Exploring Windows Error Reporting

Monday, February 24, 2014 Posted by Corey Harrell
The Application Experience and Compatibility feature ensures compatibility of existing software between different versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows operating system. The implementation of this feature results in some interesting program execution artifacts that are relevant to Digital Forensic and Incident Response (DFIR). I already highlighted a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in my posts Revealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentFileCache.bcf File and Revealing Program Compatibility Assistant HKCU AppCompatFlags Registry Keys. There are more artifacts associated with this feature and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Error Reporting (WER) are one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months WER has been discussed frequently due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential data it exposes when data is sent to Microsoft. However, WER can be a useful program execution artifact for incident response since malicious code - such as malware and exploited applications - can crash on systems. This short post provides discusses WER and illustrates how it is helpful to track malware on a system.

What is Windows Error Reporting


Windows Error Reporting is basically a feature to help solve problems associated with programs crashing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows operating system. The Windows Internals, Part 1: Covering Windows Server 2008 R2 and Windows 7  goes into more detail by stating:

"WER is a sophisticated mechanism that automates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submission of both user-mode process crashes as well as kernel-mode system crashes."

The service analyzes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed application's state and builds context information surrounding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed program. The book continues by saying:

On default configured systems, an error report (a minidump and XML file with various details, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLL version numbers loaded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process) is sent to Microsoft's online crash analysis server. Eventually, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service is notified of a solution for a problem, it will display a tooltip to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user informing her of steps that should be taken to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

How Does Windows Error Reporting Work?


There are two registry keys responsible for WER's configuration. These keys are listed below; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first key affects system-wide behavior while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second is user specific.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting
HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting


The best resource I found explaining how WER works is a paper written by 0xdabbad00. Their paper is titled Notes on Windows Error Reporting and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual PDF can be found here. The paper "attempts to better explain what is and is not possible and to generalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack classes for all error reporting" and touches on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following key points:

        - What traffic is sent unencrypted and what is sent encrypted
        - What data is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unencrypted traffic

I won't try to rehash what is written in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper since it really goes into great detail. Anyone who wants to know more about WER should read this.

What Artifacts Are Left By Windows Error Reporting?


One item I really liked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Notes on Windows Error Reporting paper is its Appendix. The focus of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper is on explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER feature but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Appendix provides some useful DFIR tidbits about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER artifacts present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. These artifacts are important because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y show a program was running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and it eventually crashed. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, WER artifacts have given me more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r program execution artifacts located on a system. The WER artifacts outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Appendix include: event logs, WER folder, AppCompat.txt file, and WERInternalMetadata.xml file.

WER records an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event log when a crashed application is analyzed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r event log entry is recorded if information is sent to Microsoft. The Appendix shows what this event log looks like including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it contains. The event log also shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER folder is located at C:\Users\username\AppData\Local\Microsoft\Windows\WER.

The paper also explains what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompat.txt and WERInternalMetadata.xml files are while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Appendix shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files provide a wealth of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program that crashed such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent process, parent process command line, and process path. 

Additional about Windows Error Reports


I wanted to provide additional information about one WER artifact mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual Windows Error Report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. A Windows Error Report records a ton of information about a program that was running at some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past. To illustrate I'll walk through a WER for a piece of malware that crashed on a system. The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of a report and some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information shown is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program crashed and program was 32-bit (notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WOW64).



The next portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report starts to provide information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed program.


A little bit furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r down in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report you can see part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface message as shown below.


The report even recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program's loaded modules at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash. This section contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crashed application and in this instance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is highly suspicious (executable launching from a temp folder).


The end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last piece of useful information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash.


A search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppName in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analysis Search provides some leads about what malware was present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. It leads to VirusTotal reports and sandbox reports showing malware crashing such as this one.

WER's Relevance


WER provides more artifacts that show program execution. Overall this artifact is not as beneficial as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r program execution artifacts but once in a while malicious code will crash or cause an application to crash. When this occurs WER provides more context about what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable listed means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

1.  The program executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
2.  The program crashed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
3.  The data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER artifacts is information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it was running and crashed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.


  1. Great job, Corey! Great bit of valuable information. In a timeline, I'd look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WER report files at anytime "near" something being executed (such as during user login or application launch).

  2. WER is not only located in %UserProfile% sub folder, but 'ProgramData(All Users in XP) sub folder. It can also trace to event log.
    ref. http://forensic-proof.com/archives/4358

Post a Comment