Saturday, December 30, 2006

Tagged!

Okay, I haven't blogged in a while...not because I haven't wanted to, but because I've been working (you know, that thing that pays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bills) and writing my next book (I've been exchanging chapters with tech editors). In between all that, I've been coding...and if I take this any furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, I'm going to have to add a "really bad excuse" label to my blog.

So what exactly is a "blog tag"? To be honest, I have no idea. I first saw mention of it over on MySpace, so that should give you some indication of what it is. Now it's been picked up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual world, even by nerds ("hey, I resemble that remark!") like us. So, my understanding from Richard is that I'm supposed to document 5 things people may not know about me, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n "tag" five ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bloggers. Okay, here goes...

1. I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virginia Military Institute for my undergraduate degree...by accident. I am a Navy brat, and was working toward an appointment to one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal service academies, and a high school counselor handed me an application to a small military school in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shenandoah Valley. In fact, he gave me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last application in his folder, and didn't ask me to make copies of it. That's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things about my life that I would NOT change if I could.

2. While attending VMI, I ran marathons my senior year. Yes, looking at me, you'd never know that...according to many fellow Marines, I was "built like a brick sh*t house"...a physique not necessarily associated with nor conducive to marathoning-like activities. I first ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Corps Marathon in '88, with a finishing time of 2:57. This qualified me for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Boston Marathon, which I signed up for (that is, paid money) and ran...with a finishing time of 3:11. There's more to that story, but unless you attended VMI, it would neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r make sense nor be funny. I ran that Marine Corps Marathon again in '89, while I was in The Basic School, and finished in 2:54. I still have all of my finisher medals.

3. In my first tour in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fleet, I was in Okinawa for a year, stationed with MACS-4. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of unit that Lee Harvey Oswald served in. I was a Communications Officer (MOS: 2502). While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I studied Shorin Ryu, an Okinawan martial art. I'd like to study Akido and Krav Maga.

4. I have a horse, and yes, I ride. Western. Well, not so much "ride" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional sense, like dressage, but more in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense of "don't dump me off and I'll give you a carrot". I've even done this at a dude ranch, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 carrot thing didn't work.

5. I completed my master's degree at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Naval Postgraduate School, just prior to separating from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I wasn't actively engaged in a whole lot (set up a 10Base2 network and connected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detachment to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 token ring CAN), so I worked out quite a bit. At one point, I was doing 27 dead-hang, palms-facing-out pullups and ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3 mile PFT run in 17 minutes or less. I could bench press 360 lbs unassisted...and yet I was 5 lbs over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weight that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Marine Corps said I should be for my height. So I was placed on weight control, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ho-ho and Twinkie bandits.

Now, on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tagging...

Jesse Kornblum

Marcus Ranum

Dave Roth

Andreas Schuster

Robert "van" Hensing

Live long and prosper!

Wednesday, November 29, 2006

Artifact classes

I've been doing some thinking about IR and CF artifacts over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of weeks, and wanted to share my thoughts on something that may be of use, particularly if its developed a bit...

When approaching many things in life, particularly a case I'm investigating, I tend to classify things (image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix where Agent Smith has Morpheus captive, and tells him that he's classified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human species as a virus*) based on information I've received...incident reports, interviews with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client, etc. By classify, I mean categorizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident in my mind...web page defacement, intrusion/compromise, inappropriate use, etc. To some extent, I think we all do this...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome of this is that we tend to look for artifacts that support this classification. If I don't find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts that I do find do not support my initial classification, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I modify my classification.

A by-product of this is that if I've classified a case as, say, an intrusion, I'm not necessarily going to be looking for something else, such as illicit images, particularly if it hasn't been requested by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client. Doing so would consume more time, and when you're working for a client, you need to optimize your time to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir needs. After all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're paying for your time.

Now, what got me thinking is that many time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public lists (and some that require membership) I'll see questions or comments that indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst really isn't all that familiar with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're investigating, or both. This is also true (perhaps more so) during incident response activities...not understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of an issue (intrusion, malware infection, DoS attack, etc.) can many times leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pursuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong things, or suffering from simple paralysis and not knowing where to begin.

So, understanding how we classify things in our minds can lead us to classifying events and incidents, as well as classifying artifacts, and ultimately mapping between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two. This cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n helps us decide upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate course of action, during both live response (ie, an active attack) and post-mortem activities.

My question to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community is this...even given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variables involved (OS, file system, etc.), is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any benefit to developing a framework for classification, to include artifacts, to provide (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least) a roadmap for investigating cases?

Addendum, 30 Nov: Based on an exchange going on over on FFN, I'm starting to see some thought being put into this, and it's helping me gel (albiet not crystalize, yet) up my thinking, as well. Look at it this way...doctors have a process that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y go through to diagnose patients. There are things that occur every time you show up at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor's office (height, weight, temperature, blood pressure), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are those things that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor does to diagnose your particular "issue du jour". Decisions are made based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor receives from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient, and courses of action are decided. The doctor will listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient, but also observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient's reaction to certain stimuli...because sometimes patients lie, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctor may be asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong question.

Continuing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medical analogy, sometimes it's a doctor that responds, sometimes a nurse or an EMT. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've all had training, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all have knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human body...enough to know what can possibly be wrong and how to react.

Someone suggested that this may not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right framework to establish...IMHO, at least it's something. Right now we have nothing. Oh, and I get to be Dr. House. ;-)

*It's funny that I should say that...I was interviewed on 15 May 1989 regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of women at VMI, and I said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would initially be treated like a virus.

Tuesday, November 28, 2006

MS AntiMalware Team paper

I know I'm a little behind on this one, but I saw this morning that back in June, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS AntiMalware team released an MSRT white paper entitled "Windows Malicious Software Removal Tool: Progress Made, Trends Observed".

I've seen some writeups and overviews of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, particularly at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS ISC. Some very interesting statistics have been pulled from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collected, and as always, I view this sort of thing with a skeptical eye. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overview:

This report provides an in-depth perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware landscape based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSRT...

It's always good for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader's expectations. What this tells me is that we're only looking at data provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS tool.

Here are a couple of statements from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overview that I found intersting:

Backdoor Trojans, which can enable an attacker to control an infected computer and steal confidential information, are a significant and tangible threat to Windows users.

Yes. Very much so. If a botmaster can send a single command to a channel and receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Protected Storage data from thousands (or tens of thousands) of systems, this would represent a clear and present danger (gotta get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tom Clancy reference in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re!).

Rootkits...are a potential emerging threat but have not yet reached widespread prevalence.

I don't know if I'd call rootkits a "potential" or "emerging" threat. Yes, rootkits have been around for quite a while, since Greg Hoglund started releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTRootkit v.0.40. In fact, commercial companies like Sony have even seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usefulness of such things. It's also widely known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are rootkits-for-hire, as well. Well, I guess what it comes down to is how you define "widespread". We'll see how this goes...I have a sneaking suspicion that since it's easy enough to hide something in plain sight, why not do so? That way, an admin can run all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit detection tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want and never find a thing.

Social engineering attacks represent a significant source of malware infections. Worms that spread through email, peer-to-peer networks, and instant messaging clients account for 35% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers cleaned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool.

I can't say I'm surprised, really.

