Journey Into Incident Response

Coursera's mission is to "provide universal access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's best education." Judging by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir extensive course listing it appears as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are delivering on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 courses are free for anyone to take. I knew about Coursera for some time but only recently did I take one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir courses (Python Programming for Everybody.) In this post I'm sharing some thoughts about my Coursera experience, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course I took, and how I immediately used what I learned.

Why Python? Why Coursera?

Python is a language used often in information security and DFIR. Its usage is varied from simple scripts to extensive programs. My interest in Python was modest; I wanted to be able to modify (if needed) Python tools I use and to write automation scripts to make my job easier. Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wealth of resources available to learn Python, I wanted a more structured environment to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics. An environment that leverages lectures, weekly readings, and weekly assignments to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic. My plan was to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n proceed exploring how Python applies to information security using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books Black Hat Python and Violent Python. Browsing through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cousera offerings I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course Programming for Everybody (Python). The course “aims to teach everyone to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of programming computers using Python. The course has no pre-requisites and avoids all but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplest macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matics.” Teaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics in a span of 10 weeks without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional learning to code by macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matics; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course was exactly what I was looking for.

Programming for Everybody (Python)

I’m not providing a full fledge course review but I did want to provide some thoughts on this course. The course itself is “designed to be a first programming course using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular Python programming language.” This is important and worth repeating. The course is designed to be someone’s first programming course. If you already know how to code in a different language cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this course isn’t for you. I didn’t necessary fit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target audience since I know how to script in both batch and Perl. However, I knew this was a beginner’s course going in so I expected things would move slowly. I could easily overlook this one aspect since my interest was to build a foundation in Python. The course leveraged some pretty cool technology for an online format. The recorded lectures used a split screen between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professor, his slides, and his ability to write on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides as he taught. The assignments had an auto grader where students complete assignments by executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir programs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grader confirms if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program was written correctly. The text book is Python for Informatics: Exploring Information, which focuses more on trying to solve data analysis problems instead of math problems like traditional programming texts. The basics covered include: variables, conditional code, functions, loops/iteration, strings, files, lists, dictionaries, tuples, and regular expressions.

Overall, spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 10 weeks completing this course was time well spent. Sure, at times I wish times moved faster but I did achieve what I wanted to. Exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Python language so I can have a foundation prior to exploring how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 language applies to security work. The last thing I wanted to mention about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course, which I highly respect. The entire course from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 textbook to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lecture videos is licensed under a Creative Common Attribution making it available for pretty much anyone to use.

Applying What I Learned

The way I tend to judge courses, trainings, and books is by how much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content can be applied to my work. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curriculum is not relevant to one’s work than what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point in wasting time completing it? It’s just my opinion but judging courses and trainings in this manner has proven to be effective. To illustrate this point as it applies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Python Programming for Everybody course I’m showing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics I learned solved a recent issue. One issue I was facing is how to automate parsing online content and consuming it in a SIEM. This is a typical issue for those wishing to use open source threat intelligence feeds. One approach is to manually parse it in to a machine readable form that your SIEM and tools can use. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and a better approach is to automate as much as possible through scripting. I took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 later approach by creating a simple script to automate this process. For those interested in Python usage in DFIR should check out David Cowen's Automating DFIR series or Tom Yarrish's Year of Python series.

There are various open source threat intelligence feeds one can incorporate in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise detection program. Kyle Maxwell’s presentation Open Source Threat Intelligence touched on some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For this post, I’m only discussing one and it was something I was interested in knowing how to do it. Tor is an anonymity service that enables people to hide where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are coming from as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y surf cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Tor has a lot of legitimate uses and just because someone is using it does not mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are doing something wrong. Being able to flagged users connecting to your network from Tor can add context to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQL injection IDS alert a false positive? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQL injection IDS alert coming from someone who is also using Tor a false positive? See what I mean by adding context. This was an issue that needed a Python solution (or at least a solution where I could apply what I learned.)

To accomplish adding Tor context to activity in my SIEM I first had to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP addresses for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tor exit nodes. Users using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exit node cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are going through. The Tor Project FAQs provides an answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question "I want to ban cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tor network from my service." After trying to discourage people from blocking two options are presented by using eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tor exit relay list or a DNS-based list. The Tor exit relay list webpage has a link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current list of exit addresses. The screenshot below shows how this information is presented:

Now we’ll explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script I wrote to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tor exit node IP addresses into a form my SIEM can consume, which is a text file with one IP address per line. The first part –as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below - imports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 urllib2 module that is used to open URLs. This part wasn’t covered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course but wasn’t too difficult to figure out by Googling. The last line in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image creates a dictionary called urls. A dictionary associates a key with a value and in this case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key is tor-exit with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tor exit relay list. Leveraging a dictionary allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script to be extended to support ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r feeds without having to make significant changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script.


The next portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script as shown below is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first for loop occurs. The for loop will process each entry (key and value pair) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 urls dictionary. The try and except is a method to account for errors such as a URL not working. Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 try section cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL is opened in to a variable named file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it is read in to a variable named data using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 urllib2 readlines() option. Lastly, a file is created to store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key value and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file handle is named output.


The next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script –image below - is specific to each threat feed being parsed. This accounts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way threat feeds present data. The if statement checks to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key matches “tor-exit” and if it does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second for loop executes. This for loop reads each line in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data variable (hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data listed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL.) As each line is read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is additional actions performed such as skipping blank lines and any line that doesn’t start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string “ExitAddress.” For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines that do start with this string, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line is broken up in to a list named words. Basically, it breaks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line up into different values by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 space as a separator. The IP address is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second value so it is contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second index location in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words list (words[1]). The IP address is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n written to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output file and after each line is processed a message is displayed saying processing completed.


The screenshot below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script running.


