Monday, June 22, 2009

Links

My interview with Lee Whitfield is up as Forensic4Cast episode 17. Lee asked some interesting questions, so be sure to listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire podcast...we talk about some things at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview that you like to hear.

Chris Pogue, co-author of Unix and Linux Forensic Analysis, has started his own blog...check it out! Chris and I have worked togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, and it's good to see him getting into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix now and bringing his experience and knowledge to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blogosphere, including posting a review of WFA 2/e! Chris will also be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit, speaking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR panel. I'm sure if you asked him, he'd be more than happy to sign your copy of ULFA, which, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, Syngress will have table at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir books available.

Hogfly posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Need for Speed, and I really think that this is something that cannot be said enough. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a need for speed in response, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's also a need to ensure that things are still done right and still done to a standard of accuracy and quality. Again, though...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for speed in response is very real. In many cases, you'll have an issue of suspected data leakage or exposure, and acquiring a small number of systems and taking 2 months or more to provide an answer is simply unacceptable, as much or more so than providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong answer too quickly. Processes and techniques need to be addressed, improved and implemented in such a manner as to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three most important questions:

1. Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system compromised?
2. Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system house or store "sensitive" data?
3. Did #1 lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exposure of #2?

Suffice to say that a lot of what it takes to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions rests squarely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shoulders of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system owners cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. There's only so much that can be done when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach goes unnoticed (often, for weeks), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first reaction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 on-site staff is to shut cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system down and take it off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network.

Hogfly also posted his review of WFA 2/e...check it out. I like to see what practitioners have to say about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book (or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r resource, for that matter), because who better to have an opinion on something like that than someone who works in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business, right? Seriously. If you wanted to get someone's opinion on, say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acceleration and handling of a sports car, who would you look to? Eddie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introvert who reads car magazines (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things) online, or Danika Patrick?

Wednesday, June 17, 2009

#1 on Amazon!

Just today, I found out that WFA 2/e is #1 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon Sales Rank for Forensics books! Awesome! Thanks to everyone who's reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book and to everyone who's purchased a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book!

Tuesday, June 16, 2009

Buy F-Response, get a free copy of WFA 2/e!

Hey, no kidding! Check it out! Matt's offering a free (as in "beer") copy of WFA 2/e with each purchase or renewel of F-Response CE/EE. Got four consultants? Outfit each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with a copy of F-Response EE, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll each get a copy of WFA 2/e. Sweet! Don't think so? Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reviews!

Sunday, June 14, 2009

WFA 2/e eBooks

I've received a number of emails regarding ebook versions of WFA 2/e, and at this point, all I've been able to determine is that Elsevier will NOT be producing a PDF version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for sale. No, I don't know why, and to be honest, I'm as mystified as you are.

The information I have from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher at this time is that it takes about 1-2 months to produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ebook version of a book, and multiple ebook versions are produced (Kindle, Safari, etc.). I've been told that while a PDF version will not be produced for sale, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be a version produced by Ingram (??) that will be available to be read on a computer, and I'm also told that this reader, like Adobe Reader, allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ebook to be searched. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than that, I have nothing...I don't even know where to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader just to take a look at it. Nor do I know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ebook will be available in any version, nor how much it will cost.

That's all I have. Pretty amazing, eh? A large publishing firm like Elsevier, and an author such as myself is having trouble getting basic information.

So, all I can say is sorry (although I'm not sure why I'm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one saying that...), and if you really want to let someone know how you feel about this, email my editor...she's graciously consented to accepting your emails. Or stop by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Syngress table at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit and let her know.

Saturday, June 13, 2009

Thoughts on Timeline Analysis

I was chatting with Chris Pogue (a fellow Syngress book author attending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit) a bit over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of days on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of Timeline Analysis, and had some thoughts that I wanted to throw out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs thought about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...

Personally, I've been doing some pretty cool things with timeline analysis, incorporating not only file system metadata, but Event Log entries, data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's web browser history, etc. What this does is allow me to view events from several sources all in one place, giving me some context, but not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible context. And this can be a LOT of data! I go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of creating a bodyfile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a 5-field TLN format events file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a full timeline in ASCII, saving it in a text file. I've updated some of my code recently to allow me to re-run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events-file-to-timeline conversion tool and focus solely on a specific date range, down to a single day.

This is where we usually start talking about visualization...what's a good way to present this information in a graphic format so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst can determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're trying to answer? Perhaps better yet...IS cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a good way?

