Showing posts with label jumplists. Show all posts
Showing posts with label jumplists. Show all posts

Linkz for Tools

Wednesday, August 15, 2012 Posted by Corey Harrell 2 comments
In this Linkz edition I’m mentioning write-ups discussing tools. A range of items are covered from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry to malware to jump lists to timelines to processes.

RegRipper Updates


Harlan has been pretty busy updating RegRipper. First RegRipper version 2.5 was released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were some changes to where Regripper is hosted along with some nice new plugins. Check out Harlan’s posts for all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information. I wanted to touch on a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updates though. The updates to Regripper included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to run directly against volume shadow copies and parse big data. The significance to parsing big data is apparent in his new plugin that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shim cache which is an awesome artifact (link up next). Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excellent addition to RegRipper is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellbags plugin since it parses Windows 7 shell bags. Harlan’s latest post Shellbags Analysis highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic significance to shell bags and why one may want to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contain. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are awesome updates; now one tool can be used to parse registry data when it used to take three separate tools. Not to be left out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community has been submitting some plugins as well. To only mention a few Hal Pomeranz provided some plugins to extract Putty and WinSCP information and Elizabeth Schweinsberg added plugins to parse different Run keys. The latest RR plugin download has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins submitted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. Seriously, if you use RegRipper and haven’t checked out any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se updates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what are you waiting for?

Shim Cache


Mandiant’s post Leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Compatibility Cache in Forensic Investigations explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic significance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Application Compatibility Database. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, Mandiant released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shim Cache Parser script to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appcompatcache registry key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive. The post, script, and information Mandiant released speaks for itself. Plain and simple, it rocks. So far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shim cache has been valuable for me on fraud and malware cases. Case in point, at times when working malware cases programs execute on a system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual program execution artifacts (such as prefetch files) doesn’t show it. I see this pretty frequently with downloaders which are programs whose sole purpose is to download and execute additional malware. The usual program execution artifacts may not show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program running but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shim cache was a gold mine. Not only did it reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downloaders executing but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information provided more context to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity I saw in my timelines. What’s even cooler than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shim cache? Well cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are now two different programs that can extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry.

Searching Virus Total


Continuing on with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware topic, Didier Stevens released a virustotal-search program. The program will search for VirusTotal reports using a file’s hash (MD5, SHA1, SHA256) and produces a csv file showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. One cool thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is it only performs hash searches against Virustotal so a file never gets uploaded. I see numerous uses for this program since it accepts a file containing a list of hashes as input. One way I’m going to start using virustotal-search is for malware detection. One area I tend to look at for malware and exploits are temporary folders in user profiles. It wouldn’t take too much to search those folders looking for any files with an executable, Java archive, or PDF file signatures. Then for each file found perform a search on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s hash to determine if VirusTotal detects it as malicious. Best of all, this entire process could be automated and run in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background as you perform your examination.

Malware Strings


Rounding out my linkz about malware related tools comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hexacorn blog. Adam released Hexdrive version 0.3. In Adam’s own words cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept behind Hexdrive is to “extract a subset of all strings from a given file/sample in order to reduce time needed for finding ‘juicy’ stuff – meaning: any string that can be associated with a) malware b) any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r category”. Using Hexdrive makes reviewing strings so much easier. You can think of it as applying a filter across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings to initially see only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant ones typically associated with malware. Then afterwards all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings can be viewed using something like Bintext or Strings. It’s a nice data reduction technique and is now my first go to tool when looking at strings in a suspected malicious file.

Log2timeline Updates


Log2timeline has been updated a few times since I last spoke about it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog. The latest release is version 0.64. There have been quite a few updates ranging from small bug fixes to new input modules to changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of some modules. To see all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updates check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changelog.

Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time when I see people reference log2timeline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are creating timelines using eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default module lists (such as winxp) or log2timeline-sift. Everyone does things differently and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing wrong with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches. Personally, both approaches doesn’t exactly meet my needs. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems I encounter have numerous user profiles stored on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m which mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se profiles contain files with timestamps log2timeline extracts. Running a default module list (such as winxp) or log2timeline-sift against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profiles is an issue for me. Why should I include timeline data for all user accounts instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one or two user profiles of interest? Why include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet history for 10 accounts when I only care about one user? Not only does it take additional time for timeline creation but it results in a lot more data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what I need thus slowing down my analysis. I take a different approach; an approach that better meets my needs for all types of cases.