The end result is a text file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tor exit IP addresses with one address per line. This text file can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be automatically consumed by my SIEM or I can use it when analyzing web logs to flag any activity involving Tor.

It’s Basic but Works

Harlan recently said in his Blogging post “it doesn't matter how new you are to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, or if you've been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry for 15 years...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's always something new that can be shared, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it's data, or even just a perspective.” My hope with this post is it would be useful to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who are not programmers but want to learn Python. Coursera is a good option that can teach you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics. Even just learning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics can extend your DFIR capabilities as demonstrated by my simple script.

On my to-do list for some time has been to add support back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure collection script to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS Change Journal ($UsnJrnl). This is a quick post about this functionality being added back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection script.

The issue I faced was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. There are very few tools capable of collecting NTFS artifacts from live systems; even fewer for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl. The Tr3Secure script uses Joakim Schicht's tool RawCopy to collect files off of live systems. It is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few and - as far as I know - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only open source option. Rawcopy pulls files eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir $MFT record number or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path. Pulling NTFS artifacts requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT record number. The challenge is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl does not have a consistent $MFT record number like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r NTFS artifacts. For most scripting languages this wouldn't be an issue but Tr3Secure is a batch script. Batch scripting doesn't support storing a command's output into a variable. Translation: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is not an easy way in batch scripting to query cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl's $MFT record number, store it into a variable, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use that variable with RawCopy to collect it. This is why adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script has been and remained on my to-do list until now.

Joakim Schicht's ExtractUsnJrnl

Joakim Schicht does outstanding work producing DFIR tools and releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m open source. His Github site contains a wealth of tools. He even has a collection of tools for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection and parsing of NTFS artifacts. For those who aren't familiar with his work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I highly advise you take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (also his Google Code wiki page.) He recently released a new tool called ExtractUsnJrnl. The tool - in Joakim's words - does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"$J may be sparse, which would mean parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is just 00's. This may be a significant portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total data, and most tools will extract this data stream to its full size (which is annoying and a huge waste of disk space). This is where this tools comes in, as it only extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change journal. That way extraction obviously also goes faster. Why extract 20 GB when you might only need 200 MB?"

The tool not only collects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J alternate data stream but it only extracts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portion containing data. This not only saves space but it makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection faster; especially if pulling it over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire. The tool is command-line making it easy to script with. I updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure collection script to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ExtractUsnJrnl tool for grabbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl.

ExtractUsnJrnl in Action

ExtractUsnJrnl is really a cool tool so I wanted to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to highlight it. I performed a simple test. Collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J file with one tool (FTK Imager) to see how long it takes and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use ExtractUsnJrnl.

The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl from a 1TB solid state drive. The file size difference is significant; one file is 4.6GB while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is 36MB. Both tools were ran locally but ExtractUsnJrnl completed within seconds.


The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl from a 300GB removable drive. Again, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file sizes.


Some may be wondering why am I so focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting file size. The reason is trying to pull a 4.6GB file over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire from a remote system takes time. A lot of time if that remote system is in a location with a slow network link (think VPN users). By reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size (i.e. 36MB) makes it easier to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl both remotely and locally to an attached storage device.

The next test I ran was to parse both $UsnJrnl $J files to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 both contain around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same number of records. I said approximate because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drives were not write protected and changes may had been made between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collections. Due to this I evaluated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removable store device's NTFS Change Journal since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive had less activity than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solid state drive.

The image below shows UsnJrnl2Csv successfully parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J extracted with FTK Imager.



The image below shows UsnJrnl2Csv successfully parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl $J extracted with ExtractUsnJrnl. Notice how this $J file had significantly less records.


Lastly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two parsed $UsnJrnl $J files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removable media. Both outputs start at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file and end at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Tr3Secure Collection Update

Adding support to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only update. The change log lists out all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m but I did want to highlight anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one. An additional menu option was added to only collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts. There are times where I want to create a quick timeline with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts to get more information about something. For example, an antivirus alert may had flagged a file but I'm interested in if anything else was dropped onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. In an instance like this, creating a timeline with both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT and $UsnJrnl can quickly answer this question. I've been using a different collection script to grab just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts but I decided to incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3secure script. The menu option now appears as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


Selecting option 5 will only preserve select files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT, $Logfile, and $UsnJrnl.

You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TR3Secure Data Collection Script from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following download site. The link is also posted along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right hand side of this blog towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top.


In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future I plan on doing a post or two  illustrating how targeted collections using scripts - such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3secure collection script - can significantly speed up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it takes to triage an alert or system.

Triage is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assessment of a security event to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a security incident, its priority, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for escalation. As it relates to potential malware incidents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of triaging may vary. A few potential questions triaging may address are: is malware present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, how did it get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and what was it trying to accomplish. To answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions should not require a deep dive investigation tying up resources and systems. Remember, someone needs to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question to conduct business and telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to take a 2 to 4 hour break unnecessarily will not go over well. Plus, taking too much time to triage may result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business side not being happy (especially if it occurs often), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT department wanting to just re-image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and  move on, and you limit your ability to look in to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security events and issues. In this post I'm demonstrating one method to triage a system for a potential malware incident in less than 30 minutes.

The triage technique and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to use is something I've discussed before. I laid out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique in my presentation slides Finding Malware Like Iron Man. The presentation also covered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools but so has my blog. The Unleashing auto_rip post explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper auto_rip script and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script Reloaded outlines a script to collect data thus avoiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire hard drive. The information may not be new (except for one new artifact) but I wanted to demonstrate how one can leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique and tools I discussed to quickly triage a system suspected of being infected.

