Saturday, February 28, 2009

TimeLine Analysis, pt III

This whole "timeline analysis" thing is getting a little bit of play, it seems. Yeah, I know, I've been on my soapbox about it here and here, and even Rob Lee got into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic blog, as well. This is a good thing...timeline analysis, when it comes to digital forensics, can be extremely important. Timelines can be about who did what, when, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be about what happened when, on what system (or from which system did it originate?). Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, timelines can do a great deal to answer questions.

From what I've seen, and done, most analysts seem to be taking something of a manual approach to timeline generation; finding "important" events and adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m manually to a spreadsheet. This is fine, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are drawbacks. First, it's not entirely scalable. Second, as you start adding sources beyond file system data, you start adding complexity and time to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. In commercial consulting, time is money. For LE work, time is backlog. There's got to be a better way...seriously.

As a recap, some of where this originates is with Brian Carrier's TSK tools. Brian has some info on timelines here, in which he discusses using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "fls" tool to create a body file, which can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be parsed by mactime or ex-tip. This data can also be graphically displayed via Zeitline (note: Zeitline hasn't been updated since June, 2006). The TSK tools are fantastic for what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, but maybe what needs to be done is to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of fls to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level.

Now, something that folks (Mike, with ex-tip, and Rob, via SIFT) have done is to include Registry hive files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline analysis, following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of body file format as is used by fls...after all, Registry key LastWrite times are analogous to file last written/modified times. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some potential shortcomings with this approach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most notable of which is that you'll get a LOT of data that you're simply not interested in if you're getting all keys and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir LastWrite times from a hive file; many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry that may be modified during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of normal operations may not be of interest to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst. Also, simply displaying a Registry key's LastWrite time can have little to no context regarding what actually happened; this is especially true with MRU lists. This is pretty easy to overcome, though, by adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to write timeline data to RegRipper.

Okay, but what about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources mentioned? What about Event Logs? Event Log records may be important, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y generally don't fit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body file. Evt2Xls has been updated (after this tool was copied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WFA 2/e master DVD and sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher) to write out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that is necessary for timeline analysis. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools can also be included through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of import filters, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direction Mike Cloppert went with ex-tip. However, as we start adding sources (log files, EVT files, Registry hives, network captures, etc.) we need to add additional information to our "events" so that we can differentiate items such as sources, hosts, users, etc.

As I see it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are essentially 5 different fields that define a timeline event:

Time - MS systems use 64-bit FILETIME objects in many cases; however, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of normalization, 32-bit Unix epoch times will work just fine

Source - fixed-length field for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data (i.e., file system, Registry, EVT/EVTX file, AV or application log file, etc.) and may require a key or legend. For graphical representation, each source can be associated with a color.

Host - The host system, defined by IP or MAC address, NetBIOS or DNS name, etc. (may also require a key or legend)

User - User, defined by user name, SID, email address, IM screenname, etc. (may also require a key or legend)

Description - The description of what happened; this is where context comes in...

Now, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of data reduction, we can also define a sixth field, called "Type". There are essentially two types of events; point or span. Point events have a single time associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, span events (i.e., AV scans) have a start and end time associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only two, this can be a binary value (a 1 or a 0). However, maybe this is getting a bit ahead of myself; what I was thinking is that I've had a number of examinations where many files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system32 directory have had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir last access times modified to within a 3 min range, and reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV application logs, an AV scan had been run at that time.

Now, one thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five fields is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won't all be filed in by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available data, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. For example, when parsing Event Logs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be a user identifier (SID) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may not be host or system information available. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source field will most likely always need to be filled in by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter. This isn't really a problem, because when it comes to an actual timeline, all you really need is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time (or start and end times) and a description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event, which can include things such as host and system fields. But one thing to remember is what this is all really about is data reduction and representation; having fields to parse on can let you narrow down activity. For example, if you suspect that a particular user was involved in an incident, you can parse your data based on your user...eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by username, SID, or as user's of Analyst's Notebook may be familiar with, email address.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main issues with this is that analysts need to be aware of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can do...don't discount doing something just because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re doesn't seem to be an easily available means to do it right now. Timeline analysis is an extremely valuable tool to use, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step is to recognize that fact.

Resources
Geoff Black's CEIC 2007 presentation on timeline analysis
TimeMap Timeline Software (LexisNexis)
Lance's Windows Event Log post

Addendum: After posting, I finished updating evt2xls.pl, adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to print to .csv as well as to a timeline (.tln) format. The .tln format looks like this:

1123619815|EVT|PETER||crypt32/2;EVENTLOG_INFORMATION_TYPE;http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

1123619816|EVT|PETER|S-1-5-21-839522115-1801674531-2147200963-1003|MsiInstaller/11707;EVENTLOG_INFORMATION_TYPE;Product: Windows Genuine Advantage v1.3.0254.0 -- Installation completed successfully. (NULL) (NULL) (NULL)

1123619888|EVT|PETER|S-1-5-18|Userenv/1517;EVENTLOG_WARNING_TYPE;PETER\Harlan

1125353382|EVT|PETER||VMTools/105;EVENTLOG_INFORMATION_TYPE;

What we see here is 4 entries from a parsed Application Event Log file. There are essentially 5 fields, all pipe ("|") separated. The format looks like this:

Time|Source|Host|User|Description

Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Time value is normalized to 32-bit Unix epoch time, and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Time Generated field from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event record (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is also a Time Written field). What this does is allow an analyst to specify a time window, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n search a file (or several files) for all events that fall within that window; times and dates, as we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n on a live system (ie, "02/12/2009 06:57 PM") or in log files can be easily translated to 32-bit Unix epoch format, and at that point, searching for a specific time or within a specific time window is a simple matter of greater than or less than.

