Monday, July 27, 2009

Links

If you're at all interested in steganography, including not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology but also available tools, you should check out this paper from a couple of folks at GMU (from 1998). This led me back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JJTC site, where you can find more publications and tools. Gary Kessler also has an Overview of Steganography for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Forensics Examiner, which is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r good read and definitely helps in understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strengths and limitations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology. From talking to LE, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part steganography is considered when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are indications of such a tool being used; indications can come from artifacts such as Prefetch files, MUICache Registry key entries, contents of emails, or just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of a known stego tool on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Working on some of my timeline analysis stuff recently, I went looking for some tools to handle certain file types (or for information on formats so I can write my own), and ran across JAFAT again. I say "again" because I took a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INFO2 file parser a bit ago, and I see not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookie file parser, but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Safari tools on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Archive of Forensic Tools page. There's a package available for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to run on Windows, if you need it.

Speaking of working on stuff, now and again I get questions about how to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edition of Windows from an image (NOT version...edition); ie, Windows XP Home vs. Professional. I've addressed this here in this blog, but after spending some time recently looking for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r solution, I thought I'd ask you all...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSVERSIONINFOEX structure contains a field called SuiteMask; does anyone have any information on how this might be populated so that it can be replicated during post-mortem analysis? I already know how to populate most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fields and determine what version of Windows (and Service Pack) is installed, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one field I haven't been able to find any information about is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SuiteMask. While this appears to be used quite often on live systems to perform checks during installation procedures, I'm having a great deal of difficulty determining where this information might be found within an acquired image.

Addendum: This page from Geoff Chappell pretty much covers what I found with respect to populating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SuiteMask field. Specifically for XP, in order to determine MediaCenter and TabletPC editions, check for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System\WPA\name Registry key (name = MediaCenter or TabletPC) with an Installed value equal to 1.

The Illustrious Don Weber is back to blogging again, this time about AV and Linux...good stuff, as always!

If you've got a copy of Windows Forensic Analysis 2/e, go to chapter 9 and add this link to open-source forensic tools to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last page. Thanks, Claus, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heads-up on this one...

Jamie Butler's added a new post to Mandiant's M-unition blog, this one about finding a keylogger through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XPath filters in Memoryze. This is definitely worth checking out, as it allows a user to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool's capabilities through scripting, just as you can do with Volatility and RegRipper.

Tuesday, July 21, 2009

Links and Stuff

The Forensic 4Cast Awards (live video-cast) were posted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week; a huge thanks to everyone who submitted nominations and voted, and thank you to those who voted for me in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Digital Forensics Blog and Best Digital Forensics Book categories! Watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video, it looks as if Lee and Simon had a great deal of fun creating it, and I hope that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y follow it up next year! Maybe some folks can contribute prizes...nothing fancy, just something simple.

Over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper forums, Ken Pryor had this to say about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recently released RipXP (quoted with permission):
I finally got time to try it out today and must say it's a brilliant piece of work. I have immediate use for RipXP for a case I'm working on. Harlan, I thank you for all you do for us. I would gladly pay for RegRipper and RipXP and I am very thankful you provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I haven't worked a case yet that RegRipper didn't play a part in and I expect RipXP will be much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words, Ken!

James Macfarlane has released an update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Parse::Win32Registry Perl module that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for such tools as RegRipper and RipXP. The most notable change to this version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to extract and view security descriptor information.

James has also updated some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts included with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than trying to describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in my own words, I'll use James':

regshell.pl is a new interactive console program for browsing registry files. It is a little simpler to use than regdump.pl as it provides tab completion if you have a functioning Term::Readline. It should work on Windows. (Note: ActiveState includes Term::ReadLine::Perl and Term::ReadLine::Zoid on Windows)

regview.pl has been improved to include searching and bookmarking.

regmultidiff.pl is a new console program for comparing multiple registry files. It improves on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old regdiff.pl by allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison of an unlimited number of registry files.

regcompare.pl is a new GTK+ program for comparing multiple registry files.