When it comes down to presenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer, I've never been a supporter of giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are folks out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who think a 3300+ page report is a good thing!), and giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer a timeline graphic of ALL of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data really doesn't do a whole lot, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to understand what's going on, or for your professional credibility. That's where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge and ability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst come in, and you create a timeline that summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important and relevant events for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer.

So, how do you do this? Do you sift through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, extracting all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 irrelevant stuff (ie, removing thousands of file last accessed events and replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with a single AV scan event, etc.) and dump it into some kind of program that will generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline automatically, or is it something more of a manual process? (See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Resources section at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of this post for some examples of how to create a graphic representation of a timeline that can be added to reports.)

At this point, I'm of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opinion that this is still largely a manual process. While timeline creation and analysis has been automated to some degree through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of tools, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's currently no automated "sausage grinder" that you can drop an acquired image into and have it chug away and give you a full timeline. Just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata alone from one system can be cumbersome and overwhelming, particularly if you don't know what you're looking for. Lets say that you automatically add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log entries to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline...but what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Registry hive shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of auditing you're looking for (successful login attempts) wasn't enabled, and a scan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events do not cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates in question anyway? If this is an automatic process, you've now got a lot of extra, albeit irrelevant, data.

What about context? Not all context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events is visible in a timeline...in some cases, a recent modification date on a file isn't as important as what was added (or removed) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. Or you may have two events...a USB removable storage device plugged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter, a Windows shortcut/LNK file created...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valuable context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correlation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two events is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path information and volume ID embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file.

In a way, this discussion brings us back around to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skill and knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner/analyst. Lets say an analyst responds to an incident, and goes on-site to find four desktop systems that had been powered down and taken off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. One analyst might look at this, remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drives, and image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pair of Vooms he has in his jump kit. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r might hook each drive up to a write-blocker and acquire logical images of each partition. Yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r responder might boot each system, log in as Administrator, acquire volatile data, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n perform live acquisitions. Given this kind of disparity across a single response, how does an analyst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n "correctly" decide which information needs to be included in a timeline for analysis, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data?

IMHO, this all comes down to training and experience. Training specifically in this topic needs to be available, followed by guidance and mentoring. Cheatsheets need to be available to remind folks about what's available, why and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is important, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n within organizations and labs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be some kind of peer review.

Thoughts?

Resources
How to create a timeline in Excel (free templates)
Free SmartDraw Timeline Software

Friday, June 12, 2009

Very Interesting Developments

I don't often get presented with issues of copyright violation and intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, but I did see this one today. It seems someone has set up a blog where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are offering copyrighted ebooks for free, two of which I authored. I also know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of several of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r offered ebooks.

Folks, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big myths about authoring books is that somehow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author gets rich. I'm here to tell you, in this niche market, that just is NOT true at all. If you're that hard up that you need to steal someone else's intellectual property...well, what can I say?

Suffice it to say, this just isn't cool.

SANS Forensic Summit

Folks, let's not forget that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit is coming up! Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of speakers, presentations, and panels...this conference is going to be great!

Also, I spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 marketing folks at Syngress, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are going to have a table at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit (graciously provided by Rob Lee) where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to have books available. Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cool...no, wait...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WAY COOL thing about this is that several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors are also speakers at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit! So, if you don't have Chris Pogue's book, get it and get it signed by none ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than Chris Pogue himself! Eoghan Casey's going to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, too!

Finally, I have pristine copies (one each) of Windows Forensic Analysis (first and second editions), as well as Perl Scripting for Windows Security. I am going to bundle all three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a give-away following my presentation at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.

BTW...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 SANS Forensic Summit are archived here! Take a look!

PS: I had a meeting yesterday and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a few minutes early...I was meeting a friend for lunch and took a minute or two to walk through a nearby bookstore. Guess what I saw on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelf? I'll give you a hint...I went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer section, and was browsing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books on security and forensics... ;-)

Tuesday, June 09, 2009

More Links

NetWitness announced on 8 June cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of NetWitness Insight. This is a very interesting announcement, in part because, IMHO, NetWitness is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 premier product available today when it comes to seeing and understanding what's happening on your network. In this case, collection of network traffic isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue...it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis and presentation, and that's where NetWitness products excel. The inclusion of InSight now gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetWitness suite of products what appears to be a DLP and vulnerability assessment capability, so that customers can find out where that sensitive data resides, as well as (according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press release) locate vulnerable systems and prioritize remediation. As an incident responder, this is a fantastic capability...but what's missing is still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host-based response capability. Sounds like a job for F-Response!