Also, you'll notice that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4 events listed above, only two have User fields populated, and both are SIDs. This is one way of identifying users, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SID can be "translated" by using RegRipper to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive (specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProfileList key) from that system.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Description field is made of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Event Source/Event ID; Event Type; Event Strings

This way, everything is easily parsed for analysis. The size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fields can be reduced by not translating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event type field to a string identifier...this would make comparisons "easier" programmatically, but as it is now, visually it's a bit easier for an analyst to understand.

As this process/framework is being developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was be trade-offs along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way...

Looking for "Bad Stuff", pt II

After part I of what looks like it may become a series of Looking for "Bad Stuff" posts, I thought it would be a good idea to address this topic a bit more; clearly, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest issues most analysts may have, regardless of affiliation (LE, corporate consultant, etc.), will be simply where to begin analysis in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of specific guidance or criteria. Sometimes even repeated and detailed interviews of IT staff do not provide you with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information you need (or worse, may send you off in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong direction) and hence, you need to start by casting a wide net through malware scans (AV, anti-spyware, rootkit detectors, etc.).

So, in an attempt to develop a codified process as a response to this question, we need to start by addressing a couple of things. First, at some point before you actually start performing analysis, even before you begin cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engagement, you need to ask yourself, What do I hope to achieve? Many times, this may be defined, to some degree, for you by a customer...ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times, it may not. Once you start to understand your own goals, you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n need to ask, What data do I need to achieve it? Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're beginning an engagement and scoping your acquisition, or you're sitting down to begin analysis of a single acquired image, DOCUMENTING cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir answers is paramount! I know, I know..."you s*ck because you make me write stuff down!" Believe me, I've heard it all before...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is, if you don't write it down, it didn't happen!

Casting Your Net
Once you're ready to kick off your analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of ways to get started. In my previous post, I mentioned mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image as a read-only file system and scanning it with AV software. Chris added booting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image with LiveView and scanning with live rootkit detection tools such as GMER. All of this is a great way to really cast a net, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole idea behind a net is that it's designed and created based on a current understanding of what you're trying to catch. Early fishermen created nets based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were trying to catch, and anyone who watches Man vs Wild or Survivorman has seen Bear and Les try to catch pretty small stuff (really, just about anything). As we've seen with many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware outbreaks lately (really, over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years), some malware isn't detected by AV products until someone else finds it and submits a sample...so if multiple malware scans come up empty, don't think that this definitely means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is NO malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's malware (AV, anti-spyware, etc.) scans, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's also ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to scan for unusual or suspicious files. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous post, I mentioned a couple of tools...missidentify, by Jesse Kornblum, and sigcheck, from MS/SysInternals. Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools can be used to attempt to identify suspicious files on a system, particularly where executable files tend to reside (system32 dir, in a Program Files subdirectory, etc.). These tools are by no means definitive...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still require someone looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results to determine what's legit and what's not. The reason for this is that malware authors and intruders put a lot of time and effort into remaining persistent on systems, and a tool written six months ago to detect a specific set of techniques will no longer be sufficient. Besides, to be completely honest, in a great many engagements I've been on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest thing to do has been to hide in plain sight.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool I mentioned was WFPCheck...you'll notice that this tool doesn't have a link. This is something I wrote a while ago to help detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of malware that subverts or disables Windows File Protection (WFP), and subsequently modifies "protected" files. Now, WFP is clearly not meant as a security or protection mechanism, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ways (albeit a finite number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m) to subvert or disable WFP (for example, see here and here); however, detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of an infection is sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way we have available of determining if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an infection.

Speaking of artifacts, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means of getting started in our analysis that we can do in parallel with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware scans is to extract important files (Registry hive files, EVT files) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image before mounting it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n do some targeted analysis of those files. Tools like RegRipper and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evt2Xls tools are extremely valuable for this kind of work, in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are fast, efficient, and depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user (or perhaps more accurately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user community), can be very, very targeted. I've written a number of plugins over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past several months that look specifically for artifacts left by specific families of malware.

What NOT To Do
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most often used means of "analysis" that I've seen with customers (and in user forums...forii...whateva!!) is, "I found a file and searched for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name on Google...". Folks, this is NOT an analysis technique. Sure, it's a way to start, but it should not be all you do. There are plenty of sources out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that provide a basic understanding of things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE header format, both on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web and in books (hint, hint). So all I'm sayin' here is, don't let a Google search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name or a string you found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of your analysis.

Monday, February 23, 2009

Printers Information

Has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re been a time when you've needed to get information about what printers were on a system when analyzing an image acquired from that system?

Over on Forensic Focus, Thomas Rude pointed forum readers to an excellent resource for information about printers on Windows systems, including a number of Registry settings. A quick bit of research revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values are volatile, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore only available when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is live. No problem...some quick coding using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win32_Printer class (via VBScript or Perl) gives you access to this information. A quick script returns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

PDFCreator [PDFCreator:]
Microsoft XPS Document Writer [XPSPort:]
Microsoft Office Document Image Writer [Microsoft Document Imaging Writer Port:]
hp deskjet 5550 series [USB001]

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available resources, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of queries and translations that can be quickly added to this script.