If you're using ActiveState's Perl on Windows, you can install this module via PPM:

C:\Perl>ppm install parse-win32registry

If you already have it installed (ie, v. 0.41 or earlier) you can upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation:

C:\Perl>ppm install parse-win32registry

I have to say, from my perspective, James has made a HUGE contribution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic community! Many, many thanks, James!

Speaking of tool releases, Paraben has released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir P2 eXplorer image mounting tool for free! You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demo, but you have to "purchase" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free product (and yes, submit a credit card number), but once you receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration key, you can activate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full features of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product. I've played with it a little bit, and I think that having access to tools like this that provide a single, needed functionality at a reasonable price point (free, in this case) can really do a lot for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface isn't entirely intuitive (who uses A:\ and B:\ any more??), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things I really don't like are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rotating banner ads for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Paraben products on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right-hand pane on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inability to completely disable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 generation of MD5 hashes for images that are mounted/unmounted...I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r see something more obvious in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool about read-only functionality. However, P2X does generate a log of activity, so that's nice to have and include in your case notes. All in all, a good, commercial grade replacement for ImDisk and VDKWin. P2X also allows you to mount ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r image format types besides raw, dd-style formats, such as EnCase, SMART, SafeBack, etc.

If you use Volatility (if you don't...why not!?!), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you really need to take a look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new plugins posted by Michael Hale Ligh. Some look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd be extremely helpful in detecting malicious goings-on...very cool, and thanks to MHL!

Sunday, July 19, 2009

More Perl-y goodness

I've uploaded a new script (handle.pl) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 Yahoo group...this is a script I wrote this morning to process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of "handle -a" (collected during live response), based on a couple of things mentioned by Kris Harms and Pete Silberman (both of Mandiant) during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit.

The script extracts, parses, and lists all entries for "pid:", which is something Kris mentioned during his presentation is a means of collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same information (ie, process listing) using a disparate means (ie, different API calls). After completing this iteration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, I figured that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next version will include additional processing of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r items.

The script also processes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for mutants and displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "frequency of least occurrence". Pete mentioned that malware is (should be) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least frequent thing to occur on a system, and malware authors are using mutexes to ensure that infected systems are not continually infected over and over again. Many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se mutexes are random names, whereas cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y usually appear as easily readable strings in most cases.

So, during live response, should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder opt to run "handle -a > handle.log" as part of a batch file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command (ie, handle.log) can be quickly and easily parsed using scripts like this. Also, this acts as a force-multiplier, in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge developed by a few is made easily available to many. Seriously...how often do you hear someone say, "...find interesting or suspicious processes..." with no mention of what constitutes "interesting" or "suspicious"?

Thoughts?

Addendum, 20090720: I've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handle.pl Perl script to include include some disparity checking in processes (searches for PIDs vs process/thread handles), etc. I see this script as being extremely useful and very valuable for performing some automated parsing and analysis of collected data, as codifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "rules" for initial processing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data allows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of automation as a force multiplier and error reduction technique. I can also see how it would be useful to add Least Frequency of Occurrence (LFO) checking for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (Event, Device, File, Key) handles, as well as process listing disparity checking against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r process listing tools (ie, pslist, tlist, etc.)

Saturday, July 18, 2009

Update on USB Devices

I posted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 Yahoo Group on USB removable storage devices and tracking connections, and got some really good confirmation from Rob Lee, so I thought I'd share it here, as well.

So, when I was writing WFA 2/e, I did some testing and found that when connecting a USB removable storage device to a system, beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique instance ID key (under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DeviceClasses key), a Control subkey was created, and when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device was disconnected, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Control subkey was deleted. The creation/deletion of this subkey constitutes a modification to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique instance ID key, updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key's LastWrite time and allowing us to track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re appear to have been changes to this functionality since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, and Rob's more expansive testing has confirmed my own. Essentially, if you sit down to a running system (XP SP2 or 3, Vista, Windows 7), and plug in a USB removable storage device (even one that's been previously connected to that system), you'll see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Control subkey created...but when you disconnect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Control subkey will remain until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is rebooted. Rob has confirmed that this LastWrite time survives logins, as well.