I narrow my focus down to specific user accounts. I eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r confirm who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person of interest is which tells me what user profiles to examine. Or I check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile timestamps to determine which ones to focus on. What exactly does this have to do with log2timeline? The answer lies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –e switch since it can exclude files or folders. The –e switch can be used to exclude all user profiles I don’t care about. There’s 10 user profiles and I only care about 2 profiles but I only want to run one log2timeline command. No problem if you use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –e switch. To illustrate let’s say I’m looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Explorer history on a Windows 7 system with five user profiles: corey, sam, mike, sally b, and alice. I only need to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser history for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corey user account but I don’t want to run multiple log2timeline commands. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –e switch comes into play as shown below:

log2timeline.pl -z local -f iehistory -r -e Users\\sam,Users\\mike,"Users\\sally b",Users\\alice,"Users\\All Users" -w timeline.csv C:\

The exclusion switch eliminates anything containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch. I could have used sam instead of Users\\sam but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I might miss some important files such as anything containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text “sam”. Using a file path limits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data that is skipped but will still eliminate any file or folder that falls within those user profiles (actually anything falling under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C root directory containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text Users\username). Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 double back slashes (\\) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quotes; for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command to work properly this is needed. What’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command’s end result? The Internet history from every profile stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Users folder except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sam, mike, sally b, alice, and all user profiles is parsed. I know most people don’t run multiple log2timeline commands when generating timelines since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y only pick one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default modules list. Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same scenario where I’m only interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corey user account on a Windows 7 box check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command below. This will parse every Windows 7 artifact except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excluded user profiles (note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command will impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem metadata for those accounts if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT is parsed as well).

log2timeline.pl -z local -f win7 -r -e Users\\sam,Users\\mike,"Users\\sally b",Users\\alice,"Users\\All Users" -w timeline.csv C:\

The end result is a timeline focused only on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts of interest. Personally, I don't use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default module lists in log2timeline but I wanted to show different ways to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -e switch.

Time and Date Website


Daylight savings time does not occur on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same day each year. One day I was looking around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet for a website showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact dates when previous daylight savings time changes occurred. I came across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeanddate.com website. The site has some cool things. There’s a converter to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date and time from one timezone to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. There’s a timezone map showing where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various timezones are located. A portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site even explains what Daylight Savings Time is. The icing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cake is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world clock where you can select any timezone to get additional information including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 historical dates of when Daylight Savings Time occurred. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 historical information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Eastern Timezone for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time period from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year 2000 to 2009. This will be a useful site when you need to make sure that your timestamps are properly taken into consideration Daylight Savings Time.

Jump Lists


The day has finally arrived; over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months I’ve been seeing more Windows 7 systems than Windows XP. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 operating system are playing a greater role in my cases. One of those artifacts is jump lists and Woanware released a new version of Jumplister which parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This new version has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to parse out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DestList data and performs a lookup on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppID.

Process, Process, Process


Despite all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 awesome tools people release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won’t be much use if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn’t a process in place to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I could buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best saws and hammers but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would be worthless to me building a house since I don’t know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process one uses to build a house. I see digital forensics tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same light and in hindsight maybe I should have put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se links first. Lance is back blogging over at ForensicKB and he posted a draft to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Process Lifecycle. The lifecycle covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire digital forensic process from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Preparation steps to triage to imaging to analysis to report writing. I think this one is a gem and it’s great to see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs outlining a digital forensic process to follow. If you live under a rock cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this next link may be a surprise but a few months back SANS released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Digital Forensics and Incident Response poster. The poster has two sides; one outlines various Windows artifacts while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs process to find malware. The artifact side is great and makes a good reference hanging on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wall. However, I really liked seeing and reading about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs malware detection process since I’ve never had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir courses or read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir training materials. I highly recommend for anyone to get a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poster (paper and/or electronic versions). I’ve been slacking updating my methodology page but over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend I updated a few things. The most obvious is adding links to my relevant blog posts. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r change and maybe less obvious is I moved around some examination steps so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are more efficient for malware cases. The steps reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest process I’ve found yet to not only find malware on a system but to determine how malware got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Just an FYI, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology is not only limited to malware cases since I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process for fraud and acceptable use policy violations.

Ripping VSCs – Tracking User Activity

Tuesday, March 13, 2012 Posted by Corey Harrell 5 comments
For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months I have been discussing a different approach to examining Volume Shadow Copies (VSCs). I’m referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach as Ripping VSCs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two different methods to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Practitioner and Developer Methods. The multipart Ripping VSCs series is outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Introduction post. On Thursday (03/15/2012) I’m doing a presentation for a DFIROnline Meet-up about tracking user activity through VSCs using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practitioner method. The presentation is titled Ripping VSCs – Tracking User Activity and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide deck can be found on my Google sites page.