Now, what about collecting information about printers from an acquired image? Well, that's where RegRipper comes in, using a plugin that I quickly wrote up. Using information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UnDocPrint site as well as from TechNet, I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a quick plugin that extracts printer information from user hive files:

C:\Perl\forensics\rr>rip -p printers -r d:\cases\local\ntuser.dat
Launching printers v.20090223
Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts
LastWrite Time: Thu Dec 18 12:39:15 2008

PDFCreator (winspool,Ne00:,15,45)
Microsoft XPS Document Writer (winspool,Ne01:,15,45)
Microsoft Office Document Image Writer (winspool,Ne02:,15,45)
hp deskjet 5550 series (winspool,Ne03:,15,45)

Default Printer (via CurrentVersion\Windows): hp deskjet 5550 series,winspool,Ne03:
Default Printer (via Printers->DeviceOld): hp deskjet 5550 series,winspool,Ne03:


The plugin extracts information about available printers that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user "sees", and also checks in two locations where MS says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default printer is maintained. According to MS, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "NExx" included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 printer indicates that it uses a network port, where "LPT1" would refer to a local port. Interestingly, running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shares.pl plugin against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System hive file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same system shows us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

C:\Perl\forensics\rr>rip -p shares -r d:\cases\local\system
Launching shares v.20090112
print$
Path=C:\WINDOWS\system32\spool\drivers
Remark=Printer Drivers
Type=0

SharedDocs
Path=C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTS
Remark=
Type=0

Printer2
Path=hp deskjet 5550 series,LocalsplOnly
Remark=hp deskjet 5550 series
Type=1

The Win32_Share class provides us with some information about different share types; for example, type 0 is a disk drive and type 1 is a print queue.

Have you ever needed information like this during an investigation?

Resources:
Changing a User's Default Printer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry
Registry Entries for Printing
How to Add a Default Printer for All New Users
How to Manually Delete Print Shares or Printers

Saturday, February 21, 2009

Looking for "Bad Stuff", part I

Searching for unknown issues within a Windows image is always a tough thing...a great deal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response and forensic analysis that I do is preceded by a triage worksheet, interviews of key personnel, etc. Sometimes, I will even ThunderDome two people who give me disparate information, simply because it's a good interro...I mean, interview technique. Anyway, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of all this is to narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue as much as possible to help me identify what an issue, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source might be, etc.

Even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of all this, we all sometimes still get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directive to find "all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad stuff" on a system, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on a live system or within an image. This is like looking for something in a hay stack, only you don't know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 something is. Generally, you try to do things like ask, "when did you first notice this activity?", or "what kinds of things alerted you to this issue?"; it may be network traffic, sluggishness on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, etc.

Recently, a friend asked how to determine if a system might be compromised. We see this a lot with incident response, as well...here's a system that we think might be compromised...can you tell us if it is? So, let's assume that you have nothing but an acquired image of a Windows system to analyze...what can you do to determine what happened on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, with very little to go on?

Mounting The Image
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things we can do to make our analysis somewhat more efficient is to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r some tools. As such, we'd like to mount our image as a read-only file system...to do so, we can look to commercial apps such as ASRData's SmartMount, or you can use freeware tools such as ImDisk or VDKWin. The VDK executable will let you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition table information from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image, as will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI-based Partition Find and Mount (discussed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Blog)...however, Partition Find and Mount does not appear to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to mount a partition read-only; it will reportedly allow you to mount a potentially corrupted partition, so this may be an option...in order to recover data for analysis, mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n acquire an image of it.

Also, as long as we're discussing mounting images, we HAVE to talk about F-Response Enterprise Edition and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Management Console that Matt has released! When working in a live scenario when an enterprise capability is required, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FEMC makes it SO easy to connect to a live system and collect data, and F-Response, by its very nature, makes it SO safe.

Let's not forget all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great work Rob Lee has done with SIFT! "SIFT" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Investigative Forensic Toolkit Workstation, a Linux-based VM that Rob has assembled for use, not only in training, but also in practical application. Rob even recently posted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic blog, demonstrating how you can use SIFT and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux "mount" capability to mount your acquired image as a read-only file system in Linux, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n access it via Windows.

Getting yer Scan On!
Okay, choose whichever means or method works for you...but at this point, we can assume that we have an acquired image mounted on our analysis system as a read-only file system/drive letter. A great way to get started on "looking for bad stuff" is to start with some AV/anti-spyware scans. Now, running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se scans does not mean we're lazy...it means we're smart; we're making use of our available resources to perform a modicum of data reduction.

To that end, here are some links to free AV scanners:
Free AV Scanners
Portable AV/Malware Security Tools
PCTools - Free AV
MalwareBytes

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons why I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se free AV tools isn't just because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're free...part of it has to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir limited capability. What I mean by this is that most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free AV tools are just scanners...in order to get real-time protection, you need to pay for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional capability. Yeah, but...we don't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real-time protection...all we want is to be able to update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool (even manually...including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that we did so in our documentation), and run a scan when we decide to...even if it means as a Scheduled Task. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great things about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools, particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones that are portable, is that you can keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all on a thumb drive, update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m regularly, and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m right from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumb drive. I've has some great success with many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, including ClamAV and a2Free.

Targeted Analysis
Okay, getting some of our bulk data reduction out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way is a great way to get started, but nothing is going to keep us from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to roll up our sleeves and get deep into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weeds with our analysis. Also, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of a lot of recent activity, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that is obvious is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV industry, by it's nature, is usually one step behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware authors. Therefore, don't be surprised if you've scanned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted image and not found anything specific that would point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity in question. This is where a more surgical approach is required...besides, this is more fun, too!

Log files
If you're read (or heard from someone who has read) my book, you'll know that Windows systems are just chock full of log files! There are a number of places you can look for information about that status or state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, determining such things as attached devices and installed software. One useful log file is MRT.LOG, which is used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Malicious Software Removal Tool. This is essentially a microscanner (similar to McAfee Stinger) in that it protects a system against a very limited set of threats. This can help you narrow down what might have been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Don't forget that AV applications keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own logs, as well. Mandiant's recent release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT Forensics M-unition Pack includes a PowerPoint presentation that lists, for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of Symantec AV OnAccessScan logs. AV products generally tend to keep logs as to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product was last updated, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of various scans that have been run, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r automatically or on demand.