These reports are interesting and provide a different view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware landscape that many of us might not see on a regular basis...it's kind of hard to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forest for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trees when you're face down in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mud, so to speak.

Even so, what I don't think we see enough of in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR and computer forensics community is something along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same lines but geared toward information that is important to us, such as forensic artifacts. For example, how do different tools stack up against various rootkits and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware, and what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by those tools?

Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A/V vendors note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various changes made when malware is installed on a system, but sometimes it isn't complete, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times isn't correct (remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MUICache issue??).

What would be useful is a repository, or even various sites, that could provide similar information but more geared toward forensic analysts.


Monday, November 27, 2006

Some sites of note

I've been perusing a couple of new sites that I've run across over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of weeks and wanted to pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, and include some of my thoughts/experiences with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites...

MultiMediaForensics - At first, this looks like anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forum site, similar to ForensicFocus. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspects of this site, however, is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author maintains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shownotes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberSpeak podcast. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important things about this site is that it provides a forum for members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer forensics community to come togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. In my experience, this is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things missing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community...a "community". While ForensicFocus is UK-based, MultiMediaForensics appears to be more US-based, and that may have an effect on its popularity here in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US. If you follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberSpeak podcast, or are just interested in computer forensics, make a point of contributing (post, write an article, provide a link, ask a question, etc.) to this site.

Hype-Free - While not specifically related to security or forensics, this site does have some interesting commentary. The author says in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "About" section that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog is to "demystify security", so keep your eye out for some good stuff coming down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road.

MS AntiMalware Blog - Don't go to this site expecting to see MS's version of Symantec or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r A/V vendor that posts writeups on malware. However, you may find some interesting white papers and posts that will help you understand issues surrounding malware a bit better. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC recently mentioned some highlights from one such white paper.

Sunday, November 26, 2006

A little programming fun, etc.

I was working on writing my book yesterday afternoon (for those of you who live in my area and know how nice it was outside, I know...shame on me for being inside), and was working on a section that has to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Recycle Bin. Most forensic analysts are likely familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycle Bin and how it works, as well as with Keith Jones's excellent description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycle Bin records (1, 2), so this is more than likely nothing new.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, I wanted to throw togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a little script that can be used to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INFO2 file, in order to illustrate some concepts that I am trying to convey in section. To my surprise, it was easier than I thought...I got something put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that works amazingly well - my only stumbling block at this point is how to present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in such a way as to be useful to widest range of folks.

This just shows how useful a little bit of programming skill can be. Something I've been thinking about adding to my list of ProDiscover ProScripts is a script that will go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycler directory and look for files that are out of place...not only files that are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycler directory itself, but those that are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's deleted files but not listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INFO2 file.

Way Too Funny
Okay, now this is just way too funny...I was doing a search on Amazon to see if my next book is up for early order yet (my publisher said that it would be soon), and I ran across my master's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis! If you're suffering from insomnia, it's well worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price to grab a copy of this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis...I used video teleconferencing traffic to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fractal nature of ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet traffic, so that real statistical models could be used (racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than assumed) for constructing buffers on switches at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge of ATM clouds.

Anyway, this was really "back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day" (re: 1996). I was using Java (which, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of O'Reilly, I had taught myself) to write an SNMP application to poll Cisco routers for traffic data. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used MatLab to perform statistical analysis tests of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to determine its "burstiness" and verify its fractal nature. The video conferencing came in because it allowed me to generate data...I could sit in front of one camera, across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r camera, and have measurable traffic generated across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, Notepad was my Java IDE...this was before IBM's Java IDE came out (I saw my first copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IBM Java IDE at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of July, 1997).

Something new from ISC
There were a couple of items I found interesting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Internet Storm Center handler's diary recently.

One was this item about malware that uses a commercial tool to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of a virtual machine. Very interesting.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is this writeup on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeVideo Player Trojan, submitted by Brian Eckman (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writeup also appears on SecGeeks and First.org, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r locations). Brian's writeup is thorough and very comprehensive...I like seeing this sort of thing posted, as it's a nice break to see a submission like this. Brian put a lot of work into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writeup, and looked at a variety of areas on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that were affected by this malware.

The one question I have (and would have for anyone) is this statement that was made:

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysis shows that this appears to inject itself into running processes.

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writeup, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really isn't anything that specifically states how Brian determined this. I'm sure we can come up with a variety of assumptions as to how he did it, or how we would go about doing it, but I'd like to hear from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author. I'm going to submit that as a question to him, and I'll let you know what I find out.

Friday, November 17, 2006

How do you do that voodoo that you do?

After reading through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecuriTeam documents, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reading this SANS ISC post, I have to admit, incident response can be extremely complex. This is particularly true if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys catch you with your pants down (figuratively, or hey, even literally). From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecuriTeam write-ups, we get an insight into how systems are targetted...via Google searches (with books such as Google Hacking from Johnny Long, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's really no big mystery to this) and even freely available vulnerability scanning tools.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecuriTeam documents, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision to conduct a live response is documented, as a "full forensic analysis" would take too long...it was evidently determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers hadn't simply defaced a web page, but were actively on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and involved in creating mayhem. This isn't unusual...many organizations decide that affected systems cannot be taken down. However, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Team Evil incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re didn't seem to be any volatile data collected or analyzed. It appears that because a web page was defaced and some directories created, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team's reactions focused solely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application(s).

One thing I took away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second SecuriTeam document was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were...what? Eight attacks?

The post from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Storm Center doesn't seem to make things any easier, does it? After all, not only do multiple downloaders dump a "zoo of malware" (i.e., keylogger, BHOs, even disables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Center) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, but it also reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system's location so it can be tracked via Google Maps. While this is an interesting new capability, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real issue IMHO is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff that's dumped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. How do you track it all? If you really don't know a great deal about your systems (hosts and networks) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications that you're running, and you haven't taken any real steps to protect those systems, I'd have to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC recommendation to reinstall is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only option.

If you really think about it, though, maybe this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention. If you've been looking at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various conference presentations over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been some anti-forensics and "how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst's training against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m" presentations. One way to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is just being greedy. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention of dumping multiple programs (keyloggers, BHOs, etc.) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is that IF cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin detects any one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll reinstall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...and it's likely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system can be easily reinfected.

So, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of things, we've got a denial of service attack...compromise and infect a critical-use system, and it's so important that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin takes it offline for a reinstall. This also lends itself to persistence...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reinstalled system may have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same or additional vulnerabilities, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can reinfect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system once it's back up.

Of course, I can't help but think that this could also be a distraction, a little bit of misdirection...get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff looking one direction while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is siphoning data off of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system.

So I guess I have to concede cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that reinstallation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thing to do. If you (a) don't really know your infrastructure (hosts or network) that well, (b) have no idea where critical (processing or storing sensitive personal information) applications are, (c) haven't really taken any defense-in-depth measures, (d) have no clue what to do, and (e) don't have an IR plan that is supported and endorsed by senior management, I guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really isn't any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option.

Thoughts?

Thursday, November 16, 2006

Case Study from SecuriTeam

Everyone loves a case study! Don't we love to read when someone posts what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y responded to an incident? It's great, as it gives us a view into what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are doing. SecuriTeam has not one, but two such posts...well, one post that contains two case studies.