I recently heard about a tool called MIR-ROR, put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r originally by Troy Larson and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n expanded by Russ McRee, both of Microsoft. Russ blogged about it here, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a toolsmith article available on it, as well. MIR-ROR is a batch file that is useful for running tools on a system as part of incident response; what I like about this is that Russ isn't sitting back hoping that someone does something like this, he's taking advantage of his knowledge and capabilities to put this togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. And he's made it available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public, along with instructions on how to run it. I like tools like this because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're self-documenting...properly constructed and commented, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y serve as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own documentation. As always, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard caveat applies...use/deploy tools like this as part of an incident response plan. If your plan says you need to acquire a pristine image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive first, you will want to consider holding off on using a tool like this...

Didier updated his disitool...I'm not even going to try to explain this one; instead, go to his blog and check it out.

Win32dd has been updated...according to Matthieu, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some bug fixes, improvements, and some additional information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory state is displayed when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is used. Thanks, Matthieu, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great work you've done with this tool!

While we're on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of memory collection and analysis, Brendan has updated VolReg to support BIG_DATA data types, due in part to Matthieu's blog post on Undocumented Vista and later Registry Secrets. Also, be sure to check out Brendan's Volatility Plugins page.

If you're a follower of Lon Solomon, at this point, you might be thinking, "SO WHAT?!?" Well, take a look at this write-up from Sophos...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part I like about this bit of malware is:

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than creating anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file on disk, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dropper logic writes an entire PE file into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry. The executable is stored under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key HKLM\SOFTWARE\Licenses with a randomly generated entry name.

Years ago while I was working for a security company in New Jersey, I wrote some code that would go out to a web site and grab what appeared to be a GIF image, but was in reality a PE file. The code would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n disassemble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE file into various Registry keys...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea being that disassembling and writing it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry would avoid detection by AV scanners. Then anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r piece of code would reassemble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE file into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycle Bin and launch it. I thought that was pretty cool...but that was 8 years ago. Reminds me of that song Round and Round, by RATT..."what comes around goes around...". Hey, I wonder if we'll "see" a resurgence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of NTFS Alternate Data Streams, say, to hide PCI data?

Sunday, June 07, 2009

Forensic4Cast and Links

Lee Whitfield of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic4Cast podcast reached out to me this past week, and asked me to be a guest on his podcast on Wed, 10 June.

If you've never listened to Lee's podcast, give it a shot...Matt Shannon of F-Response.com was interviewed, as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Lee's also got a section for technical articles, many of which look to be extremely useful.

Lee's also taking nominations now through 21 June for Forensic4Cast Awards; be sure to place your vote in any or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various nomination categories. Take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page to see how everything works, and dates for submissions, voting and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final results. While this isn't something huge that's going to get you a free pass to RSA next year or something, I do think that it's a great opportunity to show your appreciation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work done in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various categories. See what Matt's posted as his nominations!

Speaking of podcasts, did you know that CERT has podcasts? Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security podcast out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is ExoticLiability. Man, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's just too much to check out!

Didier's posted some links to PDF analysis tidbits...very cool! Didier's done a great deal of work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area, and his work reminds me a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ComputerBytesMan's work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of MSWord metadata extraction. Now, some folks are going to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se links and ask, "...okay, but how can I use this?" Far too often, folks will post links to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blogs or blogposts without any real explanation of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information is useful, valuable, or important. Well, when conducting analysis of a compromised system, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that comes up very often is, how was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system compromised? What was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection vector? It's pretty trivial, really, to scan a mounted image with AV software or to locate files that an intruder may have copied onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...but sometimes (many times?) we need to find out how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y got in. One means of doing so is to run file signature analysis tools across web browser and email attachment cache directories to locate things like PDF documents or Excel spreadsheets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 may have been downloaded. Finding such documents, which have recently been identified as having vulnerabilities, may lead to identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial source of compromise or infection.

Moyix recently posted some Windows 7 Registry hives for examination, based on a request from Tim Morgan. I'd taken a look at hives from a Windows 7 VM earlier this year, and found that while key locations may change between various revs and versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary structure appears to remain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. Thankfully, MS hasn't moved to an all-XML format for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry (right now, a lot of you out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are going, "Dude, shut up!!"). I've been running my RegRipper plugins against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives and dude...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work great!