Event Logs
The Windows Event Log is something of a specialized log, as on Windows XP and 2003, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are kept in a binary format (Vista and beyond use an XML format). While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual configuration of what is and isn't audited is controlled, in part, through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, some applications will record information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs. For example, AV applications will record information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log.

Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log into something readable can be difficult, unless you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right tools. I tend to start with my own; evtrpt and evt2xls.

Note: Evt2Xls does NOT have a 64K limit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of rows it will process...that limit is imposed by some versions of Excel. The spreadsheet app in OpenOffice apparently does not have that same limit.

Registry Analysis
This can be a pretty comprehensive subject, one which I've already started down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road on...I won't go into any more detail here, but will instead leave this for later discussions.

Specialized Tools
There are also a number of specialized tools you can use to help narrow down any issues that might come up...I'll list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here without a great deal of explanation in hopes of generating questions or discussion:

missidentify
sigcheck
WFPCheck - not a released tool, but something I wrote (and discussed in WFA 2/e) that I use to help me determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that disabled WFP and infected or replaced "protected" files
LADS
Yara and Scout Sniper - you should really check this out!

Practical Application
The more data you have, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better you will be able to narrow things down. I recently performed an examination of an image, and had some external network-based sources that I was able to use to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of certain behaviour that had been observed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Service start times within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log correlated very closely to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 times that network-based applicance logs showed certain activity starting on several days; from this, I was able to narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presumed malicious activity to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interaction between two applications on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Note: I don't care what Webroot customer support tells you...even if Spy Sweeper is not configured to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file, it will still parse it and issue DNS queries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains found in that file.

Friday, February 20, 2009

TimeLine Analysis part II (Sources)

I posted earlier on TimeLine Analysis, and wanted to add some thoughts that went into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire process with respect to sources of timeline data. Most of us think of a host system and think of an acquired image, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n think of something like TSK tools (fls) or EnCase when we think of timeline data being extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system. Historically, file MAC times have been extremely important with respect to forensic analysis, but over time, we've been adding ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources of timeline data.

For example, Lance recently posted on using MFT entries to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of utilities to alter timestamps.

Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, and a number of ways for extracting timeline data from hive files, including key LastWrite times (including from deleted keys), and timestamps embedded in Registry values (UserAssist keys, MRUs, etc.). RegRipper gets a lot of this data now, so it's readily available.

Event Logs are a great source of timeline information, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right format to define an event.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 2 yrs or so, I've been associated with a number of examinations involving SQL injection, many of which relied on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIS web server logs as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial source of information.

Memory dumps have timestamped data that can be extremely useful in timeline analysis.

What about sources outside of a host system? Network packet captures, firewall or device logs, etc., all include timestamped information.

Of course, when collecting and normalized timestamped data, an analyst has to address issues such as timezones (I recently worked with some data where some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs were presented in EST format and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in GMT), as well as clock skew. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be events that do not lend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to easy extraction via some automated means, such as using a Perl script; for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se events, having a dialog box where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst can enter all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary information would likely be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best approach.

I also wanted to point out HogFly's blog post with respect to data representation. Very cool. I think it tells cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story about what happened, getting dry, technical information across while at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time engaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 non-technical reader.

Thursday, February 19, 2009

Application Forensic Artifacts

Forensic artifacts left by installed applications can be an excellent source of data when performing analysis. For example, MRU lists used by applications (and maintained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry) can lead to demonstrating that not only did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspect know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files were on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y viewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I've spoken with LEOs who've used this technique successfully.

Here's an excellent post regarding what has been found with respect to Corel Photoshop.

AV application log files can provide a great deal of insight into activity that occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, such as updates, when scans were run and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results, etc.

Tuesday, February 17, 2009

Virut: Unanswered Questions

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that really bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs me sometimes about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV industry is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of information that's available with respect to a great deal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware that's out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Take Virut, for example. Microsoft's Malware Protection Center had a post here about a new variant being available, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's information here regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virut virus family (info about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest variant, Virut.BM, is here).

Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various AV vendors also provide some modicum of information about eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virut family or a specific variant, all with varying levels of information. Some, like McAfee, provide more information than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, so that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product itself isn't picking up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virus (due, in part, to its polymorphic nature) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n maybe you can look for artifacts (modification to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts file, Registry keys/values, etc.) that may help you narrow down not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection, but also help you identify ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infected systems.

One interesting aspect of all of this, and glaringly obvious in its absence, is any discussion of Windows File Protection, or WFP. While WFP is not mean to be a security mechanism, per se, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is that if Virut infects all EXEs on a system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it would stand to reason that protected system files that are infected would be replaced by WFP...IF it were not disabled. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re seem to be no discussions about this at all (at least not since Dec 2007), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it would stand to reason that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virus does, somehow, disable WFP.

So...does anyone have any thoughts on why Microsoft isn't letting its customers know about this?

Addendum: First, per cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments to this post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC listing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virus was updated to include information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method used to disable WFP/SFP while this post was being written.

Now, in yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 massive disconnect between AV vendors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers, McAfee has a post on W32/Virut.n that refers to "Registry entries", without specifying whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries are Registry keys or values. Symantec, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry an "entry" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir W32.Virut.CF post, but provides enough information to indicate that it's a value.