The Incident

As jIIr is my personal blog, I'm unwilling to share any casework related to my employer. However, this type of sharing isn't even needed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demonstration can be conducted on any infected system. In this instance I purposely infected a system using an active link I found on URLQuery. Infecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in this manner is a common way systems are infected everyday which makes this simulation worthwhile for demonstration purposes.

Responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System

There are numerous ways for a potential malware incident to be detected. A few include IDS alerts, antivirus detections, employees reporting suspicious activity, or IT discovering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident while trying to resolve a technical issue. Regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection mechanism, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things that have to be done is to collect data for it to be analyzed. The data is not only limited to what is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system since network logs can provide a wealth of information as well. My post’s focus is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's data since I find it to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most valuable for triaging malware incidents.

Leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data of interest from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The command below assigns a case number of 9-20, collects both volatile and non-volatile data (default option), and stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive letter F (this can be a removable drive or a mapped drive).

tr3-collect.bat 9-20 F

The second script to leverage is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TR3Secure Data Collection Script for a User Account to collect data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile of interest. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it's fairly easy to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile of interest. The detection mechanism may indicate a user (i.e. antivirus logs), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system may have reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT folks may know, and lastly whoever is assigned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer probably contributed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware infection. The command below collects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator and stores it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r collected data.

tr3-collect-user.bat F:\Data-9-20\WIN-556NOJB2SI8-09.20.13-11.40 administrator

The benefit to running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above collection scripts over taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire hard drive is twofold. First, collection scripts are faster than removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive and possibly imaging it. Second, it limits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a confirmation about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware incident.

Triaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System

For those who haven't read my presentation slides Finding Malware Like Iron Man I highly recommend you do so to fully understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage technique and what to look for. As a reminder cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage technique involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following analysis steps:

        - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Programs Ran on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System
        - Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Auto-start Locations
        - Examine File System Artifacts

When completing those steps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few things to look for to identify artifacts associated with a malware infection. These aren't IOCs but artifacts that occur due to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware characteristics or malware running in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows environment. Below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware indicators to look for as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis steps are performed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

        - Programs executing from temporary or cache folders
        - Programs executing from user profiles (AppData, Roaming, Local, etc)
        - Programs executing from C:\ProgramData or All Users profile
        - Programs executing from C:\RECYCLER
        - Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
        - Programs with random and unusual file names
        - Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
        - Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around suspicious files

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Programs Ran on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System

The best way to identify unknown malware on a system is by examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts. For more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts refer to my slide deck, Harlan's HowTo: Determine Program Execution post, and Mandiant's Did It Execute? post. To parse most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts run Nirsoft's WinPrefetchView against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected prefetch files and auto_rip along with RegRipper against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected registry hives. Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis should be performed on anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system and not system being analyzed. Below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command for WinPrefetchView:

winprefetchview.exe /folder H:\ Data-9-20\WIN-556NOJB2SI8-09.20.13-11.40\preserved-files\Prefetch

Below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command for auto_rip to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution and auto-start artifacts:

auto_rip.exe -s H:\Data-9-20\WIN-556NOJB2SI8-09.20.13-11.40\nonvolatile-data\registry -n H:\ Data-9-20\WIN-556NOJB2SI8-09.20.13-11.40\nonvolatile-data\registry\lab -u H:\ Data-9-20\WIN-556NOJB2SI8-09.20.13-11.40\nonvolatile-data\registry\lab -c execution,autoruns

Reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsed prefetch files revealed a few interesting items. As shown below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was one executable named 5UAW[1].EXE executing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary Internet files folder and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executable named E42MZ.EXE executing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temp folder.


Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loaded modules for 5UAW[1].EXE prefetch file showed a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 E42MZ.EXE executable; thus tying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two programs togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.


Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loaded modules for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 E42MZ.EXE prefetch file showed references to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files including ones named _DRA.DLL, _DRA.TLB, and E42MZ.DAT.


These identified items in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files are highly suspicious as being malware. Before moving on to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r program execution artifacts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prefetch files were  sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified time in order to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system activity around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time 09/20/2013 15:34:46. As shown below nothing else of interest turned up.


The parsed program execution artifacts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry are stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 06_program_execution_information.txt report produced by auto_rip. Reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same programs (E42MZ.EXE and 5UAW[1].EXE) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shim Cache as shown below.

C:\Users\lab\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I87XK24W\5uAw[1].exe
ModTime: Fri Sep 20 15:34:46 2013 Z
Executed

C:\Users\lab\AppData\Local\Temp\7zS1422.tmp\e42Mz.exe
ModTime: Fri Sep 20 15:34:37 2013 Z
Executed

So far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts revealed a great deal of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible malware infection. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are still more program execution artifacts on a Windows system that are rarely discussed publicly. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts I have been using for some time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing about this file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet (not counting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few people who mention it related to malware infections). The artifact I'm talking about is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\AppCompat\Programs\RecentFileCache.bcf file on Windows 7 systems. I'm still working on trying to better understand what this file does, how it gets populated, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data it stores. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path indicates it's for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows application compatibility feature and its contents reflect executables that were on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executables I find in this artifact were ones that executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The Tr3Secure Data Collection Script preserves this file and viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file with a hex editor shows a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5uAw[1].exe file.

