCache Registry Key


The next artifact to review to identify malware on a system is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache registry key located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive. Mandiant highlighted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significance of this artifact in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir article "Leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Compatibility Cache in Forensic Investigations." This article not only shows executables that executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system but it also shows executables which were present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The AppCompatCache key from my test system also showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same suspicious programs with malware indicators.




UserAssist Registry Key


Continuing on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next artifact to review is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 userassist registry key located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account's NTUSER.DAT hive. This registry key sheds light on "what programs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user has launched via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Explorer shell." The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 userassist registry key for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspicious programs were located and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y executed.


As can be seen, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image doesn't reveal ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware but it does show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user executed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir web browser prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. This information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware isn't a surprise since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 n6up2014[1].com file was located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary Internet files folder and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winupdates.exe had a zone.identifier alternate data stream.

MUICache Registry Key


Continuing on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination is reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 muicache registry key located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account's NTUSER.DAT (for Windows XP) or UsrClass.dat (for Windows 7) hive. The muicache shows programs that ran under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account and is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r area to look for malware indicators. The muicache from my test system didn't reveal any useful information as shown below.


AppCompatFlags Registry Key


The search for malware indicators should continue by reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatFlags registry key. This artifact contains information about program execution and is more relevant for Windows 8 systems compared to Windows 7. This registry key hasn't been created on my Windows 7 test system as shown below.



Tracing Registry Key


It may be tempting to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination and follow up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs already identified but doing so may result in overlooking ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware. The next artifact to review is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tracing registry key located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive. This key may contain program execution for programs with networking capabilities. The tracing registry key from my test system didn't reveal any useful information as shown below.


Legacy Registry Keys


The last program execution artifact to review is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legacy registry keys located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive. These keys can be helpful to locate malware which installs itself as a Windows service. The legacy registry keys from my test system didn't reveal any useful information as shown below (notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of entries for my timeframe of interest).


Wrapping Things Up


Solely focusing on examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts identified malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test system. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following malware was identified:

C:\Users\lab\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I87XK24W\n6up2014[1].com
C:\Users\lab\AppData\Roaming\winupdates.exe


In addition to locating malware it was also determined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 netsh.exe program executed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection. The activity identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts matches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity observed when analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 n6up2014[1].com program. n6up2014[1].com creates on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and executes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winupdates.exe program while netsh.exe is used to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows firewall.

Knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information discovered by reviewing program execution artifacts will empower anyone who is tasked with resolving a malware issue. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same technique I have been using for years to find malware on systems extremely fast. Normally I can find malware in minutes; in less than 10 minutes. This is why I stand by my comment examining program execution artifacts stands above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination steps in locating malware on a system. This is why my response to anyone asking for help in locating malware is to start by examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts.

Malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Self-Deleting Batch File Method

Wednesday, January 1, 2014 Posted by Corey Harrell 4 comments
Data destruction is an anti-forensic technique where data is deleted to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of forensic evidence left on a system. One data destruction anti-forensic technique leveraged by malware are self-deleting droppers and downloaders. The use of this technique can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Damballa paper Behind Today's Crimeware Installation Lifecycle: How Advanced Malware Morphs to Remain Stealthy and Persistent which outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware installation lifecycle. In Windows, a program cannot delete itself so malware has to use ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r avenues to accomplish this. The article Self-deleting Executables: Techniques which allow an executable file to delete itself whilst running goes into detail about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se avenues while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article ZeroAccess's Way of Self-Deletion discusses anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one. A common avenue used by malware to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available forensic evidence is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-deleting batch file method. If this method is used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be evidence of this activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows prefetch files and NTFS Change Journal.

Self-Deleting Batch File Method


The Catch22 Self-deleting Executables article discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-deleting batch file method. The article states cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method "works because MS-DOS batch files are able to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves." All an executable has to do if it wants to delete itself is to create a batch file with code to delete its executable." Next cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable needs to spawn off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file using CreateProcess, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n should exit immediately". The batch script will proceed to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n itself. On a system this action removes valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection vector.

To see how this method works I'll use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Zbot sample MD5 0dc43fa765b042c13b51667e9c05d6e7. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware (bot.exe) creating a batch script named tmp1d2cc71c.bat.


The purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tmp1d2cc71c.bat batch script is to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot.exe executable and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n to delete itself as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "if exist" statement creates a loop to force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot.exe deletion.


Shortly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tmp1d2cc71c.bat batch script creation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware proceeds to launch a command prompt to execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script.


Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Process Create" event details shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command-line cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware used to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt.


The command prompt proceeds to load; one activity that occurs during process creation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation and/or reading of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt prefetch file. 


The command prompt uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SetDispositionInformationFile function to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot.exe file. The ZwSetInformationFile routine with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FileDispositionInformation parameter "sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DeleteFile member of a FILE_DISPOSITION_INFORMATION to TRUE, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file can be deleted when ZwClose is called to release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last open handle to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file object." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot.exe file gets deleted when it is closed. The images below show this event in process monitor and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 properties of this event where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DeleteFile member is set to True.




Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "if exist" statement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script? The image below shows cmd.exe checking to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot.exe exists. The result is "no such file" so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script exits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loop and continues its execution.

 
Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SetDispositionInformationFile function to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tmp1d2cc71c.bat batch script before it exits.





Traces of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Self-Deleting Batch File Method


The self-deleting batch file method used by downloaders and droppers limits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of forensic evidence left on a system. Specifically, it removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downloaders and droppers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can't be analyzed in a method similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process above. However, this method leaves traces on a system to help determine that this method was used. I've seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se traces numerous times left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows prefetch files and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Change Journal.

 

Prefetch Files


Windows prefetch files contain file paths to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files accessed when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application was starting. Sometime ago Harlan touched on this in his post Prefetch Analysis, Revisited...Again... and I did as well in my post Second Look at Prefetch Files. Traces of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-deleting batch file method may be left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt (cmd.exe) prefetch file; this is usually my first indication that this method was used.

Again, let's illustrate this with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zbot sample MD5 0dc43fa765b042c13b51667e9c05d6e7. The image below shows some suspicious executables (bot.exe and anku.exe) prefetch files followed by a modification to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cmd.exe prefetch file. Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cmd.exe prefetch file may not always align with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware prefetch files if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt has been used since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection.


The indication that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-deleting batch file method was used are references to batch scripts located in temporary folders. Looking closer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cmd.exe prefetch file - as shown below - contains a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tmpccc11cdb.bat  batch script which is located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temp folder.


NTFS Change Journal


The NTFS Change Journal ($UsnJrnl) contains a wealth of information about file system activity which can provide more context about what occurred on a system. I discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of this artifact in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Re-Introducing $UsnJrnl and I even showed how it can help identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-deleting batch file method. The $UsnJrnl can help provide more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tmpccc11cdb.bat  batch script found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cmd.exe prefetch file.

The image below shows how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name bot.exe.


The $UsnJrnl even records activity for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware that gets dropped onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system such as for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable anku.exe as shown below.


The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traces of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-deleting batch file method in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl. First cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script (tmpccc11cdb.bat) is created which is followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deletion of an executable (bot.exe) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script itself (tmpccc11cdb.bat).


Wrapping Things Up


When we are confronted with systems impacted by malware it is a given we will encounter numerous anti-forensics techniques. Most likely we will see less forensic evidence left on a system due to data destruction. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Locard's exchange principle states when two objects come into contact, something from one is exchanged to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. This principle applies to anti-forensics and traces of this activity may be left on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, prefetch files and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Change Journal can shed light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-deleting batch file method.