How is this a disconnect? Many customers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se AV vendors have enterprise-wide infrastructures, and need to determine ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems that may be infected. MS's WMI provides a fantastic capability to quickly determine this...and yet, without clear, concise, and correct information, customers are left struggling.

Is it really that hard? I mean, you've done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information. What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue? Also, why is MS cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only vendor that I've found so far to make any mention of WFP being disabled?

HBGary: FastDump and Responder

Thanks to Rich Cummings, I was recently able to take a look at HBGary products that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y offer with respect to physical memory collection and analysis; specifically, FastDump Pro and Responder Professional.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FastDump product is pretty cool. The free version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool allows you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory from pre-Windows 2003 SP 1 systems (XP, Windows 2003 w/ no Service Pack). Now, a lot of folks are going to look at FastDump Pro and wonder why it's available for a fee; well a close look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FastDump Pro should very quickly make anyone realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is definitely worth what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're charging; FDPro is not encumbered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4GB limit, works up to Windows 2008 (Windows 7 Ultimate Beta shouldn't be a problem, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r), and it handles both 32- and 64-bit versions of Windows. That's A LOT packed into a $100 executable! FDPro also has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to incorporate collection from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile, as well; however, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited testing I've done so far, analysis tools ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than Responder won't necessarily "understand" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .hpak format.

Before we look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product, I'll have to upfront about my testing...my focus was incident response, and I really didn't intend to fully exploit Responder's malware analysis capabilities. So, essentially, while I had access to an evaluation version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder Pro product, I was really using what amounted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field Edition. However, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've really been pushing with respect to incident response is speed...when an incident occurs, information collection and analysis needs to start as soon as possible, and tools like FastDump Pro and F-Response give you that speed in collection; Responder gives you speed in analysis for a range of Windows operating systems through a common interface.

So I started off by creating a case in Responder and loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first memory dump/snapshot from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS 2005 Memory Challenge. Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot can be a raw memory dump, collected via dd.exe (no longer available), F-Response + {enter a tool here}, FastDump, FastDump Pro, etc. Responder will identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump and extract a good deal of information, making it available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface (UI). So, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump has been collected, it just takes a couple of mouse clicks to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder is actually looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump, viewing things such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active process list, network connections, etc.

When I first looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product a bit ago, as an incident responder, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues I had as being able to quickly and easily find what I was looking for...in particular, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line used to launch each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active process list. Well, not only is this now available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product, but you can also drag cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 columns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI to a more suitable location. For example, I dragged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process command line over to line up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process name, PID, parent PID, and command line so that I could see everything togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and quickly run through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries.

You can also view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open network sockets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump in a very netstat-like format. An option that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product provides is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you're viewing in a variety of formats (Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 export functionality was disabled in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evaluation version). This allows you to use eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r screen scrapes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder UI or exports of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data for reporting, or you export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you've got and use tools similar to Gleeda's vol2html.pl to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format a bit.

Now, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options when importing a snapshot is to "Extract and Analyze All Suspicious Binaries"; this allows for a modicum of analysis to occur while importing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot. What is "suspicious" is defined by rules visible in a text file, which means that as you become more familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, you can comment out some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules, uncomment some, or add your own.

With Responder, you can also view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open handles and network sockets for a specific process, view, analyze, or save a copy of a binary (exe or DLL/module), run strings against a binary, etc. There is a great deal of capability in this tool, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no way I'm even beginning to scratch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surface. From an IR perspective, tools like this provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first responder with a means of getting answers quickly, while at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time being able to "answer new questions later". This is an extremely powerful capability...imagine quickly triaging an incident and being able to narrow down from your 500 possible systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12 or so that may be "in scope". Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost savings. And when you do acquire physical memory, you've also got a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is any) in an unencrypted, un-obfuscated state.

Admittedly, Responder doesn't give you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same granularity, deep-dive capabilities, and flexibility of Volatility, but it does allow you to import memory snapshots from a range of Windows versions and puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools in your hands to quickly get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers you need; that in itself is a huge plus! Again, I did not really dig into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full spectrum of capabilities of FastDump Pro and Responder, so if you're interested in really exploiting HBGary's capabilities for doing malware analysis, you should definitely consider giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m a call.

Thursday, February 12, 2009

One World, Under F-Response

Matt Shannon is one of those guys that comes along and has a noticeable and definite impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of Incident Response. First cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was Nigilant32, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was F-Response, with which Matt and his crew were able to provide a whole new...and much needed...capability to incident responders.

In October 2008, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit, Matt and Aaron Walters gave an excellent presentation on Voltage (F-Response + Volatility), showing how a responder can deploy F-Response and use functionality based on Volatility to fight malware. The presentation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation were awesome!

More recently, Matt's shown how F-Response can be used with Nuix and Intella (be sure to check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 videos), clearly showing how F-Response's tool-agnostic framework can be used to really leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools. Matt and Jamie Butler of Mandiant also recently announced that Memoryze supports F-Response.

Well, Matt's gone and done it again with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-Response Enterprise Management Console (blip.tv video...even if you don't have F-Response EE yet, you should still watch this video)! Until now, pushing out F-Response EE to one system required some work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt, but now, Matt's made it so that it takes more effort for me to play BrickBreaker on my BlackBerry than it does for me to push out F-Response EE to one, two, or a dozen systems on a network!

So that's what I did...I fired up my Window 7 Ultimate Beta VM and basically followed Matt's video. As a caveat to this, I do have some experience working with F-Response EE via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt, so it may have gone a bit more smoothly for me than for a first time user...but Matt's video is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best place to start. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video, Matt walks through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various components of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI and how you use each piece of information.

