Tr3Secure Collection Script Updated

Tuesday, October 28, 2014 Posted by Corey Harrell
On my to-do list for some time has been to add support back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure collection script to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Change Journal ($UsnJrnl). This is a quick post about this functionality being added back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection script.

The issue I faced was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. There are very few tools capable of collecting NTFS artifacts from live systems; even fewer for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl. The Tr3Secure script uses Joakim Schicht's tool RawCopy to collect files off of live systems. It is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few and - as far as I know - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only open source option. Rawcopy pulls files eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir $MFT record number or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path. Pulling NTFS artifacts requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT record number. The challenge is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl does not have a consistent $MFT record number like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r NTFS artifacts. For most scripting languages this wouldn't be an issue but Tr3Secure is a batch script. Batch scripting doesn't support storing a command's output into a variable. Translation: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is not an easy way in batch scripting to query cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl's $MFT record number, store it into a variable, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use that variable with RawCopy to collect it. This is why adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script has been and remained on my to-do list until now.

Joakim Schicht's ExtractUsnJrnl


Joakim Schicht does outstanding work producing DFIR tools and releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m open source. His Github site contains a wealth of tools. He even has a collection of tools for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection and parsing of NTFS artifacts. For those who aren't familiar with his work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I highly advise you take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (also his Google Code wiki page.) He recently released a new tool called ExtractUsnJrnl. The tool - in Joakim's words - does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"$J may be sparse, which would mean parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is just 00's. This may be a significant portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total data, and most tools will extract this data stream to its full size (which is annoying and a huge waste of disk space). This is where this tools comes in, as it only extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change journal. That way extraction obviously also goes faster. Why extract 20 GB when you might only need 200 MB?"

The tool not only collects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J alternate data stream but it only extracts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portion containing data. This not only saves space but it makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection faster; especially if pulling it over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire. The tool is command-line making it easy to script with. I updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure collection script to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ExtractUsnJrnl tool for grabbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl.

ExtractUsnJrnl in Action


ExtractUsnJrnl is really a cool tool so I wanted to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to highlight it. I performed a simple test. Collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J file with one tool (FTK Imager) to see how long it takes and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use ExtractUsnJrnl.

The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl from a 1TB solid state drive. The file size difference is significant; one file is 4.6GB while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is 36MB. Both tools were ran locally but ExtractUsnJrnl completed within seconds.


The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl from a 300GB removable drive. Again, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file sizes.


Some may be wondering why am I so focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting file size. The reason is trying to pull a 4.6GB file over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire from a remote system takes time. A lot of time if that remote system is in a location with a slow network link (think VPN users). By reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size (i.e. 36MB) makes it easier to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl both remotely and locally to an attached storage device.

The next test I ran was to parse both $UsnJrnl $J files to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 both contain around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same number of records. I said approximate because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drives were not write protected and changes may had been made between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collections. Due to this I evaluated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removable store device's NTFS Change Journal since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive had less activity than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solid state drive.

The image below shows UsnJrnl2Csv successfully parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J extracted with FTK Imager.



The image below shows UsnJrnl2Csv successfully parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J extracted with ExtractUsnJrnl. Notice how this $J file had significantly less records.


Lastly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two parsed $UsnJrnl $J files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removable media. Both outputs start at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file and end at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file.


Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Tr3Secure Collection Update


Adding support to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only update. The change log lists out all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m but I did want to highlight anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one. An additional menu option was added to only collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts. There are times where I want to create a quick timeline with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts to get more information about something. For example, an antivirus alert may had flagged a file but I'm interested in if anything else was dropped onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. In an instance like this, creating a timeline with both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT and $UsnJrnl can quickly answer this question. I've been using a different collection script to grab just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts but I decided to incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3secure script. The menu option now appears as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


Selecting option 5 will only preserve select files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT, $Logfile, and $UsnJrnl.

You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TR3Secure Data Collection Script from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following download site. The link is also posted along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right hand side of this blog towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top.


In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future I plan on doing a post or two  illustrating how targeted collections using scripts - such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3secure collection script - can significantly speed up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it takes to triage an alert or system.
Labels: ,
  1. Great update with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Change Journal !
    Thanks for sharing.

  2. Anonymous
  3. Anonymous

    so great. I used TZworks ntfs tools for obtaining usnjrnl but it is good to know of free software alternative.

  4. Anonymous

    Corey,

    First of all, thanks for contributing your script to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. Testing it today I ran into issues with portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script running RawCopy. I'm getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16 bit MS-DOS Subsystem error that goes something like " The NTVDM CPU has encountered an illegal instruction." Have you run into this before and do you have any idea what's causing it?

    Thanks in advance!

  5. Anonymous

    It would be great to have a help menu with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script so you know what options can be chosen when running it.

  6. @anon,

    I never came across that error before. I have used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script and RawCopy on numerous systems and have never seem cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error.

  7. @anon,

    I'll add putting in a menu to my to do list. It never crossed my mind since I figured people would just look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script with a text editor. Adding a menu would make things a lot easier.

  8. Anonymous

    @anon, @corey

    I added this portion of code (after line "set selection=%3") to add options "menu":

    ----- CODE START
    IF "%1" == "" goto :noargs
    IF "%2" == "" (
    :noargs
    echo USAGE %0 case_id output_drive_letter collection_type
    echo:
    echo Collection type 1 = Acquire RAM Image only
    echo Collection type 2 = Acquire RAM Image, pagefile.sys, hiberfil.sys
    echo Collection type 3 = Acquire Volatile and Non-Volatile Data
    echo Collection type 4 = Acquire RAM Image, Volatile and Non-Volatile Data
    echo Collection type 5 = Acquire All of Above
    echo DEFAULT Collection type 4 = Acquire RAM Image, Volatile and Non-Volatile Data
    echo:
    echo NOTE Start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script as ADMINISTRATOR directly from its folder.
    exit /b
    )
    ----- CODE END

    Just keep in mind that I modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script for my own needs so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbering for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original script has to be adjusted.

  9. Anonymous

    Hi Everyone, quick question. I'm seeing a ton of entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl that appear to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "file deleted/closed" attribute occurring in rapid succession of one anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r; only problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search warrant would have occurred. Question: would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pulling of an external hard drive connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host machine cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl entries to be captured as such? Thanks!

  10. @anon,

    That is something I haven't tested or heard about. You could determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer by running a test. Pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cable from a computer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change journal for deleted files.

Post a Comment