Showing posts with label categories. Show all posts
Showing posts with label categories. Show all posts

Layering Data

Monday, January 21, 2013 Posted by Corey Harrell 3 comments
Layering is defined as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action of arranging something into layers. There are various reasons to why data is layered but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important one is to show a more accurate picture about something. Each layer may contain different information so when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layers are combined all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information can be seen. Providing a more accurate picture about something even applies in Digital Forensics and Incident Response (DFIR). I saw its benefits when layering different artifacts showing similar information such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed software artifacts. A single artifact may not show all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software that is or was installed but looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from all artifacts provide a more accurate picture of what programs were on a computer. I have found layering data to be a powerful technique; from what programs executed to what files were accessed to what activity occurred on a system. I hope to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits to layering data through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eye of a timeline.

Layering Data in Action


Before diving into timelines I wanted to take a step back to first illustrate layering data. The best visual example of how layering data provides a more accurate picture of something is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way mapping software works. All layers contain information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same geographical location but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data each layer contains is different.

I wanted to use an example closer to home to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional information layering data in maps provides. When my wife and I were looking for a house to buy one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things we took into consideration was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime rate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 neighborhood. We didn’t want to end up in a rough neighborhood so we wanted additional information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 neighborhoods we were looking at. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no online crime maps where I live so I had to settle for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 City of Spokane, Washington Crime Map I found with a Google search. Let’s say my wife and I were looking at a loft in downtown Spokane located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red box on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 map.


Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime map I first wanted to know what burglaries occurred over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past month.


So far so good; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a few burglaries that occurred but none were inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red box. A month doesn’t provide an accurate picture; let’s see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistics for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year.


Adding this additional layer provides more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burglaries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area. Like most people, we are more worried about all crime as opposed to just one type of crime. Adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 all crime layer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 map provides even more information.


The new layer provides more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downtown area but adding anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r layer will provide more even more context. I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heat map layer as shown below.


The heat map layer now shows an accurate picture about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime rate around downtown Spokane where our imaginary loft is located. The loft is located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area that has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest concentration of crime. By layering data on top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 geographic location we were interested in would enable us to make a more informed decision about if we would actually want to live cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Please note: I only used Spokane since it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first crime map I saw on a Google search. I have no knowledge about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downtown area and it might be a great place to live.

Layering Data in Timelines


System timelines are a great way to illustrate layering data in DFIR. Artifacts can be organized into layers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n applied to a timeline as a group. The easiest way to see this is by looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination process I use. Below are a few of my examination steps:

        - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs ran on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
        - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto-start locations
        - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host-based logs
        - Examine file system artifacts

I tend to group artifacts togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r underneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination step cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y pertain to. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, I organize all artifacts based on categories that match my examination step. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files listed underneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examine file system artifacts step include: $MFT, $LogFile, $UsnJrnl, and $INDX files. When I want to know something about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I will examine all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts. I discussed this examination approach before when I wrote about how to obtain information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system (side note: I updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script and it automates my entire registry examination process). Harlan shared his thoughts about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usefulness of categorizing artifacts in his post There Are Four Lights: The Analysis Matrix. SANs released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir DFIR poster which organizes artifacts based on categories. In my opionion this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best technqiue when approahing an examination and to deomonstrate it I’ll use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Extracting ZeroAccess from NTFS Extended Attributes.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post I mentioned how ZeroAccess modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services.exe file so it loads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Extended Attributes. I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT with AnalyzeMFT. The services.exe file was timestomped using file system tunneling; I focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last MFT update which was 12/06/2012 22:18:06.


The $MFT by itself provides a wealth of information but it doesn’t provide any historical information. This is where layering data comes into play and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r NTFS artifacts. I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $LogFile with David Cowen’s Advanced NTFS Journal Parser public version and added it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline (check out his ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r post Happy new year, new post The NTFS Forensic Triforce to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts tie togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r).


The $Logfile provided a little more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services.exe $MFT record was last updated. The rows in blue shows a file was renamed followed by services.exe being created. Let’s continue layering data by adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl file. I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file with Tzwork’s Windows Journal Parser and added it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


The $UsnJrnl also shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services.exe file was renamed before it was created as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r changes made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s attributes.

Summary


The timeline only contained one layer of artifacts which were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts. Combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT, $LogFile, and $UsnJrnl provided more context about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services.exe file and how it came to be. Even more information could be obtained by adding more layers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline such as program execution and logging information. Layering data in DFIR should not be limited to timelines. Every artifact can be organized into categories and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 categories cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves can be treated as layers of information.