You can scan a workgroup or domain, IP address range, or directly connect to a system. I chose to connect directly to the system itself, in order to try out that functionality. Once I got connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM (this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM I downloaded from BitTorrent, so it appears with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TuxDistro-PC system name), I could clearly see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, all I needed to do is walk through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FEMC interface to install F-Response on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system and start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name I provided through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI. Since I wanted to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical memory (and had selected that through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system, once F-Response was up and running and I had connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system, I could see two targets. The first target listed (:1) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical memory from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second target listed (:0) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive. At this point, notice that I haven't had to open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator console at all...all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality for managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of F-Response EE is handled through a single interface.

Pretty cool so far...at this point, this has all just been a couple of mouse clicks. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is to fire up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Disk Manager on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system from which I'm running all this...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system appears as Disk3, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive appears as Disk4. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory does not consist of a recognized file system, it's going to be accessible as \\.\PhysicalDisk3, and can be accessed via FTK Imager or Memoryze, which just reinforces how F-Response is a tool-agnostic platform. The larger partition from Disk4 got mapped to my analysis system as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I:\ drive, and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re I was able to run tools of my own, like RegRipper, which allows me to perform a modicum of triage and analysis.

These will show up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FEMC UI, you don't NEED to go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Disk Manager to see and access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...I simply show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of transitioning from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLI method. The physical disks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves are shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Connect tab (you may need to refresh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re). Also, you can follow what's happening in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Messages tab, and even cut-n-paste all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages from your session and use those in your case notes as your documentation.

Matt blogged on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FEMC here.

I've got two words for you. Suh. WEET! There's no question...for what amounts to a very modest price, you (consultant, IT staffer, etc.) have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to get answers NOW, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're responding to an incident, or addressing an HR issue, or even just network or system troubleshooting. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current model of incident response is when something happens, many organizations call someone; from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, it takes time set up a conference bridge, describe to someone who isn't familiar with your infrastructure what's going on, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir gear and get on a plane...it could be 24 (or more) hours before someone's on-site, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have collect data. With F-Response and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FEMC, you can now preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data (i.e., in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of new malware, collect a memory dump), provide it to consultants, and start getting answers while whomever is designated to come on-site is still looking for flights!

Tuesday, February 10, 2009

Using RegRipper for malware detection

Sometimes during post-mortem analysis (or during incident response using F-Response) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question you may be faced with or that may be peripheral to your analysis is, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system infected with some kind of malware? This can particularly useful as some AV products may not detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, and some malware disables AV products when installed. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been a number of examples recently where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves have random names, so understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism (i.e., Registry artifacts) might help narrow things down tremendously, and quickly.

Well, you can use RegRipper to help you figure this all out.

Take for example Trojan.Brisv.A...according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec write up, when a system is infected, it creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software\Microsoft\PIMSRV key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's hive. Since this is a unique key, it can be indicative of an infection. This malware also modifies two Registry values within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's hive specific to Windows Media Player:

Software\Microsoft\MediaPlayer\Preferences\URLAndExitCommandsEnabled; changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to "0"

Software\Microsoft\MediaPlayer\Player\Extensions\.mp3\Permissions; changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to "21"

So, all someone needs to do is write a plugin for RegRipper that checks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first key, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two values.

As it is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mpmru.pl plugin will retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of files most recently played via Windows Media Player...what you want to look for (based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec write up) is a .wma file that was played.

Addendum: To add to this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Malware Protection Center recently posted on a spam-for-hire Trojan with rootkit functionality called Win32/Srizbi. This malware reportedly uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key as its persistence mechanism (which RegRipper already extracts values from), and installs its kernel-mode rootkit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Services key, which RegRipper also extracts. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples, such as Win32/Roron, illustrate ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples of where RegRipper can be used to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry for indications of an infection.

Friday, February 06, 2009

Tools

A couple of tools I've written have popped up on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blogs recently, so I thought I'd link to those blogs here...

Andrew Hoog posted a HOWTO on his eDiscovery blog, which illustrates how to extract metadata from Word doc files, on Linux systems. I really like Andrew's post for a number of reasons, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least of which is that it highlights both something I wrote and Perl in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same post! But seriously...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format is great, and it's very comprehensive and easy to follow, particularly with respect to how to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary Perl modules to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wmd.pl script working properly. This script is included on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD that accompanies both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first and (soon-to-be-published) second editions of Windows Forensic Analysis. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting additions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of WFA is a case study of a time I used wmd.pl's sister script, oledmp.pl, to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r my analysis.

RegRipper made it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic blog in a post by Keven Murphy. Keven's post illustrates how to run RegRipper (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI) under WINE, or you can use Daniele's modified version of rip.pl to run that under Perl on Linux.

Just a couple of things that I'd like to mention in order to clarify Keven's post a bit...

First, he's right...RegRipper does use "pre-canned" plugins...just like Nessus. And just like Nessus, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins are essentially text-based, so anyone can (and has) open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, or write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own plugins. In fact, Jason's even created a plugin generator!

Second, to update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins, just drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins directory...it's that easy!

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shout-out, Keven! Glad you like RegRipper, and I'd love to hear your thoughts for modification or improvement. Also, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's complete and into publication, I'll focusing my efforts on RegRipper v3!

Over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper forums, a RegRipper user posted about how he'd used FTK Imager to extract all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator user hive files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP Restore Points into a directory called "restpts", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following batch script to run a single plugin across all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extracted hive files:

for /R restpts %i in (*) do rip -p typedurls -r "%i" >>typedurls.txt

This is a great way to do this kind of thing with what you have, but ripXP was designed to do this, and pulls out a bit more information, as well, in order to provide additional context to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information. I know what you're going to say, and you're right...ripXP is not publicly available as of yet...but that's a discussion for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r time.