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Auto-start Locations

The first analysis step of looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts provided a good indication cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is infected and some leads about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware involved. Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 step identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following items:

- C:\USERS\LAB\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\I87XK24W\5UAW[1].EXE
- C:\USERS\LAB\APPDATA\LOCAL\TEMP\7ZS1422.TMP\E42MZ.EXE
- C:\USERS\LAB\APPDATA\LOCAL\TEMP\7ZS1422.TMP\_DRA.DLL
- C:\USERS\LAB\APPDATA\LOCAL\TEMP\7ZS1422.TMP\_DRA.TLB
- C:\USERS\LAB\APPDATA\LOCAL\TEMP\7ZS1422.TMP\E42MZ.DAT

The next analysis step to perform in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process is to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto-start locations. When performing this step one should not only look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware indicators mentioned previously but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should also look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around those items. To parse most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto-start locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry run auto_rip against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected registry hives. The previous auto_rip command parsed both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution and auto-start locations at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. The parsed auto-start locations from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry are stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 07_autoruns_information.txt report produced by auto_rip. Reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser helper objects registry key:

bho

        Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
        LastWrite Time Fri Sep 20 15:34:46 2013 (UTC)

        {BE3CF0E3-9E38-32B7-DD12-33A8B5D9B67A}
                Class     => savEnshare
                Module    => C:\ProgramData\savEnshare\_dRA.dll
                LastWrite => Fri Sep 20 15:34:46 2013

This item stood out for two reasons. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key's last write time is around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs of interest (E42MZ.EXE and 5UAW[1].EXE) executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The second reason was because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name_dRA.dll was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLL referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 E42MZ.EXE's prefetch file (C: \USERS\LAB\APPDATA\LOCAL\TEMP\7ZS1422.TMP\_DRA.DLL).

Examine File System Artifacts

The previous analysis steps revealed a lot of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential malware infection. It flagged executables in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temp folders, a DLL in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramData folder, and identified a potential persistence mechanism (browser helper object). The last analysis step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 found leads to identify any remaining malware or files associated with malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. This step is performed by analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system artifacts; specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 master file table ($MFT). To parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a range of programs but for this post I'm using TZworks NTFSWalk. Below is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command for NTFSWalk. Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -csvl2t switch makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output into a timeline.

ntfswalk.exe -mftfile H:\ Data-9-20\WIN-556NOJB2SI8-09.20.13-11.40\ nonvolatile-data\ntfs\$MFT -csvl2t > mft-timeline.csv

Reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT timeline provides a more accurate picture about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware infection. After importing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 csv file into Excel and searching on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyword 5UAW[1].EXE brought me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.


The cool thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above entry is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5UAW[1].EXE file is still present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial malware dropped onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Working my way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline to see what occurred after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5UAW[1].EXE file was dropped onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system showed what was next.


Numerous files were created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\ProgramData\savEnshare folder. The file names are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same that were referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 E42MZ.EXE's prefetch file. The last entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline that were interesting are below.


These entries show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program execution artifacts already identified.

Confirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Infection

The triage technique confirmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question does appear to be infected. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last remaining task that had to be done was to confirm if any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identified items were in malicious. The TR3Secure Data Collection Script for a User Account collected a ton of data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question. This data can be searched to determine if any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identified items are present. In this instance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramData folder was not collected and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temp folder didn't contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 E42MZ.EXE file. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Temporary Internet Files folder contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5UAW[1].EXE file.

The VirusTotal scan against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file confirmed it was malicious with a 16 out of 46 antivirus scanner detection rate. The quick behavior analysis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file using Malwr not only shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same activity found on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system (keep in mind Malwr run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable on XP while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question was Windows 7) but it provided information - including hashes - about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files dropped into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProgramData folder.

Malware Incidents Triaging Conclusion

In this post I demonstrated one method to triage a system for a potential malware incident. The entire triage process takes less than 30 minutes to complete (keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile collection time is dependent on how much data is present). This is even faster than a common technique people use to find malware (conducting antivirus scans) as I illustrated in my post Man Versus Antivirus Scanner. The demonstration may have used a test system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, techniques, tools, and my scripts are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same I've used numerous times. Each time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end result is very similar to what I demonstrated. I'm able to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage questions: is malware present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, how did it get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, and what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next steps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response.

There are a few movies I saw in my childhood that had an impact on me. One of those movies was Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Future. To this day I still have vivid memories leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater after watching it and being filled with wonder and excitement. The final scene in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie is relevant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion about triage scripts. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene, Doc reversed his time-traveling DeLorean onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road. Marty sitting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passenger seat says "hey Doc you better back up we don't have enough road to get up to 88". Marty's comment was based on his previous experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DeLorean. The car had to reach a speed of 88mph to time travel and to reach that speed required enough road to drive on. Doc said to Marty in response "Roads? Where we're going we don't need roads". Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time-traveling DeLorean lifted off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road and flew back at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen. Whenever I think about triage scripts I paraphrase Doc to myself saying "Hard drives? Where we're going we don't need hard drives". My updated Tr3Secure collection script makes this statement a reality for triaging systems; it makes it possible to go in a direction where we "don't need hard drives".

Re-introducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Volatile Data Collection Script

Sometime ago I released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Volatile Data Collection Script and accompanied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post Dual Purpose Volatile Data Collection Script describing it. The script's focus was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection of volatile data only and it served a dual purpose. "First and foremost it had to properly preserve and acquire data from live systems". "The second required function was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool had to help with training people on examining volatile data". The script served its dual purpose but it had its limitations. As a result, I overhauled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script with a focus on improving its capability as a triage tool. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process as it evolved its name change to properly reflect what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is; meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script.

Tr3Secure Data Collection Script

It's probably easier to say what in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script remained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same than it is to say what is new. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practically usage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script retained its: flexibility, organized output, documentation in a collection log, and preservation according to RFC 3227. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training usage, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script retained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ordered output reports and references pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books Windows Forensic Analysis, 2nd edition and Malware Forensics: Investigating and Analyzing Malicious Code for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile data collection. Before going into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes I have to give a shout out to Troy Larson. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new functionality in this script where inspired by his ideas and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wicked cool For loop to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile registry hives is his. Now let's move on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minor updates followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significant upgrade.