So, now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique instance key refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device was last connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, which is an important distinction to make when performing analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices. This requires furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r testing for more complete confirmation, but this is how things appear at this time. Shout outs to Rob Lee for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing on this!

Tuesday, July 14, 2009

SANS Summit Question

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent SANS Forensic Summit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a number of questions handed to Rob during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panels that went unanswered due to time constraints. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR panel, I took a look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yellow index cards with questions and grabbed one in particular to answer. The question I found was (no author info was available):

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst thing an IR team internally will do?

As I kept thinking about this, I kept coming back to two answers...eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r do nothing at all, or do too much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong thing. Now, I'm assuming with my response that an incident has been detected, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team has been called into action, and some kind of response process has been initiated. At that point, you very likely have something that occurred to indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an incident, so you may very well have sensitive data being actively exfiltrated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment, so doing nothing at all could be extremely detrimental/harmful to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, grabbing systems, running AV scans, deleting files, even wiping systems and reinstalling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m can also be harmful to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. In a typical breach situation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that need to be answered are:

1. Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system compromised?
2. Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system contain some kind of sensitive data?
3. Did "yes" to #1 lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exposure/exfiltration of #2?

If you destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators or "evidence" of what occurred, and cannot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions, where does that leave you? If you're just re-installing everything with no idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack/infiltration vector, how do you protect yourself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future? Heck, how do you even know that you fixed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue, particularly if you have no idea how long cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir malware have been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems? You may be re-installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware itself!

So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I thought to myself, why do IR teams (both internal and external) do this sort of thing? In my experience, a lot of times it has to do with assumptions that are made...very often, incorrect assumptions. Due to lack of knowledge, skills, tools, and/or training, IR teams are very often under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gun to provide answers to management, or just get things working again. If you don't know what to look for, it's simply easier to make assumptions without any hard data and proceed on from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. I mean, really...if you destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, who's going to be able to question you? I'm not saying that this is being done maliciously...what I am saying is that I have seen both internal IR teams as well as consultants make some very unfounded SWAG statements about an incident with no data to back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m up, and proceed on from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Very often, I'll just stand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, shaking my head, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y charge off into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sunset.

So, what's myanswer? The question was about IR teams, and not specifically management...so I'd have to say that, IMHO, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst thing an internal IR team can do is NOT take it upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own knowledge and skill sets. "I don't know what to do because management won't send me to training" should be an indicator that you've got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong people on your team...both for internal teams as well as consulting companies that provide response services. Not everything is going to be included in a class, and having to sit in a classroom to learn something means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team member (or members) are unavailable for that time. More importantly, if you do get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to attend a class, but are unable to process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information and use it in your environment, that basically means that you got a nice paid vacation...and to be honest, I'd much racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r have one of those some place ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than in a classroom!

In summary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst thing an IR team can do is not learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mistakes, and not take it upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir skill sets and improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir processes.

Thoughts?

Saturday, July 11, 2009

Links and New Stuff

The MalwareForensics site, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same name, is up and running...pretty nice so far. If you're involved in incident response, malware analysis, or just IT in general, you should check this site out. It has links to Linux and Windows tools, as well as to web-based tools.

Tools available with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD that accompanies Windows Forensic Analysis allow you to view metadata within MSOffice documents up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where MS ported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document format from OLE over to OpenXML. Well, this post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic blog takes that step forward and shows you how to extract metadata from within Office 2007 documents. Even cooler, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code is written in Perl!

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool, albiet not written in Perl, is Security Database's Evidence Collector. The span of data collected looks to be pretty useful, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI is different from anything I've seen before. If you're an incident responder in a small shop, you might want to take a look at using a tool like this.

In case you missed it, I recently released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current iteration of my ripXP tool, a small tool that is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper set of tools. RipXP uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same plugins as RegRipper, and will run each plugin not only against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 designated Registry hive file, but also against all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corresponding hive files within XP System Restore Points! This is extremely useful for a couple of reasons, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of which is that Registry keys have LastWrite times, which are analogous to file last modification times, but we very often don't know what changed. RipXP will allow you to parse through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Restore Points to see a historical view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. Second, ripXP also includes a small bit of code that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rp.log file to report not only when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Restore Point was created, but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason why it was created, potentially adding a significant amount of context to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself.