Wednesday, February 04, 2009

More on Data Breaches

Beware...here's your warning: This post is NOT specifically about Windows incident response or forensic analysis. Okay. There. You've been warned.

Brian Krebs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityFix blog posted recently that data breaches are more costly than ever. I can't say as I'm surprised...security folks have known for a long time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cleaning up a mess is much, much more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of finding and fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues before an incident happens (ie, how much does it really cost to put a password on that 'sa' account?). In some ways, this is common sense, but apparently, not "common" enough.

Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first sentence of Brian's post: Organizations that experienced a data breach paid an average of $6.6 million last year to rebuild cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir brand image and retain customers following public disclosures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents...

I think that this makes a couple of key points...

I found a similar article on DarkReading, as well. Both articles reference cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ponemon Institute study, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Cost of Data Breach Study. A couple excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 articles that I found interesting:

Data breaches experienced by "first timers" are more expensive than those experienced by organizations that have had previous data breaches....

No kidding. You get caught with your pants down (I wish I had a graphic, but hey, this is a PG-13 blog), and that's what happens. You don't know enough about your architecture or infrastructure, about where sensitive data is stored or processed...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n someone intrudes into your network and figures it out...but not for you. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. And takes stuff.

Also, Brian pointed out hard costs associated with breaches, such as hiring forensic analyst and responder firms, setting up call centers, and discounts on future products. These all go beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hard costs, such as notification (estimated now at ~ $100 per record), law suits (don't believe me? Check out this article...), etc.

The fact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is that breaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves are far less expensive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of preparation. There's no question...incidents WILL happen. We've seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surveys, and we've seen this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media. So why wait for a breach to happen in order to justify spending to prevent or detect security incidents? I mean, seriously...do companies hire employees and wait until someone brings a law suit to start paying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? Do companies offer a product without sales, marketing, maintenance, and some way of billing customers (invoice, collections, etc.)?

So where most organizations are right now is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're likely sitting at a table with someone who wants to sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m services of some kind that have to do with security. The decision point is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certainty of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purchase order that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sales guy is pushing across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table versus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of a major data breach occurring at some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. I understand this. However, what I do not understand is why organizations that store and process MY sensitive data do not recognize that that possibility or probability is rapidly approaching certainty. If you cannot clearly demonstrate your controls and you have no visibility into your infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I would suggest that it's already cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experiences, however, most companies still don't plan financially for data breaches.
Now, see this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part I don't get. It's one thing to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hannafords and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Heartlands, and to think, hey, it won't happen to ME. However, it's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing entirely for it to happen to you, for you to be informed as to just how vulnerable you really are, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n for you to think, hey, it won't happen to me AGAIN.

The study also does not measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of intellectual property that is lost or stolen as a result of a data breach.

Ugh. How many organizations out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are smuggly grinning ear-to-ear, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't store or process "sensitive data", as defined by PCI, NCUA, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 abundant state legislation, all while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intellectual property is being siphoned off? "No, we don't have to meet compliance because we're not required to." Well, don't you want to...you know...protect your intellectual property (R&D, manufacturing process specs, new drug/medication design specs, etc.) just because its cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RIGHT THING to do? Well, no...where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ROI in that?

Oh, and since I mentioned Heartland, I simply can't let this pass without mentioning Cory's comments on this recent StoreFrontBackTalk article. To me, as an experienced responder, this is a great example of "denial isn't just a river in Egypt". Yeah, it's also a great example of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things get wildly miscommunicated through Public Relations or Corporate Communications, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media, but it also reminds me that folks are more likely to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir friends, "hey, I got mugged on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way home from work and beat up by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pittsburgh Steeler's defensive line", when in fact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth is that a 12 yr old girl took your wallet. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to say it is, make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story sound a lot better than it really is...don't let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts get in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of a good story.

Tuesday, February 03, 2009

Forensic Links

This post is just a series of links I've come across lately that I've found interesting, and I wanted to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se along with some context...

Barry Grundy of NASA runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LinuxLeo.org site; while his site is not specific to Windows, his beginners guide provides an excellent resource to new users, and he does have a couple of NTFS images for download and use in his practical exercises.

This "Investigating Windows Systems" article from Linux magazine is an excellent resource, as many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article are also available as Windows-based tools, and can be used with VDKWin or ImDisk. The article provides links to tools like pasco and mork.pl (or you can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl module here, or get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module using ppm on ActiveState Perl), and you can get a Windows version of ntfsundelete here.

Jolanta Thomassen did some excellent work with respect to analyzing Registry hive files for deleted keys, and providing code to demonstrate this functionality. Her code can be found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Downloads section of RegRipper.net, and her disseration is available here.

Don Weber of Security Ripcord posted on Windows incident response, using only system resources. To top it off, he posted his script, as well.

Naja Davis has written an excellent paper on Live Memory Acquisition for Windows, referencing among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition of Windows Forensic Analysis.

Richard McQuown posted on actually using some of Moyix's new Volatility plugins to actually do stuff. Some very cool stuff. It's always great when someone produces something (like Matt Shannon and F-Response) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m someone else actually uses it.

Monday, February 02, 2009

TimeLine Analysis

Note to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader, and to self: This topic is more than likely going to be spread out over several posts, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information develops...

As I've been working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of Windows Forensic Analysis, as well as working my own engagements and assisting with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, I've been doing some serious thinking about timeline analysis. Well, to be honest, I'm not so much bringing this up myself as sort of adding to what Michael Cloppert posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensics Blog. Michael wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ex-tip tool and a really great paper about it (basic concept, design, etc.), and I've been doing some thinking about this very same subject over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of weeks/months, particularly after exchanging some emails with Michael and Brian Carrier. Apparently, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have been thinking about this subject, as well, including our friend HogFly (see his excellent Footprints in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snow post).