The first is a PDF of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident write-up for a compromise that occurred in July 2006. The second is a follow-up, and both are very interesting.

I'm going to take a process-oriented view of things. Please don't ask me if someone who defaces web pages and knows some PHP code qualifies as a "cyber-terrorist". I don't want to get mixed up in semantics.

This whole thing seems to have started on or about 11 July 2006 with a web page defacement. Evidently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys gained access to a vulnerable system (found via Google) and installed a PHP 'shell'. Page 8 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for a "real-time forensic analysis", due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that not only did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys need to "stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bleeding", but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys, who were not only deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own counter-measures, but attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys, as well. What's interesting about this is that on page 8, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors mention having to battle active attacks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys, saying it was a "fight between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response personnel." Oddly, pages 9 - 11 included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12 steps that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR personnel went through, yet nothing was mentioned about having to battle an attack. The document continues into "Attack Methodology" and "Conclusions" with no mention of IR personnel being hammered by attacks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user-agent found in some web logs included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "SIMBAR", and concluded (with no supporting info) that this meant that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's system was infected with spyware. While I'm not discounting this, I do find it odd that no supporting information was provided. I did a search and found references to adware, but I also found a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIMS game, as well.

Continuing along into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 follow-up report, "SIMBAR" is mentioned again, and this time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors seem to believe that this user-agent indicates that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same computer was used in multiple attacks. IMHO, this is perhaps dubious at best, particularly if it is indicative of adware...adware can be fairly widespread. Also, beyond that, I'm not sure how significant this information really is to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall incident.

Overall, both write-ups seem to indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers used known exploits to gain access to systems, and used relatively known and easily available tools to gain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir foothold. It also seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors made several unsupported assumptions. At first cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-ups are interesting read, but when you really try to dig into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and get some meat, IMHO, it just isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

But hey, who am I? What do you think?

Addendum 18 Nov: Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments here, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been corresponding posts over on TaoSecurity. I just want to say that I'm not trying to grill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents, nor am I trying to point out every little detail that I think was mishandled...not at all. What I am saying is that I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors did a great job, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are things that could have been handled a bit better. Richard Bejtlich mentions "focus and rigor" in one of his recent posts...just because something is done by volunteers, does that mean that quality should suffer?

Van Hensing Rides...uh, Blogs Again!

Robert Hensing, formerly of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS PSS Security team and now with SWI, has started blogging again! This is great news, because Robert brings a wealth of experience and knowledge to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of incident response and forensics. Also, due to his resources, he also brings a great deal of insight and detail to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things he investigates and shares with us.

For example, check out his most recent post involving web surfing activity found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Default User" directory (he also addressed something similar in his "Anatomy of a WINS Hack" post). What's interesting about this is that if you are using ProDiscover to examine an image, and you populate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet History View and find entries for "Default User", you've struck gold!

Robert tends to blog on a wide range of subjects, and his entries about Windows issues tend to be more technical and comprehensive than what you'll find on most sites. So, check it out and leave a comment...

Monday, November 13, 2006

Trends in Digital Forensics, and news

I ran across a Dr. Dobbs article of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same name as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of this post...very interesting. The subtitle is Are "live" investigations are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend we are heading towards?

An interesting quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:
Thus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new trend in digital forensics is to to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate network to immediately respond to incidents.

Hhhhmmm...this sounds pretty definitive.

My thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article are two-fold. First, I have to ask...is this, in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend (or at least a coming trend that we're seeing more of)? Are IT and IR teams using tools like those mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article (Encase, Wetstone's LiveWire - I have to wonder why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author doesn't mention ProDiscover) to perform incident response via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network? If so, how effective are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se efforts?

Overall, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author discusses "live investigations" (which is cool, because my next book covers that, in part) but I have to wonder how much this is being done, and how effective it is.

Now for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "news"...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a new CyberSpeak podcast out, I just downloaded it and still have to listen to it. I took a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show notes (which have moved) and saw that Jesse Kornblum is again being interviewed. Very cool. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news items I picked up from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show notes was about a guy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK who took over young girls' computers and extorted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into sending him dirty pictures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. The scary thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article isn't things like this:

...used some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most advanced computer programmes seen by police to hack into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PCs...

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 youngsters said his level of expertise and his power over her PC reminded her of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cult science fiction film Matrix.

Well, okay...I take it back...maybe those excerpts do represent some scary things about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article..."scary" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that an email-borne Trojan of some kind is equated to level of technology seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix. Or maybe it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se kids actually fell prey to this guy and sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than notifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir parents.

Okay, I'm off to listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show...

Sunday, November 12, 2006

Evidence Dynamics

One question in particular that I'm seeing more and more is, can volatile data be used as evidence in court? That's a good question, and one that's not easily answered. My initial thought on this is that at one point, most tools (EnCase is perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular that will come time mind) and processes that are now accepted in court were, at one time, not accepted. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a time when computer/digital evidence was not accepted.

There are two things that responders are facing more and more, and those are (a) an increase in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophistication and volume of cybercrime, and (b) an increase in instances in which systems cannot be taken down, requiring live response and/or live acquisition. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se conditions, we should be able to develop processes by which responders can collect volatile data (keeping evidence dynamics in mind) to be used in court as "evidence".

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have discussed this as well, to include Farmer and Venema, Eoghan Casey, and Chris LT Brown. Much like forensics in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are forces at play when dealing with live computer evidence, such as Heisenberg's Uncertainty Principle and Locard's Exchange Principle. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se forces are understood, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processes are developed that address soundness and thorough documentation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n one has to ask...why can't volatile data be used in court?

Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Trojan Defense". There was a case in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK where a defendant claimed that "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan was responsible, not me", and even though no evidence was found a Trojan within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image of his hard drive, he was acquitted. Perhaps collecting volatile data, to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of seizure would have ruled out memory-resident malware as well.

My thoughts are that it all comes down to procedure and documentation. We can no longer brush off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions of documentation as irrelevant, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're more important than ever. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great things about tools such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Server Project is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're essentially self-documenting...not only does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server component maintain a log of activity, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FRU media (CD) can be used to clearly show what actions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder took.

So what do you think?

Additional Resources
Evidence Dynamics: Locard's Exchange Principle & Crime Reconstruction
Computer Evidence: Collection & Preservation
HTCIA 2005 Live Investigations Presentation (PDF)
The Latest in Live Remote Forensics Examinations (PDF)
Legal Evidence Collection
Daubert Standard (1, 2)

Saturday, November 11, 2006

OMG! So says Chicken Little...

I got wind of a post over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityFocus Forensics list...yes, I still drop by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re from time to time, don't hate me for that. Someone posted a couple of days ago about a Registry key in Vista, specifically, a value named "NtfsDisableLastAccessUpdate". Actually, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post was a link to/excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Filing Cabinet blog. The idea is that this entry allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin to optimize a Windows system, as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setting is enabled (you can do it through fsutil on XP and 2003), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n file last access times won't be updated when files are accessed, eliminating that "extra" disk I/O. This is really only an issue on high-volume file servers.

The SF post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ends with "In case this is of value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics of Vista".

Well, not to put too fine a point on it, but "duh!" Even though NTFS last access times are known to have a granularity of about an hour, disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to track such things takes away one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools used by forensic investigators. And even though this functionality is enabled by default on Vista (I'm looking at RC1), it's just one tool. For example, Vista still tracks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's access to programs via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist keys.

