Saturday, November 11, 2006

OMG! So says Chicken Little...

I got wind of a post over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityFocus Forensics list...yes, I still drop by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re from time to time, don't hate me for that. Someone posted a couple of days ago about a Registry key in Vista, specifically, a value named "NtfsDisableLastAccessUpdate". Actually, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post was a link to/excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filing Cabinet blog. The idea is that this entry allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin to optimize a Windows system, as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setting is enabled (you can do it through fsutil on XP and 2003), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n file last access times won't be updated when files are accessed, eliminating that "extra" disk I/O. This is really only an issue on high-volume file servers.

The SF post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ends with "In case this is of value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics of Vista".

Well, not to put too fine a point on it, but "duh!" Even though NTFS last access times are known to have a granularity of about an hour, disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to track such things takes away one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools used by forensic investigators. And even though this functionality is enabled by default on Vista (I'm looking at RC1), it's just one tool. For example, Vista still tracks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's access to programs via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist keys.

In my new book, I recommend checking this value during IR activities, and I also recommend that if forensic investigators find this functionality enabled, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry key to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date that may correlate to when that change was made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The change can be made through RegEdit or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fsutil application. The fsutil application is not a GUI that is accessed through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell, so its use won't be tracked via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key (although on XP, you may see a reference to fsutil.exe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch folder). However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change is made, a reboot is required for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change to take effect, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last access time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fsutil.exe file (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system32 directory) may give you an idea of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change was made, and you may cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be able to determine via ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r logs who made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification.

6 comments:

Anonymous said...

Are you going to publish a new book?

H. Carvey said...

I'm working on it...due out in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring.

Anonymous said...

Is it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of "Windows Forensics and Incident Recovery" or a complete new one? I really enjoyed this one :)

H. Carvey said...

New publisher, new book...like WFIR, but more technical, and with more stuff (code, files, detail, etc.)

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book...whoever you are. ;-)

Anonymous said...

"And even though this functionality is enabled by default...".

I presume you mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry entry has a 1 in it, meaning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastAccessUpdate is in fact disabled. It would take a user to turn it on which is very unlikely IMO.

FYI: The entry has a value of 1 in RTM.

H. Carvey said...

John,

I presume you mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry entry has a 1 in it, meaning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastAccessUpdate is in fact disabled

If you follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link I provided in my blog post, you'll see what Microsoft says about a setting of 1 for that value. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value is set to 1, NTFS does not update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last-access timestamp of a file when that file is opened.

Thanks for reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog and for commenting.