A lot of my thinking along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lines started with Brian Carrier's TSK tools (also available for Windows) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fls tool he wrote which created a body file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image. I had thought about writing a tool or adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to RegRipper to report data in a format that could be easily added or appended to a body file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parsing process used by mactime or ex-tip. Mike included this sort of capability as a plugin to ex-tip, but it simply retrieves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite times of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys and doesn't provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of context or data reduction available through something like RegRipper (or rip.exe). Like Mike, I also started looking at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources of data, including parsing Event Logs with evt2xls and incorporating that information directly into timeline analysis.

However, it occurs to me that a couple of modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current processes for collecting and parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline data can lead to improvements in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall process, including presentation and reporting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected data, taking it beyond mactime's text-based output.

For example, what defines an event in a timeline? At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least, if you're only looking at data from a single system, you need a point in time (say, normalized to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unix epoch as a means of standardization) and a description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. If you move to incorporating additional sources (network traffic captures) as well as data from additional systems, you need to include source (i.e., Registry, Event Log, AV logs, etc.) and host (system NetBIOS or DNS name, IP address, MAC address, etc.) information, and possibly even user (username, email address, SID, etc.) information.

Taking this a step furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of data reduction, you might want to define a span event, as opposed to a point in time...racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than listing a tremendous number of file access events due to an AV scan, why not simply define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV scan as a span event, and remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various points? Or, parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs, you can define a span as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that a system was running or that a user was logged in.

So at this point, an event structure might look something like this:

Type - Point or span; can be represented as a binary (1 or 0) value

Time - MS systems use 64-bit FILETIME objects in many cases; however, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of normalization, 32-but Unix epoch times will work just fine

Source - fixed-length field for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data (i.e., file system, Registry, EVT/EVTX file, AV or application log file, etc.) - (may require a key or legend)

Host - The host system, defined by IP or MAC address, NetBIOS or DNS name, etc. (may require a key or legend)

User - User, defined by user name, SID, email address, IM screenname, etc. (may require a key or legend)

Description - The description of what happened; this is where context comes in...

I think you can see how this opens things up a bit to allow for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources of data. Not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fields in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure need be present; again, a time and a description are enough to define an "event" for a timeline.

What about representation and reporting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data? Text-based or even a spreadsheet might be nice for some data representation, but something graphical may be more appropriate when working with larger data sets. Presentation means such as Zeitline, EasyTimeline, and Simile Timeline (Jerome has some additional information on manually adding events to Simile) are available, each with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own strengths and weaknesses. However, I've found that for both analysis and presentation to an end user (i.e., customer, etc.) a graphical approach can be very useful.

Sunday, February 01, 2009

Thoughts on memory footprints...

I was chatting with a friend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day, and we got to talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory footprints of various tools. We agreed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory first during incident response activities, before doing anything else. I'm also a proponent of grabbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portions of memory (active process list, network connections, etc.) as well, as this information can be used to do a modicum of differential analysis, as well as give you a quicker view into what's going on...but be sure to grab as pristine a copy of memory first. As Nick and Aaron said at BlackHat DC 2007, so you "...can answer new questions later." Sage advice, that.

So we got to talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect that just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first tool will have on memory...whichever tool you choose to use to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory, be it F-Response, FastDump, mdd, win32dd, winen, Memoryze, or if you choose to kick it old school on XP, an old, unsupported copy of dd.exe. Regardless, when you launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE is loaded into memory to be run, establishing a presence in memory and a "footprint". This is something that cannot be avoided...you cannot interact with a live system without having some effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Responders should also be aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 converse is true...during incident response for something like a major data breach (not naming names here...Heartland), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system will continue to change even if you don't touch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyboard at all. Such is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of live response.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE is loaded into memory, it consumes pages that have been marked as available; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pages are not currently in use, but may contain remnants that may be valuable later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination, much like artifacts found in unallocated space on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive. This is somewhat intuitive, if you think about it...if Windows were to launch a new process using pages already in use by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r process, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you'd have random crashes all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of memory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory manager may need to write some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pages being used by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r processes out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile/swap file in order to free up space...but again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new process will not consume pages currently being used by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r process.

I know that this is an overly simplistic view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole process, but its meant to illustrate a point...that point being that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a LOT of discussion about "memory footprints" of various tools, but when I listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion, I'm struck by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it hasn't changed a great deal in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 5 years, and that it doesn't incorporate eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, or actual testing. In fact, what strikes me most about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se conversations is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary concern about "memory footprints" in many cases comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks who "don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time" to conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very research and quantitative analysis that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to be asking for. I think that for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, many of use accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, yes, Virginia, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a Santa...I mean, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be memory footprints of our live response actions, but that it is impossible to quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content that is overwritten.

I think that we can agree that memory pages (and content, given pool allocations, which are smaller than a 4K memory page) are consumed during live response. I think that we can also agree that from a technical perspective, while some pages may be swapped out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only pages that will actually be consumed or overwritten with new content, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir old content will no longer be available (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in physical memory or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page file) are those marked as available by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. From an analyst's perspective, this is similar to what happens when files are deleted from a disk, and sectors used by those files are overwritten. This will lead to instances in which you can "see" data available in a RAM dump (through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of such tools as strings or grep), but as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content may be in pages marked available for use, that data will have little context (if any) as it cannot be associated with a specific process, thread, etc.