There's some new fun floating about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, exploiting a vulnerability to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Video ActiveX Control, msvidctl.dll. There's been info posted on this issue:
SANS ISN
Terminal23
MS Security Research and Defense

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have posted intel about what happens after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit:
FireEye Malware Intel Lab

It appears that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way this is working is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys first compromise web sites, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n redirect users to sites where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit resides. The exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n occurs through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser (MS refers to this as "browse and get owned"...comforting) and additional malware (such as an online gaming password stealer) is downloaded.

So why am I talking about this? This is yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of how all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available information about this stuff is vulnerability-based, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's really very little information available as to what this looks like on a system once it's succeeded. The MS SRD site lists some mitigation steps such as setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kill bit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry that can be used to determine if a compromised system was susceptible to this sort of attack, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is little information available regarding what to look for to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was compromised via this particular exploit.

More later, folks. As always, comments and suggestions are welcome...

Windows Registry Forensic Analysis

Based on some comments I received from folks who reviewed WFA 2/e, I am strongly considering writing a book on Windows Registry Forensic Analysis...and I'll probably use that as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title! ;-)

I'm working on a proposal now, and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I'm doing is including those things from previous books that have been successful...in particular, writing style, use of demonstrations, short case studies, and generally trying to show how this information can be used to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r an investigation. My goal is to be a thorough as possible, providing information on format and structure, how to monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, and provide as much information as I can with respect to keys and values that are (should be) of interest for examinations.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues I'm sure I'll run into is that same one I've run into with respect to WFA 2/e...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are folks out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who expect certain things to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, but don't (a) realize that I can't do everything without assistance, or (b) don't voice that expectation until after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is published.

So, here's your chance...if you were shopping for a book on Registry Analysis, what would you be looking for with respect to content?

I've already received emails from folks who say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're looking for information on P2P applications, without saying which ones. There's already information available on a lot of topics such as P2P artifacts, and I understand that part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is that this information isn't all in one place...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to make things like this a real success is to get input from folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. As was discussed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit last week, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really hasn't been a great number of requests for plugins or anything over at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper site...

SANS Forensic Summit

I spent all day last Tuesday in downtown DC attending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit...it was totally awesome and well worth every second I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

First, a HUGE thank you to Rob Lee for setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit up and inviting me and all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r speakers, and an only slightly-smaller thank you to all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks who attended and made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 success that it was!

Now on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit itself...

Presentations
Richard
Richard Bejtlich gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote address which was very entertaining. Richard is a dynamic and informative speaker, and has some very well thought-out and articulated views, and he's definitely someone worth listening to, even if you don't necessarily agree with everything he says. Unlike Ken Bradley, I don't work for Richard, so I can say anything I want! ;-) Seriously, though...Richard is truly one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought leaders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, and definitely someone worth listening to.

Kris Harms
Kris had some great things to say as an incident responder for Mandiant. As a responder, for me, it's great to see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presentations, and talk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're doing, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're addressing those problems that we all run into. Many times you'll pick up things that you didn't know, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times you'll get validation regarding some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things you're doing when you get a chance to see how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are addressing those same challenges. Kris and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant crew have a great deal of experience with APT, or advanced persistent threat, so if you get a chance to pick Kris's brain on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject, do it.

Jamie and Peter
Jamie and Peter, both also from Mandiant, had some great things to talk about with respect to memory analysis, with a specific focus on malware detection. If you haven't really looked at it, you should definitely consider looking at Memoryze and AuditViewer.

Brendan
Brendan's presentation on analyzing Windows Registry hives extracted from a memory dump was a great piece of work! My (top)hat's off to Brendan on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work he's done to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work put into tools such as Volatility and RegRipper. Who knew you could grab a memory dump from XP, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 using open source tools, extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password hashes which you can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n crack using your tool-of-choice?