In my new book, I recommend checking this value during IR activities, and I also recommend that if forensic investigators find this functionality enabled, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry key to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date that may correlate to when that change was made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The change can be made through RegEdit or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fsutil application. The fsutil application is not a GUI that is accessed through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell, so its use won't be tracked via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key (although on XP, you may see a reference to fsutil.exe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch folder). However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change is made, a reboot is required for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change to take effect, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last access time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fsutil.exe file (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system32 directory) may give you an idea of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change was made, and you may cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be able to determine via ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r logs who made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification.

Friday, November 10, 2006

Parsing Raw Registry Files

I blogged about this Perl module before, but I've actually started using it myself. The Parse::Win32Registry module is a pretty great tool. Someone asked a question recently about getting some information about when a user account was created, and all that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original poster (OP) had available was an image. There were some good suggestions about getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's folder in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Documents and Settings" folder, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caveat that that isn't really cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account was created, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time that someone first logged into that account.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option is to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password was last reset. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password hasn't been changed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it was "reset" correlates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date/time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account was created (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HelpAssistant and Support_ accounts below).

Using info from AccessData's Registry Viewer and Peter Nordahl's chntpwd utility source code, I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r some code to parse out quite a bit of info about user accounts from a raw SAM file. For example:

Name : Administrator
Comment: Built-in account for administering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer/domain
Last Login = Never
Pwd Reset = Tue Aug 17 20:31:47 2004 (UTC)
Pwd Fail = Never
--> Password does not expire
--> Normal user account
Number of logins = 0

Name : Guest
Comment: Built-in account for guest access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer/domain
Last Login = Never
Pwd Reset = Never
Pwd Fail = Never
--> Password does not expire
--> Account Disabled
--> Password not required
--> Normal user account
Number of logins = 0

Name : HelpAssistant (Remote Desktop Help Assistant Account)
Comment: Account for Providing Remote Assistance
Last Login = Never
Pwd Reset = Wed Aug 18 00:37:19 2004 (UTC)
Pwd Fail = Never
--> Password does not expire
--> Account Disabled
--> Normal user account
Number of logins = 0

Name : SUPPORT_388945a0 (CN=Microsoft Corporation,L=Redmond,S=Washington,C=US)
Comment: This is a vendor's account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Help and Support Service
Last Login = Never
Pwd Reset = Wed Aug 18 00:39:27 2004 (UTC)
Pwd Fail = Never
--> Password does not expire
--> Account Disabled
--> Normal user account
Number of logins = 0

Name : Harlan
Last Login = Mon Sep 26 23:37:51 2005 (UTC)
Pwd Reset = Wed Aug 18 00:49:42 2004 (UTC)
Pwd Fail = Mon Sep 26 23:37:47 2005 (UTC)
--> Password does not expire
--> Normal user account
Number of logins = 35

Pretty cool. This is a little more info than you'd see if you were using RV, and I haven't even started to pull apart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global account information yet. The really neat thing about this is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Parse::Win32Registry module doesn't use Windows API calls, so you can install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module on Linux and MacOSX, as well.

Monday, November 06, 2006

ComputerWorld: Undisclosed Flaws Undermine IT Defenses

I ran across this article today. All I can say is...sad.

Undisclosed flaws may undermine IT defenses...but that presupposes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization has some kind of "IT defenses" in place. Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first sentence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Attacks targeting software vulnerabilities that haven’t been publicly disclosed pose a silent and growing problem for corporate IT.

Silent? The vulnerabilities cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves may be "silent", as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're just sitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. But I have to ask...if someone attempts to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, is that silent, and if so, why?

One of my favorite examples of defense (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military analogies just don't work today, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are simply more and more folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT realm who don't have any military experience) is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Mission Impossible movie. Cruise's character, Ethan Hawke, has made his way back to a safehouse after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 catastrophic failure of a mission. As he approaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stairs, he removes his jacket, unscrews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lightbulb from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 socket, crushes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bulb inside his jacket, and scatters cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shards on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 floor as he walks backward to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door of his room. How is this defensive? If someone approaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hallway is dark and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y end up stepping on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shards (which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can't see) and making noise...announcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presence.

The problem is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are great number of organizations out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that have very little in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of protection, defense mechanisms, etc. Defense in depth includes not only putting a firewall in place, but patching/configuring systems, monitoring, etc. Many organizations have some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in place, to varying degrees, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones that have more/most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m generally do not appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press.

This also highlights anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issue near and dear to my heart...incident response. The current "state of IR" within most organizations is abysmal. Incidents get ignored, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default reaction is to wipe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "victim" system and reinstall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system and data. This issue, as well as that of preparedness, can only be adequately addressed when senior management understands that IT and IT security are business processes, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than necessary expenses of doing business. IT and in particular IT security/infosec can be business enablers, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than drains to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line, IF cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are recognized as such by senior management. If organizations dedicated resources to IT and infosec cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did to payroll, billing and collections, HR, etc., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would actually be IT defenses in place.

An interesting quote from a Gartner analyst is that much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confusion about what constitutes a zero-day threat stems from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manner in which some security vendors have used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term when pitching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products. Remember, folks, it's all market-speak. Keep that in mind when you read/listen to "security vendors".

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same analyst: But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality is that most organizations “aren’t experiencing pain” from less-than-zero-day attacks. I firmly believe that this is perhaps partly true, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that many incidents simply go undetected. If an attack or incident is limited in scope and doesn't do anything to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff's attention, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it's likely that it simply isn't noticed, or if it is, it's simply ignored.

Friday, November 03, 2006

DoD CyberCrime 2007

Right now, I'm scheduled to present on Windows Memory Analysis at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD CyberCrime 2007 conference. I'll be presenting early on Thu morning. This presentation will be somewhat expanded over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I gave at GMU2006, and even though I've submitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation for approval, I'm hoping that between my day job and writing my book, I can put some additional goodies togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Going over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agenda for DC3, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re seem to be some really good presentations, from Wed through Fri. I'd love to see/hear what Bill Harback is talking about regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, and I see that Charles Garzoni will be talking about hash sets. Also, Alden Dima is talking about NTFS Alternate Data Streams, something near and dear to my heart.

Interestingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a total of (I count) four presentations about Windows memory. Tim Vidas and Tim Goldsmith are presenting, as is Jesse Kornblum (title: Recovering Executables from Windows Memory Images). This topic must be getting pretty popular. I hope to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to meet with many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks presenting and attending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.

Thursday, November 02, 2006

Forensics Blogs/Podcasts

Does anyone know of any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r purely forensics blogs and/or podcasts out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re? I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re're several neat, not-specifically-forensics sites, but I'm looking for just forensics; hardware or software, Windows, Mac, Linux, Atari, Commodore...anything specifically related to computer forensics.

Updates - Code and such

I updated some code recently and thought I'd post a quick note about it...