Minor Updates

The first noticeable modification is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script executes. I dropped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script to make it execute with command-line syntax for complete automation. Now you can enter one command to collect volatile data, non-volatile data, or image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory. Speaking about imagining memory leads me to my next change. I dropped Memoryze and went with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winpmem program. The last minor update I wanted to highlight was an addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preservation activities. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script runs it tries to preserve certain data to prevent evidence from being overwriting. I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection of two more items; one of which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT registry hive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r minor updates refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change_log.txt accompany cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts.

Significant Upgrade

The original Tr3Secure Volatile Data Collection Script focused on collecting volatile data such as open files, network connections, and running processes. The one area that I felt was lacking was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script's ability to collect non-volatile data. When I approached upgrading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script I asked myself one simple question. What data would I want from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive if I couldn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire hard drive? The end result is very telling by my paraphrasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Future quote: "Hard drives? Where we're going we don't need hard drives". Below is a highlight of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new data collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script.

        - Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition information
        - Images cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBR (to help with MBR infectors)
        - Images cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBR to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sector of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first partition (to help with MBR infectors)
        - Collects all registry hives. By all I mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 config folder, Regback folder (for Windows 7), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives from every user loaded user profile
        - Grabs select Windows event logs and in Windows 7 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire log folder
        - Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scheduled tasks
        - Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS artifacts $MFT and $LogFile. I opted to go with RawCopy from my post Tools to Grab Locked Files
        - Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group policies applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system
        - Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 McAfee logs and quarantine folder (this is for demo purposes and should be customized for your environment)

Tr3Secure Data Collection Script Syntax

Viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script with a text editor shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 syntax on how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script and all of my detailed comments. Below is syntax to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script:

tr3-collect.bat [case number] [drive letter for storing collected data] [menu selection #]

[case number] = cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique identifier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case

[drive letter for storing collected data] = drive letter of where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data is to be stored

[menu selection] = optional field and can be used to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

        1 = Acquire Memory Forensic Image
        2 = Acquire Volatile Data
        3 = Acquire Non-Volatile Data
        4 = Acquire Volatile and Non-Volatile Data (default)
        5 = Acquire Memory Forensic Image, Volatile, and Non-Volatile Data

i.e.

tr3-collect.bat 2012-09-14_1 F
tr3-collect.bat 2012-09-14_1 F 3

A cool thing to keep in mind. The drive letter to store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be a removable media attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system or a mapped drive to a network share.

Tr3Secure Data Collection Script for User Account

In my talk Finding Malware Like Iron Man I walked through a mock scenario responding to a system and triaging it for malware. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments I made was that it is faster and more efficient to collect data eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by going over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire or using collection script. Being an incident responder time is of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essence so taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to remove and image a hard drive takes too long. Some may see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new functionality in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script and say to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Wait a second, you aren't collecting certain data so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive is still needed. Those who said this to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves are correct and my response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is to check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new script that accompanies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script. The Tr3Secure Data Collection Script for User Account collects data from a specified user profile on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Below is a highlight of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collected.

- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recent folder contents to including LNK files and jump lists
- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office Recent folder
- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Recent folder contents
- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire temp folder (great location to find attack vector artifacts)
- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Temporary Internet Files folder
- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PrivacIE folder (to see why check out my post Malware Root Cause Analysis)
- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cookie folder
- Grabs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder contents (Java anyone)

One thing I wanted to be clear about why this second script was needed. In corporate environments and to a certain extent systems used by home users cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are multiple loaded user profiles on a system. Pretty much on ever single examination I've done over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last five years my interest has only been on one or two user profiles. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r profiles were old and left on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Trying to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above data from every loaded user profile is not only inefficient but takes way too much time. Time that is better spent responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system as opposed to waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection script to finish. As such, I put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile data in a separate script so it can be run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one or two user profiles of interest.

Tr3Secure Collection Script for User Account Syntax

Viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script with a text editor shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 syntax on how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script and all of my detailed comments. Below is syntax to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script:

tr3-collect-user.bat [path to store collected data] [user profile name]

[path to store collected data] = cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data without any quotes or spaces

[user profile name] = cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account's profile name to collect data from

i.e.
tr3-collect-user.bat F:\Data-demo2\computername-08.12.13-19.14 jsmith

Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be an attached removable media or a mapped network share.

Where Are We Going

When I made my comment in my Finding Malware Like Iron Man presentation it was because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability I have with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se triage scripts. I first run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volatile and non-volatile data followed by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tr3Secure Data Collection Script for User Account to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user data. Both scripts are pretty fast and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide me with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I would need to triage a system. I can even leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage technique I outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data to find malware and do root cause analysis in less than 20 minutes. Not bad and hopefully my Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Future reference now makes a little more sense: "Hard drives? Where we're going we don't need hard drives".


You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TR3Secure Data Collection Script from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following download site.

 

CyberSpeak Podcast About Volume Shadow Copies

I recently had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to talk with Ovie about Volume Shadow Copies (VSCs) on his CyberSpeak podcast. It was a great experience to meet Ovie and see what it’s like behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenes. (I’ve never been on a podcast before and I found out quickly how tough it is to explain something technical without visuals). The CyberSpeak episode May 7 Volume Shadow Copies is online and in it we talk about examining VSCs. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview I mentioned a few different things about VSCs and I wanted to elaborate on a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Specifically, I wanted to discuss running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper plugins to identify volumes with VSCs, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift to access VSCs, comparing a user profile across VSCs, and narrowing down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC comparison reports with Grep.

