skip to main |
skip to sidebar
Friday, June 29, 2012
Posted by
Corey Harrell
I recently had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs Digital Forensics and Incident Response summit in Austin Texas. The summit was a great con; from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outstanding presentations to networking with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. I gave a SANs 360 talk about my technique for finding fraudulent word documents (I previously gave a preview about my talk). I wanted to release my slide deck for anyone who wanted to use it as a reference before my paper is completed. You can grab it from my Google sites page listed as “SANs 360 Detect Frauduelent Word Documents.pdf”.
For those who were unable to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summit can still read all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations. SANS updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Community Summit Archives to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensics and Incident Response Summit 2012. I highly recommend checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work shared by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs; a lot of it was pretty amazing.
Wednesday, May 16, 2012
Posted by
Corey Harrell
Anyone who looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topics I discuss on my blog may not easily see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of cases I frequently work at my day job. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part my blog is a reflection of my interests, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topics I’m trying to learn more about, and what I do outside of my employer. As a result, I don’t blog much about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud cases I support but I’m ready to share a technique I’ve been working on for some time.
Next month I’m presenting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs Forensic and Incident Response Summit being held in Austin Texas. The summit dates are June 26 and 27. I’m one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs 360 slot and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of my talk is “Finding Fraudulent Word Documents in 360 Seconds” (here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agenda). My talk is going to quick and dirty about a technique I honed last year to find fraudulent documents. I’m writing a more detailed paper on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique as well as a query script to automate finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se documents but my presentation will cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamentals. Specifically, what I mean by fraudulent documents, types of frauds, Microsoft Word metadata, Corey’s guidelines, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique in action. Here’s a preview about what I hope to cover in my six minutes (subject to change once I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides and figure out my timing).
What exactly are fraudulent documents? You need to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two words separately to see what I’m referring to. One definition for fraudulent is “engaging in fraud; deceitful” while a definition for document is “a piece of written, printed, or electronic matter that provides information or evidence or that serves as an official record”. What I’m talking about is electronic matter that provides information or serves as an official record while engaging in fraud. In easier terms and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I describe it: electronic documents providing fake financial information. There are different types of fraud which means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are different types of fraudulent documents. However, my technique is geared towards finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electronic documents used to commit purchasing fraud and bid rigging.
There are a few different ways cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se frauds can be committed but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when Microsoft Word documents are used to provide fake information. One example is an invoice for a product that was never purchased to conceal misappropriated money. As most of us know electronic files contain metadata and Word documents are no different. There are values within Word documents’ metadata that provide strong indicators if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document is questionable. I did extensive testing to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values change based on different actions taken against a document (Word versions 2000, 2003, and 2007). My testing showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata are consistent based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action. For example, if a Word document is modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n specific values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata changes while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r values remain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.
I combined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I learned from my testing with all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different fraudulent documents I’ve examined and I noticed distinct patterns. These patterns can be leveraged to identify potential fraudulent documents among electronic information. I’ve developed some guidelines to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se patterns in Word documents’ metadata. I’m not discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guidelines in this post since I’m saving it for my #DFIRSummit presentation and my paper. The last piece is tying everything togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by doing a quick run through about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique can quickly find fraudulent documents for a purchasing fraud. Something I’m hoping to include is my current work on how I’m trying to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique using a query script I’m writing and someone else’s work (I’m not mentioning who since it's not my place).
I’m pretty excited to finally have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to go to my first summit and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s a great lineup of speakers. I was half joking on Twitter when I said it seems like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR Mecca. I said half because it’s pretty amazing to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 who else will be attending.
Sunday, March 11, 2012
Posted by
Corey Harrell
Performing examinations on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 (and possibly 8) operating systems is going to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm. In anticipation of this occurring, I’m preparing myself by improving my processes, techniques, and knowledge about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts found on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se operating systems. One artifact ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs brought to my attention but I never tested until recently are Jump Lists (Harlan has an excellent write-up about Jumplist Analysis). I wanted to share a quick tidbit about Microsoft Word’s Jump List.