First off, if you're using kern.pl from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS Detection package on my SF.net site, I've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code to actually tell you which OS is running. The output is a little cleaner, and provides arguments so you can get a verbose output if you need it. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script has been renamed to "osid.pl", replacing kern.pl.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplest form, you simply pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RAM dump file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output:

C:\memory>osid.pl d:\hacking\boomer-win2003.img
2003

Or, you could use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arguments (use '-h' to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 syntax info) to get more info:

C:\memory>osid.pl -f d:\hacking\boomer-win2003.img -v
OS : 2003
Product : Microsoft« Windows« Operating System ver 5.2.3790.0

I posted yesterday about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk documenting script, which I thought was pretty neat. Thanks again to Jon Evans for pointing out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win23_PhysicalMedia class for getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number. My thought is that something like this is extremely useful, and easy to use (i.e., just cut-and-paste cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output into your acquisition worksheet after you've imaged a drive). The "Signature" helps you tie cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image because that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same value listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first DWORD of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MountedDevices entries.

Shifting gears, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 e-Evidence site was updated yesterday. Every month, Christine puts up new stuff and it's great to see what's out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. For example, I wonder how many folks have taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to reflect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first incident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way Brian did. Also, check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anatomy of a hard drive. There's always some interesting stuff on this site.

Wednesday, November 01, 2006

Documenting Disk Information

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that computer forensics nerds (present company included, of course) need to do a lot of is documentation...something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y, uh, I mean "we" are notoriously bad at. Come on, face it, most nerds don't like to document what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do...it just gets in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fun stuff.

What about documenting information about disks you image? You know...hook up a write-blocker, fire up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition software...what about documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk information for your acquisition worksheet, or your chain-of-custody forms?

One way to do this is with DiskID. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way is to use WMI. By correlating data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win32_DiskDrive, Win32_DiskPartition, and (thanks to Jon Evans for pointing this one out) Win32_PhysicalMedia, you can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same info as with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools (on Windows). For example, correlating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three Win32 classes mentioned give me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following - first, for my local hard drive:

DeviceID : \\.\PHYSICALDRIVE0
Model : ST910021AS
Interface : IDE
Media : Fixed hard disk media
Capabilities :
Random Access
Supports Writing
Signature : 0x41ab2316
Serial No : 3MH0B9G3

\\.\PHYSICALDRIVE0 Partition Info :
Disk #0, Partition #0
Installable File System
Bootable
Boot Partition
Primary Partition

Disk #0, Partition #1
Extended w/Extended Int 13

Then for a USB thumb drive (gelded of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U3 utilities):

DeviceID : \\.\PHYSICALDRIVE2
Model : Best Buy Geek Squad U3 USB Device
Interface : USB
Media : Removable media ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than floppy
Capabilities :
Random Access
Supports Writing
Supports Removable Media
Signature : 0x0
Serial No :

\\.\PHYSICALDRIVE2 Partition Info :
Disk #2, Partition #0
Win95 w/Extended Int 13
Bootable
Boot Partition
Primary Partition

See? Pretty cool. In some cases, you won't get a serial number, but for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I tested, I wasn't able to get a serial number via DiskID32, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool thing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Signature". This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DWORD value located at offset 0x1b8 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBR of a hard drive, and appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MountedDevices key entry for that drive (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data entry should be 12 bytes in length).

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win32_LogicalDrive class, you can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Drive Type File System Path Free Space
----- ----- ----------- ----- ----------
C:\ Fixed NTFS 21.52 GB
D:\ Fixed NTFS 41.99 GB
E:\ CD-ROM 0.00
F:\ Removable FAT 846.70 MB
G:\ Fixed NTFS 46.91 GB


Not bad, eh? And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool thing is that not only can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools (which were written in Perl and can be 'compiled' using Perl2Exe) be used with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FSP, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can also be used by administrators to query systems remotely.

Addendum, 3 Nov: I hooked up an old HDD to a write blocker today and ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools against it...here's what I got from di.pl:

DeviceID : \\.\PHYSICALDRIVE1
Model : Tableau FireWire-to-IDE IEEE 1394 SBP2 Device
Interface : 1394
Media : Fixed hard disk media
Capabilities :
Random Access
Supports Writing
Signature : 0x210f210e
Serial No : 01cc0e00003105e0

\\.\PHYSICALDRIVE1 Partition Info :
Disk #1, Partition #0
Installable File System
Primary Partition

I verified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature by previewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive in ProDiscover, and locating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DWORD at offset 0x1b8...it checked out. The Windows Device Manager shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tableau write-blocker to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HDD controller.

Here's what I got from ldi.pl:

F:\ Fixed NTFS 9.39 GB

The Disk Manager also reports an NTFS partition on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. Still looks pretty useful to me. DiskID32 reported some weird info, probably due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-blocker.

Monday, October 30, 2006

New Today

New Perl module on CPAN

I received an email this morning that directed me to a "new" Perl module called Parse::Win32Registry. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module allows you to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys and values of a registry file without going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows API. Very cool! This goes a step or two beyond my own Perl code for doing this, as it uses an Object Oriented approach (it also covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win95 Registry files, as well).

Even though this one isn't up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ActiveState site yet, it looks like a great option, and will be extremely useful. The install went really easy for me...I downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .tar.gz file, extracted everything, and just copied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 \lib directory into my C:\Perl\site\lib directory. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I began running tests with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample file, and things went really well.

Some of you are probably looking at this thinking, "yeah...whatever." Well, something like this can make parsing through Registry files to get all sorts of data much, much easier. I can also see this being used to parse through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry files in XP's System Restore points much easier, even to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of running 'diffs'.

New CyberSpeak show
Brett's got a new CyberSpeak podcast out...it's a short one this time, folks. Brett mentioned feedback and encouragement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show - I don't know what kind of feedback he and Ovie get, but like everyone else, I can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LibSyn site. These guys are putting forth a great effort, and it can't be easy to parse out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of time it takes every week to put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. I tend to wonder if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show could be used as a focal point to a sort of extended e-zine for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. I've thought before about how useful a digital forensics e-zine would be...something practical, useful, hands-on...not at an academic level, but more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of "here's what you can do, and here's how you do it". Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a wide range of subjects out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (I'm interested in Windows systems, Brett mentioned Macs in today's show...) I don't think that it would be too hard to put something togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r each week...folks sending in links to articles, etc. Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LibSyn site, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r site (like what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hak5 guys do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir show notes in a Wiki format), a neat little e-zine can be put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r each week/month, with lots of folks contributing. Just a thought...

Desktop Capture Software
Oh, and if anyone has any input or thoughts on some good, free desktop capture software, drop me a line. I want to capture my desktop while I speak into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mic on my laptop, so I can record HOW-TOs for my next book. I think that following along visually is better for some folks (and probably much more interesting) that reading a bunch of steps. Right now, I'm considering WebEx Recorder, but would like to get some input on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options. The requirements are simple...good quality output (with regards to video and audio), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recorder and player should both be freely available. I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IronGeek uses CamStudio...anyone have any thoughts or input on that?

Friday, October 27, 2006

It Bears Repeating

There are just somethings that you can't say often enough. For example, tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones you love that you love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Also, tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y suspect an incident, do NOT shut cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system off!

Think of Brad Pitt and Ed Norton (no, not that way!!) in Fight Club, but paraphrase..."cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first rule of incident response is...don't panic. The second rule of incident response is...DO NOT PANIC!!"

Okay, let's go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning...well, maybe not that far. Let's go back to an InformationWeek article published in Aug, 2006, in which Kevin Mandia was quoted...here's one interesting quote:

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst things users can do if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems have been compromised by a hacker is to shut off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PCs, because doing so prevents an investigator from analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine's RAM, which often contains useful forensic evidence, Mandia said.