Determining Volumes with VSCs and What Files Are Excluded from VSCs

One of my initial steps on an examination is to profile a system so I can get a better idea about what I’m facing. I information I look at includes: basic operating system info, user accounts, installed software, networking information, and data storage locations. I do this by running Regripper in a batch script to generate a custom report containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I want. I blogged about this previously in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Obtaining Information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Operating System and I even released my Regripper batch script (general-info.bat). I made some changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script; specifically I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs plugins spp_clients.pl and filesnottosnapshot.pl. The spp_clients.pl plugin obtains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volumes monitored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Copy service and this is an indication about what volumes may have VSCs available. The filesnottosnapshot.pl plugin gets a list of files/folders that are not included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs (snapshots). The information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs plugins provide is extremely valuable to know early in an examination since it impacts how I may do things.

While I’m talking about RegRipper, Harlan released RegRipper version 2.5 his post RegRipper: Update, Road Map and furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r explained how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new RegRipper to extract info from VSCs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent post Approximating Program Execution via VSC Analysis with RegRipper. RegRipper is an awesome tool and is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few tools I use on every single case. The new update lets RR run directly against VSCs making it even better. That’s like putting bacon on top of bacon.

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift to Access VSCs

There are different ways to access VSCs stored within an image. Two potential ways are using Encase with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDE module or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VHD method. Sometime ago Gerald Parsons contacted me about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to access VSCs; he refers to it as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator Method. The method uses a combination of Windows 7 iSCSI Initiator and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation. I encouraged Gerald to do a write-up about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method but he was unable to due to time constraints. However, he said I could share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach and his work with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. In this section of my post I’m only a ghost writer for Gerald Parsons and I’m only conveying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detailed information he provided me including his screenshots. I only made one minor tweak which is to provide additional information about how to access a raw image besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 e01 format.

To use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator Method requires a virtual machine running an iSCSI service (I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation inside VMware) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host operating system running Windows 7. The method involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following steps:

Sift Workstation Steps

1. Provide access to image in raw format
2. Enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIFT iSCSI service
3. Edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI configuration file
4. Restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iscsitarget service

Windows 7 Host Steps

5. Search for iSCSI to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator program
6. Launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator
7. Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift IP Address and connect to image
8. Examine VSCs

Sift Workstation Steps

1. Provide access to image in raw format

A raw image needs to be available within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic image is already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw format and is not split cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n nothing else needs to be done. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image is a split raw image or is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 e01 format cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next commands needs to be used so a single raw image is available.

Split raw image:

sudo affuse path-to-image mount_point

E01 Format use:

sudo mount_ewf.py path-to-image mount_point

2. Enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIFT iSCSI service

By default, in Sift 2.1 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI is turned off so it needs to be turned on. The false value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /etc/default/iscsitarget configuration file needs to be change to true. The commands below uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gedit text editor to accomplish this.

sudo gedit /etc/default/iscsitarget

(Change “false” to “true”)


3. Edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI configuration file

The iSCSI configuration file needs to be edited so it points to your raw image. Edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /etc/ietd.conf configuration file by performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first command opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 config file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text editor Gedit):

sudo gedit /etc/ietd.conf

Comment out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following line by adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 # symbol in front of it:

Target iqn.2001-04.com.example:storage.disk2.sys1.xyz

Add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following two lines (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date can be whatever you want (2011-04) but make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image path points to your raw image):

Target iqn.2011-04.sift:storage.disk
Lun 0 Path=/media/path-to-raw-image,Type=fileio,IOMode=ro


4. Restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iscsitarget service

Restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI service with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

sudo service iscsitarget restart

Windows 7 Host Steps

5. Search for iSCSI to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator program

Search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 built-in iSCSI Initiator program


6. Launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator

Run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator program

7. Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift IP Address and connect to image

The Sift workstation will need a valid IP address and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 host must be able to connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift using it. Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift’s IP address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick Connect.


A status window should appear showing a successful connection.


8. Examine VSCs

Windows automatically mounts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic image’s volumes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host after a successful iSCSI connection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift. In my testing it took about 30 seconds for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volumes to appear once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection was established. The picture below shows Gerald’s host system with two volumes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic image mounted.


If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any VSCs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted volumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be examined with your method of choice (cough cough Ripping VSCs). Gerald provided additional information about how he leverages Dave Hull’s Plotting photo location data with Bing and Cheeky4n6Monkey Diving in to Perl with GeoTags and GoogleMaps to extract metadata from all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs images to create maps. He extracts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cool thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator Method (besides being anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r free solution to access VSCs) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift iSCSI service from multiple computers. In my test I connected a second system on my network to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift iSCSI service while my Windows 7 host system was connected to it. I was able to browse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image’s volumes and access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time from my host and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Really cool…. When finished examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volumes and VSCs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can disconnect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI connection (in my testing it took about a minute to completely disconnect).

Comparing User Profile Across VSCs

I won’t repeat everything I said in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberSpeak podcast about my process to examine VSCs and how I focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile of interest. Focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile of interest within VSCs is very powerful because it can quickly identify interesting files and highlight a user’s activity about what files/folders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y accessed. Comparing a user profile or any folder across VSCs is pretty simple to do with my vsc-parser script and I wanted to explain how to do this.

The vsc-parser is written to compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between entire VSCs. In some instances this may be needed. However, if I’m interested in what specific users were doing on a computer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better option is to only compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profiles across VSCs since it’s faster and provides me with everything I need to know. You can do this by making two edits to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script that does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison. Locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file named file-info-vsc.bat inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vsc-parser folder as shown below.


Open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file with a text editor and find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function named :files-diff. The function executes diff.exe to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between VSCs. There are two lines (lines 122 and 129) that need to be modified so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile. As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script is written to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted image (%mount-point%:\) and VSCs (c:\vsc%%f and c:\vsc!f!).


These paths need to be changed so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile location. For example, let's say we are interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile named harrell. Both lines just need to be changed to point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harrell user profile. The screenshot below now shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updated script.