Speaking of Registry hives, reviews of Windows Forensic Analysis 2/e are already starting to appear! It appears that some folks really like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry analysis chapter...maybe this is something to take off on it's own...what do you think? Should Registry Analysis become it's own book? Personally, I think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more than enough information out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for this...let me know your thoughts. Or let Syngress know your thoughts.

Finally, more reviews of WFA 2/e are being posted, and I've gotta thank Larry for his review of Perl Scripting for Windows Security! I greatly appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 efforts of those who are posting reviews, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forum. Thanks, folks!

Saturday, June 06, 2009

First Amazon Review!

The first review of WFA 2/e has been posted on Amazon! Check it out! Thanks, Dave!

Thursday, June 04, 2009

Links and stuff

First off...for anyone who purchased a copy of Windows Forensic Analysis Second Edition at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TechnoSecurity conference...I'd greatly appreciate it if you'd post a review on Amazon! Thanks!

Richard Bejtlich has an interesting post regarding incident ratings. I find Richard to have well-thought out and -reasoned views, and this is yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of that. When writing CSIRPs, we include things such as incident severity ratings for classification and escalation purposes, so having something like this, while perhaps a little complex for many organizations, is very important.

JL's been nice enough to post on some CEIC materials...cool stuff. Thanks for posting and making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se materials available!

Over on OffensiveComputing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a link for OfficeMalScanner, which scans Office documents for malware, embedded PE files, and OLE streams. If VB code is found, it's reportedly extracted for analysis. This sounds pretty cool and a good thing to have in your toolkit, along with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means for malware detection.

The eEvidence site has been updated again! Christine has a way of finding some really cool papers and presentations...while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may not always be brand-spanking new, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are definitely topical and well worth reading and discussing.

Ed posted some good command-line kung fu for getting user and group information from a live system. For post-mortem analysis, I use RegRipper's samparse plugin for this...it not only parses out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user information, but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group membership information, as well. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting bit of analysis you can use this for is to determine all local users on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system; dumping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProfileList key (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software hive) or during a 'dir' on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Documents and Settings directory will give you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of users with profiles on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, but this will not distinguish between local and domain users.

According to SANS, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key ingredient to team development is...beer! Amen to that!

Wednesday, June 03, 2009

The Case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Default User"

Ever run across a case during which, while examining Internet browser history, you found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Default User" had browser history? Ever wondered about that?

Rob "van" Hensing was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first I know of to blog about this issue, almost three years ago. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame, this is a good time to bring this subject up again, don't'cha think?

I've seen this sort of thing in a couple of instances, specifically when SQL injection has been used to gain access to an infrastructure, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy gets a copy of wget.exe (static PE analysis will tell you if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program accesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WinInet APIs) onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n uses that to pull down ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files - in many cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd use echo to create an FTP script, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 native command line FTP client using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, or use wget.exe to pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files down. Why? Well, most times FTP and/or HTTP are allowed out through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall.

Good stuff.

Tuesday, June 02, 2009

WFA 2/e Published!

I caught a note over on Facebook yesterday from Syngress that Windows Forensic Analysis, 2/e was published today! Awesome!

The info posted on Facebook is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same information posted on Elsevier's site. Aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "?" where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be quotes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information itself looks good...just one of those things I kinda wish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher would've picked up on earlier in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, and corrected.

I'm told that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is available, right now, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TechnoSecurity conference in Myrtle Beach, but I haven't received any confirmation of that, nor any feedback from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Syngress marketing folks who are on-site. Speaking of which, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit is rapidly approaching, and I'm trying to get copies of WFA and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Rob Lee has been gracious enough to offer table at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit, and I've let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Syngress folks know that I'm not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only author who will be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit.

Speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TechnoSecurity conference, here's a picture of WFA 2/e on sale!

So, if you're going to be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit (or someone you know is going), and you want Syngress to have books cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for purchase, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r post something publicly (blog) and send me a link, or comment here! Let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Syngress marketing folks know that if a computer conference has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "forensics" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should have books with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same word in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title available...particularly if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are going to be authors at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference (and speaking)!

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing...if you are a college educator who uses WFA in computer forensics courses, or if you know of an academic institution (community college, college, academy, university, etc.) where WFA is part of required or recommended reading...please contact me at keydet89 at yahoo dot com. Thanks!