So, what do you think? Is he right? Don't say, "well, yeah, he must be...he's Kevin Mandia!" Think about it. While you're doing that, let me give you a scenario...you're an admin, and you detect anomalous traffic on your network. First, you see entries in firewall or IDS logs. You may even turn on a sniffer to capture network traffic information. So let's say that at that point, you determine that a specific system is connecting to a server on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet on an extremely high port, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic appears to be IRC traffic. What do you do? More importantly, what do you want to know?

The usual scenario continues like this...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is taken offline and shutdown, and stored in an office someplace. An outside third party may be contacted to provide assistance. At this point, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is reported to management, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions become...what is our risk or exposure? Was sensitive information taken? Were ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r machines affected? If so, how many?

This is where panic ensues, because not only do most organizations not know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know how to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

...Mandia said rumors of a kernel level rootkits always arise within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that's being analyzed.

You'll see this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public lists a lot..."I don't know what this issue is, and I really haven't done any sort of investigation...it's just easier to assume that it's a rootkit, because at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, that says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is a lot smarter than me." Just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term rootkit implies a certain sexiness to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, doesn't it? After all, it implies that you've got something someone else wants, and an incredibly sophisticated attacker, a cyberninja, is coming after you. In some cases, it ends up being just a rumor.

The point of all this is that many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that management has about an incident cannot be answered, at least not definitively, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step is to shut down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, if you have detected anomalous traffic on your network, and traced it back to a specific system, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than shutting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system off, take that additional step to collect process and process-to-port mapping info (for a list of tools, see chapter 5 of my first book) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. That way, you've closed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loop...you've not only tied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic to a system, but you've also tied it to a specific process on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Of course, if you're going to go that far, you might was well use something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Server Project to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r even more information.

Thursday, October 26, 2006

Windows Memory Updates

Andreas recently released a new tool called poolgrep.pl. This lets you run searches across memory pools, looking for things such as timestamps, IP addresses, etc. You need to start by using poolfinder.pl to develop an index, and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re you can search through various pools for specific items.

This is definitely a start in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction. As Andreas has pointed out, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool header contains a size value, so we know how many bytes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool occupies. He has also shown that some pool contents can reveal network connections. From here, IMHO, we should focus on "interesting" pooltags, and attempt to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir structure. Once we do, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this can be added to tools such as poolfinder.pl, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data parsed and presented accordingly. In addition to network connections, for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clipboard (pool tag = Uscb) may be interesting, as well. MS provides a listing of pooltags in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pooltags.txt file that's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Debugger Tools. You can see an online version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file here.

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been an update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS ISC Malware Analysis: Tools of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trade toolkit listing...and it looks like I'd better get cracking on finishing up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools I've been putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to address not just Windows 2000 RAM dumps! ;-)

Monday, October 23, 2006

ForensicZone.com

For those who haven't seen it, you should check out ForensicZone.com, home of PTFinderFE and SSDeepFE. There's also a number of links on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site to cell phone stuff, particularly for forensics. Very cool stuff.

Vista, RAM dumps, and OS detection (oh, my!!)

I received an email from Andreas today, and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things he mentioned is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vista kernel in memory is 0x81800000...this could be added to my os detection script. So I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change to my script and ran it against a memory dump that I had from a Vista machine. Nothing. Nada. No impact, no idea. I opened up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump in UltraEdit and saw that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was nothing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset...well, at least no PE header.

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n fired up my Vista RC1 VMWare session, and ran LiveKD to see what it reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel base address as (0x81800000), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I suspended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session. I opened up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting .vmem file and ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script against it...and saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

File Description : NT Kernel & System
File Version : 6.0.5600.16384 (vista_rc1.060829-2230)
Internal Name : ntkrpamp.exe
Original File Name :
Product Name : Microsoft« Windows« Operating System
Product Version : 6.0.5600.16384
File Description : Boot Man╕╝ ç(╝ ç
File Version : 6.0.5600.16384╜ çp╝ çsta_rc1.060829-2230)
Internal Name :
Original File Name :
Product Name : Microsoft« Winh╛ ç╪╜ ç« Operating System
Product Version :

Very cool. To make this change yourself, just add '0x81800000 => "VistaRC1"' to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 %kb hash.

Addendum 24 Oct: Sent by Andreas, and confirmed this morning...add '0x82000000 => "VistaBeta2"' (remove outer single quotes) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 %kb hash in kern.pl.

Friday, October 20, 2006

Pool tag finder

Andreas released his poolfinder tool cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day, a Perl script for locating pool tags in a memory dump. This script accompanies a paper he wrote for IMF 2006 (here's his paper from DFRWS 2006).

So, what's a pool tag, and why is it important? According to Andreas, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel allocates what's referred to as a "pool" of memory, so that if an application requests some memory that is less than a 4K page, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than wasting all of that space, only what is required will be allocated. The pool tag header is a way of keeping track of this pool.

The pool header specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't any publicly available method for parsing that pool into something usable. I've used this technique to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Clipboard in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS 2005 memory challenge dumps, and Andreas has used this to locate network socket activity. Perhaps someone with experience in developing drivers for Windows can assist in developing a methodology for revealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various structures.

Additional Resources:
Who's using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool?
How to use PoolMon.exe

Addendum, 23 Oct: I've made some comments to Andreas's blog, and we've gone back and forth a bit. What I'd like to try to do is identify various pool tags that are of interest to forensic examiners (ie, TCPA for network connections, clipboard, etc.). Thanks to Andreas's work, finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool tags and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sizes is relatively easy...deciphering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into something readable is something else entirely.

Restore Point Forensics

I was doing some digging around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day, researching System Restore points in XP...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're only in XP (and ME, but we're only concerned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NT-style Windows OSs), and not something you'll find in 2000 or 2003.

So, what is "System Restore"? SR is a function of XP that creates "restore points" or limited backups of certain important files, depending upon certain triggers. For example, by default, a restore point will be created every calendar day. Also, restore points are created whenever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user installs software. This, of course, means that you could technically have multiple restore points created during a single day. Restore points can be used in case something goes wrong with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is affected...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user can select a previous restore point, and "roll back" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to that point. This is a very cool thing, and I've used it more than once myself. Keep in mind, though, restore points do not affect certain things, such as login passwords or a user's data, so don't be afraid to select a restore point from 3 days ago because you think you might loose that spreadsheet you built yesterday.

So what do restore points mean to us? Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're full of a wealth of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I've presented on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry as a logfile" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, and this is a great example of that. Important files are backed up, but so are portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System and Software files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's profile(s), and portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAM. These Registry files have keys in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys have LastWrite times.

Where do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se come into play? I've seen several questions in some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lists lately, asking about things like "was this user account on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system", or "did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name", as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions where, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face, would best be answered if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were some way to take a glimpse into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past. Restore points let you do that.

The structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points is pretty simple. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system drive, you'll find a "System Volume Information" directory, and beneath that a directory named "_restore{GUID}". Beneath that, you'll have numbered restore points...RP35, RP36, RP37, etc. You get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea. Within each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "RP**" directories, you'll have some backed up files (depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore point), and a file called 'rp.log'. This is a binary file that contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description string (null terminated string starting at offset 0x10) for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore point, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FILETIME object of when it was created (QWORD starting at offset 0x210). Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a snapshot directory holding all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry file backups.