When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script executes diff.exe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison reports are placed into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Output folder. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reports for comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harrell user profile across 25 VSCs.

Reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs Comparison Reports

When comparing a folder such as a user profile across VSCs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be numerous differences that are not relevant to your case. One example could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity associated with Internet browsing. The picture below illustrates this by showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report comparing VSC 12 to VSC11.


The report showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between VSC12 and VSC11 had 720 lines. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot of lines that are not important. A quick way to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is to use grep.exe with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –v switch to only display non-matching lines. I wanted to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in my report involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet activity. The folders I wanted to get rid of were: Temporary Internet Files, Cookies, Internet Explorer, and History.IE5. I also wanted to get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppData\LocalLow\ CryptnetUrlCache folder. The command below shows how I stacked my grep commands to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lines and I saved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output into a text file named reduced_files-diff_vsc12-2-vsc11.txt .

grep.exe -v "Temporary Internet Files" files-diff_vsc12-2-vsc11.txt | grep.exe -v Cookies | grep.exe -v "Internet Explorer" | grep.exe -v History.IE5 | grep.exe -v CryptnetUrlCache > reduced_files-diff_vsc12-2-vsc11.txt

I reduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report from 720 lines to 35. It’s good practice to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report again to make sure no obvious lines were missed before running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same command against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VSC comparison reports. Staking grep commands to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data to look at makes it easier to spot items of potential interest such as documents or Windows link files. It’s pretty easy to see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harrell user account was accessing a Word document template, an image named staples, and a document named Invoice-#233-Staples-Office-Supplies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reduced_files-diff_vsc12-2-vsc11.txt report shown below.


I compare user profiles across VSCs because it’s a quick way to identify data of interest inside VSCs. Regardless, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is images, documents, user activity artifacts, email files, or anything else that may stored inside a user profile or that a user account accessed.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months I have been discussing a different approach to examining Volume Shadow Copies (VSCs). I’m referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach as Ripping VSCs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two different methods to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Practitioner and Developer Methods. The multipart Ripping VSCs series is outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Introduction post. On Thursday (03/15/2012) I’m doing a presentation for a DFIROnline Meet-up about tracking user activity through VSCs using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practitioner method. The presentation is titled Ripping VSCs – Tracking User Activity and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide deck can be found on my Google sites page.

I wanted to briefly mention a few things about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides. The presentation is meant to compliment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I’ve been blogging about in regards to Ripping VSCs. In my Ripping VSCs posts I outlined why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach is important, how it works, and examples showing anyone can start applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir casework. I now want to put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique into context by showing how it might apply to an examination. Numerous types of examinations are interested in what a user was doing on a computer so talking about tracking someone’s activities should be applicable to a wider audience. To help explain put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach into context I created a fake fraud case study to demonstrate how VSCs provide a more complete picture about what someone did on a computer. The presentation will be a mixture of slides with live demos against a live Windows 7 system. Below are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demos I have lined up (if I am short on time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last demo is getting axed):

        - Previewing VSCs with Shadow Explorer
        - Listing VSCs and creating symbolic links to VSCs using vsc-parser
        - Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link files in a user profile across VSCs using lslnk-directory-parse2.pl
        - Parsing Jump Lists in a user profile across VSCs using Harlan’s jl.pl
        - Extracting a Word document’s metadata across VSCs using Exiftool
        - Extracting and viewing a Word document from numerous VSCs using vsc-parser and Microsoft Word

I’m not covering everything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides but I purposely added additional information so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides could be used as a reference. One example is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch scripts. Lastly, I’m working on my presentation skills so please lower your expectations. :)

The previous post, Ripping VSCs – Developer Method, provided a detailed explanation about how data can be parsed directly inside Volume Shadow Copies (VSCs). Unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Practitioner Method, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Developer Method accessed data directly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby bypassing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to go through a symbolic link. The previous post explained how and why it’s possible to programmatically access files in VSCs. Ripping VSCs – Developer Examples picks up where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last post left off by demonstrating how existing scripts can be used to parse data inside VSCs.

The Ripping VSCs – Developer Method made two key points that need to be understood about accessing data in VSCs. The first take away is that to read or parse data directly requires a handle to be opened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 object using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full UNC path. The line below shows how to open a handle to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IE9_main.log file in Volume Shadow Copy 18:

open FILE, \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy18\WINDOWS\IE9_main.log or die $!;

The second take away is that to query information by executing commands against a folder/file's path requires a handle to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 object to be opened into a variable. The line below shows how to open a handle to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IE9_main.log file in Volume Shadow Copy 18 into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable $file:

open ($file, \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy18\WINDOWS\IE9_main.log) or die $!;

To modify or write a script to parse data inside a VSC means one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handles above has to be used. The easiest way I found to change existing scripts is to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 points where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script is interacting with an external file. Then change that code to use eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a handle or make it avoid executing commands against a file/directory path. This is how I aproached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three scripts discussed in this post.

The scripts I wanted to try to get to work against VSCs are ones I’ve used a lot in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past. I knew what results I should expect so it made things easier to identify any issues I caused. One script already worked against VSCs which was Kristinn Gudjonsson’s read_open_xml_win.pl (parses Office 2007 metadata). I picked two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scripts to modify because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes reinforce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two take aways from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The Ripping VSCs – Developer Method post. These scripts were Harlan Carvey’s RegRipper (parses registry hives) and lslnk.pl (parses Windows link files). I’m discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one requiring no modifications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n progressing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more difficult changes.