I knew Jump Lists were a new artifact in Windows 7 which contain information about a user’s activity on a system. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user activity information would resemble something similar to link files showing what files were accessed as well as timestamps. I didn’t fully realize how much more information may be available about a user’s activity in Jump Lists until I started using Harlan’s jl.pl script included with WFA 3/e (my WFA 3/e five star review can be found here). I ran a simple test. Create a Word document and see what information jl.pl parses from Word’s Jump List located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AutomaticDestinations folder. The following is a snippet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output:
C:\Export\jumplist-research\AutomaticDestinations\adecfb853d77462a.automaticDestinations-ms
Thu Mar 8 02:20:50 2012 C:\fake-invoice.docx
Thu Mar 8 02:17:20 2012 C:\logo.png
Thu Mar 8 02:17:03 2012 C:\Users\test\AppData\Roaming\Microsoft\Templates
C:\Users\test\AppData\Roaming\Microsoft\Templates\TP030002465.dotx
Now let’s breakdown cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output above. I identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Word 2007 Jump List (adecfb853d77462a.automaticDestinations-ms) using the list of Jump List Ids on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Wiki. The last entry shows I accessed a document called fake-invoice.docx at 02:20:50 on 03/08/2012. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two entries contain information that was previously not available when examining link files. The second entry shows I used Microsoft Word to access an image called logo.png 30 seconds before accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake-invoice.docx document. In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third entry shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing I accessed was a Microsoft Office template. The recorded activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jump List shows exactly how I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document. I first selected a template for an invoice and made a few changes. To make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 invoice look real I imported a company’s image before I saved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time at 02:20:50.
When analyzing user activity prior to Windows 7 we could gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a lot of information about how a document was created. We could use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to try to show how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document was created but it wasn’t like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 play by play found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jump List. Microsoft Word records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files imported into a document and this information may be useful for certain types of cases. For me this information is going to be helpful on financial cases where templates are used to create fraudulent documents. Not every Jump List exhibits this behavior though. I tested something similar with PowerPoint and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following snippet shows what was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jump List.
C:\Export\jumplist-research\AutomaticDestinations\f5ac5390b9115fdb.automaticDestinations-ms
Thu Mar 8 02:31:03 2012 C:\Users\Public\Videos\Sample Videos
Thu Mar 8 02:30:32 2012 C:\Users\Public\Pictures\Sample Pictures
Thu Mar 8 02:27:46 2012 C:\Users\test\Desktop
C:\Users\test\Desktop\Presentation1.pptx
As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output shows, PowerPoint only records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objects imported down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder level. The entries don’t show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video and image’s filenames I added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation. However, Microsoft Word records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filenames and this is something to be aware of going forward because it provides more information about what a user has been doing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program.
Nothing ground breaking but just something I noticed while testing.
Wednesday, June 8, 2011
Posted by
Corey Harrell
….. Or more specifically why is Microsoft Office metadata what it is?
Microsoft Office documents contain metadata that may be relevant to a digital forensic examination. The metadata may show when a file was created, modified, printed, or what user accounts were used to perform those actions. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have already researched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata in Microsoft Office 2003 and 2007 documents including providing programs to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-ups are: Kristinn Gudjonsson’s Office 2007 metadata post, and Lance Muller’s Office Metadata EnScript & Updated Office 2007 Metadata EnScript posts. I was interested in understanding how different actions taken against a Microsoft Office document affect its metadata.
To help show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevance of Office documents’ metadata I included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata from one of my test Word 2007 documents. Usually I manual examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in metadata on an as needed basis but I thought for this post it would be cleaner to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in report format. The text below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from Kristinn’s read_open_xml_win.pl script ran against a test Word document. The File Metadata section shows when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created, modified, printed, and what user accounts were used to perform those actions. Did you notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last print date/time (2011-05-27T19:09:00Z) occurred one minute before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was even created (2011-05-27T19:10:00Z)? I’ll touch on this later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post which is why I pointed it out.
Document name: E:\office metadata testing\word 2007\Xp-2007-1sp.docx
Date:
--------------------------------------------------------------------------
Application Metadata
--------------------------------------------------------------------------
Template = Normal.dotm
TotalTime = 2
Pages = 1
Words = 1
Characters = 9
Application = Microsoft Office Word
DocSecurity = 0
Lines = 1
Paragraphs = 1
ScaleCrop = false
Company = Test-lab
LinksUpToDate = false
CharactersWithSpaces = 9
SharedDoc = false
HyperlinksChanged = false
AppVersion = 12.0000
--------------------------------------------------------------------------
File Metadata
--------------------------------------------------------------------------
title =
subject =
creator = test-2007
keywords =
description =
lastModifiedBy = test-2007
revision = 2
lastPrinted = 2011-05-27T19:09:00Z
created = 2011-05-27T19:10:00Z
modified = 2011-05-27T19:10:00Z
Usernames in Microsoft Office Metadata
Before looking into how different actions against a Microsoft Office document affect its metadata I think it is useful to know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usernames reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creator and modifiedby attributes. The usernames are not populated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows registry containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name to use.