If you're interested in peering into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se restore points, but don't have an image available, you can look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on your own XP system. One way to get some information is through WMI. Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SystemRestore and SystemRestoreConfig objects, you can get information about each restore point, as well as configuration settings about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Restore, respectively. I wrote a Perl script to do this...here's an excerpt of what I got on my system:

64 13:28:07 09/27/2006 Installed Windows Live Messenger
65 15:07:48 09/28/2006 System Checkpoint
.
.
.
73 12:45:41 10/09/2006 System Checkpoint
74 14:03:53 10/09/2006 Installed QuickTime
75 19:25:09 10/09/2006 Installed Microsoft .NET Framework 1.1
76 20:21:54 10/10/2006 System Checkpoint
77 20:52:59 10/11/2006 System Checkpoint
78 22:00:48 10/12/2006 System Checkpoint
79 22:20:18 10/12/2006 Installed Windows Media Player 11
80 22:20:41 10/12/2006 Installed Windows XP Wudf01000.
81 10:45:08 10/14/2006 Software Distribution Service 2.0
82 12:35:54 10/18/2006 System Checkpoint
83 18:29:09 10/19/2006 System Checkpoint
84 20:38:49 10/19/2006 Removed ProDiscover IR 4.8a
85 20:43:48 10/19/2006 Installed ProDiscover IR 4.84

Kind of cool. This gives me something of a view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, not only when it was online, but also what was going on. Notice that on 19 Oct, three restore points were created. Not only was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal System Checkpoint created, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a software removal and an installation. This script is very useful, not only for incident response (include it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FRU and FSP), but also for general system administration. It works remotely as well as locally, and gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin some good visibility into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting thing about this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points. Notice that as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore point indexes increase, so do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps. If I were to have modified my system time several days ago, things might not appear to be in order...so this is a good little sanity check to see if maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system time was modified. It's not definitive, mind you, but a good check.

If you just want to take a look around, go to SysInternals and get a copy of psexec. Once it's on your system, type:

psexec -s cmd

and a command prompt will open, but you'll have SYSTEM level privileges. Then type:

cd \Sys*
cd _restor*

Now, select one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points and cd to that directory, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot directory. If you do a 'dir' at this point, you'll see all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various Registry files that are backed up, each one beginning with "_REGISTRY_MACHINE_*". At this point, you can copy any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files out to a "normal" directory, and eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in a hex editor, or run it through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offline Registry Parser and see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents in ASCII. I tried this and dumped out one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAM files I found, and saw that I could see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C values that hold group membership information, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F and V values for user's account information. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've got in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 works is a set of scripts that will parse through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "normal" Registry files), reporting on what it finds...but in a way that's readable to an investigator. So, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than spewing out binary data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F and V values for a user account, translate that into something readable, like my UserDump ProScript. Something like this could be used to 'diff' cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various files from restore points.

I've developed a ProDiscover ProScript for sorting through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore points on an XP system, and I'll make it available when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next version is released.

Additional Resources:
Steve Bunting's site (he uses EnCase)
Bobbie Harder's site (links to KB articles)
Windows XP System Restore
Wang's Blog (tells you how to open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RP** Registry files in RegEdit)
Restore Point Log Format

Wednesday, October 11, 2006

New HaxDoor variant

I picked this one up from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securiteam blog this evening...it seems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a new HaxDoor variant out. Symantec's technical write-up contains a lot of detail (useful to forensic analysts...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIRST list should take note), and even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do classify this one as a "backdoor", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do actually use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "rootkit". For furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reading:
  • Trend Micro
  • Sophos (probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least useful)
  • McAfee (click on "Symptoms")
This variant captures keystrokes, steals passwords, allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker to download files, in addition to hiding itself, installing itself as a service, attempting to disable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Security Center, and maintaining additional persistence by adding an entry to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

Here's some info from MS on that Winlogon\Notify entry.

One thing I think that's needed is an understanding of how clear, detailed write-ups on things like this are important to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR/CF community. This sort of thing is very helpful when you're trying to ascertain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophistication of an intrusion, and perhaps even develop some next steps. Remember, things such as NTFS ADSs and esoteric Registry key entries may be ho-hum boring to a lot of folks, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're all pieces of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle if you're doing IR/CF.

If you think you may have a rootkit, check out one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools.

PTFinder Front End

Andreas posted this on his blog, and I took a look at it...very cool. This is a front-end for running PTFinder, and even allows you to choose which operating system you want to run it against. This makes things a little easier to use.

If you have a RAM dump and don't remember which OS it is, as long as it's between Win2k and Win2K3SP1, you can use my OS detection script.

The neat thing is that you can get output that looks like this. Very cool!

Monday, October 09, 2006

Are you a Spider man?

I found an announcement on anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r list today for Spider, a tool from Cornell University for locating sensitive personal information (SSN, credit card numbers, etc.) on a system.

I'm told that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intended use is to run it against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system after you've acquired an image, which makes sense. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system live, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebooted system, or remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive, image it, replace it, boot it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool. I wouldn't recommend it as an initial step in IR, as it will change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC times on all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files, but it is a great idea for IT admins. Many times during an engagement, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that will be asked is, "Is/was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any sensitive data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and if so, was it accessed/copied?" Well, IT admins can run a tool like this as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SOP...after all, if an incident does occur, you're going to be asking that question anyway, right?

Also, through in something like LiveView, particularly if all you have is an image. Boot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, and run Spider against it. Unfortunately, you're going to have to install .Net on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 booted image, but VMWare is great with snapshots.

So, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows version, you need to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .Net framework first. Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation for downloading and installing Spider refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 install file as "spider_nsis.exe", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows version (2.19a) comes as 'setup.exe'. The configuration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is a bit outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'norm'...you don't just launch Spider from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line with switches.

Interesting capabilities include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to add regex's, scanning of ADSs, and logging to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log or to syslog.

A great tool, but I really see it being more of an IT admin's SOP than a response tool, 'though it does have it's uses. Keep in mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation states that you can have a high incident of false positives, but that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case even with regex searches in EnCase, and just something you have to deal with for now.

Parsing Registry files

Last week, I mentioned making adaptations to a tool to perform specific tasks. Specifically, adapting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offline Registry Parser so that instead of dumping all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff in a Registry file, dump specific keys, values and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data, and translate that data into something human-readable (and parsable), racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than simply spewing it to STDOUT.

Where I thought this might be useful is with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAM file, to start. Run through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file and pull out all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user information, group membership info, and even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit policy (translated into something similar to auditpol.exe's output). A side benefit of this is that you could run it against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current SAM file, as well as any located in System Restore points, and get a rough timeline of when changes occurred.

This could also be done for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT files.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r benefit of this is data reduction. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than dumping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive, you could extract only those keys, values, and data that you would most usually be interested. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, you'd have less to analyze, and still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original data.

Saturday, October 07, 2006

Innovation

This post is likely to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of several, as it's something I've been thinking about for quite a while, and it takes new form and shape every time it pops into my head. So...please bear with me...