Disclaimer: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modifications being made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se scripts are to demonstrate how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be altered in order to support examining VSCs. As such, my recommendations for anyone wanting to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes for actually casework would be to reach out to Kristinn and Harlan (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors) for feedback on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir scripts.

read_open_xml_win.pl against VSCs

read_open_xml_win.pl is a script to read metadata from Microsoft Office 2007 documents. The script has no options and only takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office document. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I wrote this post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current version was 0.1 and by default it was able to parse files directly inside VSCs. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script parsing a Word document in VSC 18.


Reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script and identifying where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code interacts with an external file brings you to line 92.

92. # read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parameter (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document)
93. $doc = $ARGV[0];
94.
95. # create a ZIP object
96. $zip = Archive::Zip->new();
97.
98. # read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Word document, that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZIP file
99. $zip->read( $doc ) == AZ_OK or die "Unable to open Office file\n";

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code shows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path entered on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command-line is stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $doc variable (line 92) and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n read into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZIP object (line 99). Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module doing this work says “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Archive::Zip module allows a Perl program to create, manipulate, read, and write Zip archive files”. My research identified opening a handle using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IO::File module but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read_open_xml_win.pl script shows ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modules that open files can access VSCs as well.

RegRipper against VSCs

RegRipper is a tool to perform registry analysis in examinations. There is a command-line version (rip.pl) as well as a version with a GUI. The two switches I’m using in this post are: -r to specific cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hive and –p to specify a single plugin (note: -f specifies a plug in file). At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I wrote this post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current version of Regripper was 20090102 and by default it was unable to parse registry hives directly in VSCs. The picture below shows RegRipper failing to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserInfo key in an ntuser.dat hive in VSC 18.


The error reported by RegRipper was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ntuser.dat registry hive was not found. Opening rip.pl in a text editor and identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where it interacts with a registry hive brings you to lines 89 and 170. I copied and pasted sections of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code below.

89. if ($config{file}) {
90. # First, check that a hive file was identified, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path is
91. # correct
92.      my $hive = $config{reg};
93.      die "You must enter a hive file path/name.\n" if ($hive eq "");
94.      die $hive." not found.\n" unless (-e $hive);

170. if ($config{plugin}) {
171. # First, check that a hive file was identified, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path is
172. # correct
173.      my $hive = $config{reg};
174.      die "You must enter a hive file path/name.\n" if ($hive eq "");
175.      die $hive." not found.\n" unless (-e $hive);

The first section (lines 89 to 94) appears to be for when a plugin file is ran (-f switch) while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second section (lines 170 to 175) is for a single plugin file (-p which was ran). Looking at lines 94 and 175 shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error that appeared when RegRipper failed (ntuser.dat not found). Those two lines are performing an error check to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hive is present. The issue is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 check is performed against a path inside a VSC. Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous post? Commands can’t execute against a path to a VSC since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail (at least in all my testing). To make RegRipper work with VSCs just make a change to lines 94 and 175. One option is to comment out those lines completely and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option is to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –e switch (worked in my testing). For demonstration purposes I commented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines out. The changed lines are below:

94. # die $hive." not found.\n" unless (-e $hive);

175. # die $hive." not found.\n" unless (-e $hive);

The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command is now successful; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modified RegRipper successfully rips cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ntuser.dat hive in VSC 18.


Lslnk.pl against VSCs

Lslnk.pl is a script included with WFA 2/e to parse Windows link files. This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first script I changed to work with VSCs and it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most difficult one to figure out. The picture below shows lslnk.pl failing to parse a link file (Receipt-#4-Walmart-shredder.docx.lnk) in VSC 18.


Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code to see how it interacts with link files shows three areas of interest. The first is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portion where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file entered on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line is stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $file variable (line 16) and a check is performed to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is present (line 17).

16. my $file = shift || die "You must enter a filename.\n";
17. die "$file not found.\n" unless (-e $file);

The second portion is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stat command is executed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $file variable (line 65) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path is printed before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size (line 66)

64. # Get info about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file
65. my ($size,$atime,$mtime,$ctime) = (stat($file))[7,8,9,10];
66. print $file." $size bytes\n";

The third section is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $file variable is opened into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FH filehandle.

71. # Open file in binary mode
72. open(FH,$file) || die "Could not open $file: $!\n";

Those three sections need to be modified in order for lslnk.pl to parse VSCs directly. The first change is to comment out line 72 because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filehandle needs to be opened in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script. Remember to parse files inside VSCs a handle needs to be used? Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line commented out and I added my own comment explaining it.

# (corey) Had to move to first in script to access file in VSC
#open($file,$file) || die "Could not open $file: $!\n";

Continuing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handle needs to be opened before any actions are taken against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external link file. The script uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $file variable throughout it so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest thing to do is to create a new variable (I picked $file_path). The second change is to comment out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error check against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third change is to open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $file variable. Below are my changes made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script.

use strict;


# (corey) created variable to store file path. (without it this line won't work print $file." $size bytes\n";)
my $file_path = shift || die "You must enter a filename.\n";

# (corey) line below is not needed because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line above
# my $file = shift || die "You must enter a filename.\n";

# (corey) added and changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command so handle is inside a variable
open(my $file,$file_path) || die "Could not open $file_path: $!\n";

# (corey)Line below caused error even though file opened
#die "$file not found.\n" unless (-e $file);


# Setup some variables

The last change is for reporting purposes. The line printing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $file variable. This will cause it to print out a glob of characters instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s path. My $file_path variable contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s path so it can be used with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 print command as shown below.

# (corey) had to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line below to print cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file
#print $file." $size bytes\n";
print "$file_path"." $size bytes\n";

In summary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes made were to make lslnk.pl open a file handle into a variable in order to access a file inside a VSC. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r changes were to avoid executing a command against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s path (error check) and to change a variable to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path. The end result; lslnk.pl is now to able successfully parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link file (Receipt-#4-Walmart-shredder.docx.lnk) in VSC 18.



Next and Last Post in Series: Examining VSCs with GUI Tools