When Office 2003 and 2007 is installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is prompt asking for a user name and company. Those fields are already prepopulated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information entered when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system is installed which is located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion (thanks Greg Kelly for this info). The prompt gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user an opportunity to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name or company or to leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fields with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information entered during OS installation.
There is a registry key containing what user name and company was used when Microsoft Office was installed. To locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office program’s GUID must first be determined and this Microsoft article explains how to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUID. The GUID of Microsoft Office programs I tested were 9040110900063D11C8EF10054038389C for Microsoft Office Professional Edition 2003 and 00002109110000000000000000F01FEC for Microsoft Office Professional Plus 2007. The registry key containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office installation is: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\{GUID}\InstallProperties. The regowner and regcompany values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and company entered during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office installation.
The usernames and company information reflected in Microsoft Office documents’ metadata are pulled from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s NTUSER.DAT hive performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions. The names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two values containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key are UserName and Company. The location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key varies depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Microsoft Office but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paths below show where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key is located for Office 2007 and 2003.
Microsoft Office 2007: HCU\Software\Microsoft\Office\Common\UserInfo
Microsoft Office 2003: HCU\Software\Microsoft\Office\11.0\Common\UserInfo
Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question I found myself asking is how are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserName and Company values initially populated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo key? I previously explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and company during Office installation because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entered information is used to populate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that installed Microsoft Office. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that are using Microsoft Office but didn’t install it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values are populated a little different. The first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launches an Office application a dialog box appears asking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user name and initials. The dialog box is prepopulated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 currently logged on user. The information entered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dialog box is what results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 username value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's UserInfo key while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company value comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information entered when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office was installed.
The metadata shown above now has a little more meaning. The username test-2007 is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that created and modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document but is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key. The name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo registry key can be changed at any point but any changes will alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s UserInfo key should be taken into consideration when examining metadata. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key last write time is before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates/times in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata (create, modify, or print) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata reflects what is currently in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s NTUSER.DAT hive. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key last write time is after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata timestamps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what is currently in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s NTUSER.DAT hive may not be what was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action was taken against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office document (did I just hear someone whisper check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points or volume shadow copies for registry files).
How Actions Change Microsoft Office Metadata
The testing I conducted consisted of creating one document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n performing different actions against copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata changed. I only ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests against documents created by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following programs: Word 2007, Word 2003, Excel 2007, and Excel 2003. If I test ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Office Programs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I’ll update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post to reflect it. The observed changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents’ metadata were consistent across all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different versions of Office but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were some minor differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different file types. The Excel metadata differed from Word in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following ways: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no revision number, some timestamps contained seconds, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Save As function didn’t change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents’ creation date.
I’m providing charts of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata was affected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different actions taken against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents. The chart has information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parencá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis to show what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata values were for one set of documents (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps don’t include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date since it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents).
Here’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Office Word Metadata Changes chart and Microsoft Office Excel Metadata Changes chart.
The charts show how different actions against a Microsoft Office document affect its metadata. There are quite a few takeaways but I’m only going to highlight a few.
* The metadata create date/time reflects when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office program was opened as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document was saved
* Copying an Office document doesn’t changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata
* The metadata print date/time only changes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document is saved after it is printed
* The Save As function results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Word metadata create and modification date/times being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification date/time only changes in Excel metadata
Now let’s go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata I posted above. Do you remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last print date (2011-05-27T19:09:00Z) occurred one minute before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was even created (2011-05-27T19:10:00Z)? There was one action taken against a Microsoft Word document that produced this pattern in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata. The action was printing a document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Save As function to create a new document. The metadata shown above is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly created document.
Hopefully, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sharing of my test results can help ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who are pondering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question “why is Microsoft Office metadata what it is”.
Posts