I wanted to briefly mention a few things about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides. The presentation is meant to compliment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I’ve been blogging about in regards to Ripping VSCs. In my Ripping VSCs posts I outlined why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach is important, how it works, and examples showing anyone can start applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir casework. I now want to put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique into context by showing how it might apply to an examination. Numerous types of examinations are interested in what a user was doing on a computer so talking about tracking someone’s activities should be applicable to a wider audience. To help explain put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach into context I created a fake fraud case study to demonstrate how VSCs provide a more complete picture about what someone did on a computer. The presentation will be a mixture of slides with live demos against a live Windows 7 system. Below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demos I have lined up (if I am short on time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last demo is getting axed):

        - Previewing VSCs with Shadow Explorer
        - Listing VSCs and creating symbolic links to VSCs using vsc-parser
        - Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link files in a user profile across VSCs using lslnk-directory-parse2.pl
        - Parsing Jump Lists in a user profile across VSCs using Harlan’s jl.pl
        - Extracting a Word document’s metadata across VSCs using Exiftool
        - Extracting and viewing a Word document from numerous VSCs using vsc-parser and Microsoft Word

I’m not covering everything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides but I purposely added additional information so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides could be used as a reference. One example is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch scripts. Lastly, I’m working on my presentation skills so please lower your expectations. :)

Microsoft Word Jump List Tidbit

Sunday, March 11, 2012 Posted by Corey Harrell 12 comments
Performing examinations on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 (and possibly 8) operating systems is going to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm. In anticipation of this occurring, I’m preparing myself by improving my processes, techniques, and knowledge about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts found on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se operating systems. One artifact ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs brought to my attention but I never tested until recently are Jump Lists (Harlan has an excellent write-up about Jumplist Analysis). I wanted to share a quick tidbit about Microsoft Word’s Jump List.

I knew Jump Lists were a new artifact in Windows 7 which contain information about a user’s activity on a system. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user activity information would resemble something similar to link files showing what files were accessed as well as timestamps. I didn’t fully realize how much more information may be available about a user’s activity in Jump Lists until I started using Harlan’s jl.pl script included with WFA 3/e (my WFA 3/e five star review can be found here). I ran a simple test. Create a Word document and see what information jl.pl parses from Word’s Jump List located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AutomaticDestinations folder. The following is a snippet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output:

C:\Export\jumplist-research\AutomaticDestinations\adecfb853d77462a.automaticDestinations-ms

Thu Mar 8 02:20:50 2012 C:\fake-invoice.docx
Thu Mar 8 02:17:20 2012 C:\logo.png
Thu Mar 8 02:17:03 2012 C:\Users\test\AppData\Roaming\Microsoft\Templates
C:\Users\test\AppData\Roaming\Microsoft\Templates\TP030002465.dotx

Now let’s breakdown cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output above. I identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Word 2007 Jump List (adecfb853d77462a.automaticDestinations-ms) using the list of Jump List Ids on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Wiki. The last entry shows I accessed a document called fake-invoice.docx at 02:20:50 on 03/08/2012. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two entries contain information that was previously not available when examining link files. The second entry shows I used Microsoft Word to access an image called logo.png 30 seconds before accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake-invoice.docx document. In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third entry shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing I accessed was a Microsoft Office template. The recorded activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jump List shows exactly how I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document. I first selected a template for an invoice and made a few changes. To make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 invoice look real I imported a company’s image before I saved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time at 02:20:50.

When analyzing user activity prior to Windows 7 we could gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a lot of information about how a document was created. We could use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to try to show how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document was created but it wasn’t like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 play by play found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jump List. Microsoft Word records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files imported into a document and this information may be useful for certain types of cases. For me this information is going to be helpful on financial cases where templates are used to create fraudulent documents. Not every Jump List exhibits this behavior though. I tested something similar with PowerPoint and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following snippet shows what was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jump List.

C:\Export\jumplist-research\AutomaticDestinations\f5ac5390b9115fdb.automaticDestinations-ms

Thu Mar 8 02:31:03 2012 C:\Users\Public\Videos\Sample Videos
Thu Mar 8 02:30:32 2012 C:\Users\Public\Pictures\Sample Pictures
Thu Mar 8 02:27:46 2012 C:\Users\test\Desktop
C:\Users\test\Desktop\Presentation1.pptx

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output shows, PowerPoint only records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objects imported down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder level. The entries don’t show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video and image’s filenames I added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation. However, Microsoft Word records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filenames and this is something to be aware of going forward because it provides more information about what a user has been doing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program.

Nothing ground breaking but just something I noticed while testing.
Labels: ,