We see all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cybercrime is increasing in sophistication. We see this in reports and surveys, as well as in quotes. From this, we can assume (correctly) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a widening gap in abilities and resources between those committing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crimes, and those investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crimes. This gap is created when innovation occurs on one side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation, and not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

I guess we need to start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a need for innovation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of incident response (IR), and consequently computer forensic (CF) analysis?

I know that this is going to open up a whole can of worms, because not everyone who reads this is going to interpret it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way. Even though I get this question running around inside my brain housing group from time to time, I don't think I really have a solid grasp of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept yet. I see things and I think to myself, "Hey, we could really use some innovation here", or as in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of Jesse Kornblum's ssdeep, "Hey, THAT'S an innovation!!"

I know what isn't an innovation, though...hash lists are not an innovation. Not any more. Sorry. 'nuff said.

Let's look at it this way...right now, Windows systems are being investigated all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. I'm on several public and member-only forums, so I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions...some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same ones appear all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. There are just some things that folks don't know about yet, or don't have a clear understanding of, and simply don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to research it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. From a more general perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are areas of a Windows system that are not investigated on a wide basis, simply due to lack of understanding (of what data is available and how it could affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation). I firmly believe that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were more of an understanding and more knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas, some investigations reap significant benefits.

So, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 innovation need in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of knowledge, communication, or both?

Vista is bringing about innovations in technology. Un- or under-documented file formats require application-specific innovations (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se include Registry entries, not just binary format).

See what I mean? It's kind of hard to put your finger on, even though it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re...just outside your direct line of vision, like trying to see someone at a distance, at night. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one hand, cybercrime has a motivation to innovate...money. Innovations are made out of necessity. But what about ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases or issues, such as missing childern? Business innovations in technology and applications (MySpace, Xanga, IM applications, etc.) just naturally require innovations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas of understanding, investigations, and subsequently communications. Outside innovations in storage media have led to different (albiet, not new) means of committing information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft and fraud.

Thoughts?

Friday, October 06, 2006

d00d, you can do it on Windows, too!

Jesse Kornblum had a couple of interesting posts recently on his blog, both relating to ssdeep. Yes, Jesse, I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ssdeep stuff to be more interesting than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cat stuff. Sorry! One post was about using ssdeep to discover code re-use by comparing files in directories, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one was about using ssdeep to tie a portion of a file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original. Very cool stuff.

I've gotta say that ssdeep is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true innovations in incident response and computer forensics. This isn't a new/different implementation of something that's already cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re...this is truly something new.

Thursday, October 05, 2006

VMWare Converter (beta)

I received an email this morning that mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of VMWare's Converter tool, which is still in beta. Clicking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Registry Now" button lets you register for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beta.

The Converter is a tool that allows you to convert between formats. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web page:
  • Supports cloning a wide variety of Windows OS platforms including Windows XP, Windows Server 2003, Windows 2000, Windows NT 4 (SP4 +) and 64-bit Windows Support (Windows XP and Windows Server 2003).
  • Supports conversion of standalone VMware virtual machine disk formats (VMware Player, VMware Workstation, VMware GSX Server and VMware Server) across all VMware virtual machine platforms (including ESX 3.0 server and VC 2.0 managed servers as target host).
  • Supports conversion of 3rd party disk image formats such as Microsoft Virtual PC, Microsoft Virtual Server, Symantec Backup Exec System Recovery (formerly LiveState Recovery) and Norton Ghost9 (or higher) to VMware virtual machine disk format.
Pretty cool. Looks like additional functionality to what you get from LiveView. BTW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest CyberSpeak podcast has an interview of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of LiveView.

Tuesday, October 03, 2006

Rootkits revisted

I was browsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-Secure blog this morning and found something interesting...from last Friday, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was this post about reselling stolen information. Now, this is nothing new...this is just part of how organized online crime is becoming. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than one person doing everything, someone will purchase malware and use it to infect systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from Protected Storage, keystroke loggers, etc. This information is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sold to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs for use...in fraud, identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, etc.

For a good example of this, take a look at Brian Krebs' story from 19 Feb 06.

What I thought was most interesting about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-Secure blog entry was this:

These changing Haxdoor variants are generated with a toolkit known as "A-311 Death".

The toolkit itself is sold on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet by its author, known as "Corpse" or "Korpsov".

Okay, this is nothing new, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Selling malware toolkits or custom rootkits is nothing new, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. This toolkit is based on Haxdoor. I started taking a look around and I found some interesting links. One was from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nmap-dev list...it's a discussion of a service detection signature for rootkits produced from this toolkit.

My post on Gromozon has some links to rootkit detection software.

Additional Resources:
AusCERT
McAfee Rootkits: The Growing Threat paper
Symantec C variant, D variant

FSP/FRU File Copy Client posted

I posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File Copy Client (FCli) that was mentioned in Windows Forensics and Incident Recovery. After getting enough questions about it, I thought that it was about time that I uploaded it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SourceForge site.

The FCli is a GUI client that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator can use to select files to be copied from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'victim' system, over to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FSP server. Here's how you use it (I am going to create webinar/movie files for this stuff for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book)...download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SF site, and keep all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files (EXE and associated DLLs) togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same directory. For initial testing, you may want to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m separate from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools and files. Launch FCli, and choose File -> Config...enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address and port of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FSP server. Then choose File -> Open and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dialog to select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files that you want to copy (web server log files, etc.). Once you've selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files that you want, click OK to close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dialog and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file names will be added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCli ListView (you can go back and open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 File -> Open dialog again, if you wish).

Once you have selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files you want to copy, click "OK" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main FCli window. The status bar on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window will show you your progress...it may go fairly quickly. Once all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files are copied over, simply close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window.

What FCli does is first collect metadata about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file...size, MAC times, and MD5/SHA-1 hashes. This data is sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FSP server and archived. The file itself is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n copied over to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, at which point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server verifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hashes. Here's an extract from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case log file:

Mon Oct 2 21:26:14 2006;DATA command received: bho2.dat
Mon Oct 2 21:26:14 2006;HASH bho2.dat:885f60ff031496a3fe37aa15454c6a46:bf402abbbe76e417105d18ad9193436315dd7343
Mon Oct 2 21:26:14 2006;FILE command received: bho2.pl
Mon Oct 2 21:26:14 2006;bho2.pl created and opened.
Mon Oct 2 21:26:14 2006;bho2.pl closed. Size 1522
Mon Oct 2 21:26:14 2006;MD5 hashes confirmed for bho2.pl.
Mon Oct 2 21:26:14 2006;SHA-1 hashes confirmed for bho2.pl.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata is sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server and saved in a file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .dat extension (next version needs to change this, in case of a conflict with a file with a .dat extension), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hashes are pulled out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file and logged. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is copied over and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, after it's been written, is logged (you can verify this later with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size recorded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata). Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file hashes are computed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file that is now on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, and confirmed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata.

The archive you want from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SF site is fcli_20061003.zip. This archive contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable file and all supporting DLLs, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl source code for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCli.

Thanks, and enjoy!

Addendum: It seems that WinRAR-compressed files don't always play well with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r compression utilities, so I updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive and uploaded it...look for fcli_20061003a.zip

Monday, October 02, 2006

E-Evidence.info site updated

The E-Evidence site was updated earlier today...as always, lots of interesting stuff! Thanks, Christine!