Panels
The panels are a summit/conference format that Rob uses to great effect. I first encountered this sort of technique at Aaron's OMFW last year, and Rob has included it at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit. Several folks from a particular field (I was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR panel) each give short presentations, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 floor is opened for questions which Rob filters so that things keep moving. This is a great way to do two things; first, to really push through some varying views in a short period of time, and second, to open up discussions that continue between individuals later, during breaks or even over email after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summit is over.

PodCast
Ovie and Bret were nice enough to invite me, as well as Rob Lee, Ken Bradley, and Jesse Kornblum to take part in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live recording of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberSpeak podcast, which was a LOT of fun...as I'm sure you'll be able to tell when you listen to it.

Hey, don't listen just to me...Chris and Matt have posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir impressions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit, as well.

Tips
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I picked up from Kris Harm's talk was a great tip on a means for doing differential analysis of volatile data. Most of use are familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of pslist to get process information, and how to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that we receive. I tend to combine that information with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of tlist, as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools (netstat, etc.) to develop an overall picture of what was happening on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. What I picked up from Kris is that grep()'ing through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of handle.exe, you can look for "pid:", which provides you with yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means of locating processes. The same technique can be used for malware detection, by looking for mutants/mutexes (mentioned by both Kris, and his cohort over at Mandiant, Peter Silberman) using something called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "least frequency of occurrence" (thanks, Peter!).

User Account Analysis

Something I picked up on recently (albeit not directly at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Summit) was how to determine if a password had been set on a system, when all you have is an image to analyze. Brendan has provided tools to use with Volatility to extract Registry hives from Windows XP memory dumps, and subsequently to extract hashes, but what if you only have an image of a system? Well, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user flags extracted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper samparse plugin is "Password not required"...now, this does NOT mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account doesn't have a password.

What I got from someone at MS is as follows:
That specifies that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password-length and complexity policy settings do not apply to this user. If you do not set a password cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should be able to enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account and logon with just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account. If you set a password for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you will need to provide that password at logon. Setting this flag on an existing account with a password does not allow you to logon to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing you can do is extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System and SAM hives and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m through SAMInside. If you like CLI tools better, try using pwdump7...it's got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same functionality.

Where something like this won't work is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is accessed by domain users, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir user account information isn't stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local SAM hive file.

Friday, July 10, 2009

RipXP Released!

I've decided to release RipXP, which I've demo'd at both SANS Forensic Summits, as is. Go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper site Downloads section, and you'll see it. Be sure to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zipped archive...

Monday, July 06, 2009

SANS Forensic Summit 2009

I'm really looking forward to getting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit tomorrow! This is a great place to meet, listen to some great presentations, and to chat with folks from various fields (LE, FTE, corporate consultant, etc.) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry. My hat's off to Rob Lee for pulling this fantastic event togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r!

Per cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit agenda, I will be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR panel in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n giving my Registry Analysis presentation at 1pm, right after lunch. When I was teaching at TBS while I was on active duty in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USMC, we used to call this "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 death hour", so I'm going to address this urge to nap after lunch with several live demos, as well as a surprise at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation!

But that's not all! There's more! Check out who else is attending...Mandiant is well represented at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, and Chris Pogue will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, as will Eoghan Casey. Chris and Eoghan are fellow Syngress authors, so be sure to swing by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Syngress table at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit, get a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir books, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hunt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m down to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m sign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for you!

There's a rumor that Troy Larson of Microsoft will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as well...but I have to tell ya, while I've heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy's name and been told that he's been on conference calls, I've never actually seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy! As far as I know, Troy is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yeti of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics community! ;-) Hopefully, he'll turn up sometime before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live recording of Ovie and Bret's Cyberspeak podcast.

While I only plan to be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a LOT of great speakers and panelists who are going to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and this is definitely an event that anyone who can attend, should! Without question! Where else are you going to be able to have so many giants of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics community togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in one place, from various areas (corporate, federal gov't, LE), and covering so many pertinent topics (memory analysis, courtroom preparation, etc.)?

And if you have a Captain Picard fetish and have a "thing" for bald men, this is THE place to be in DC! ;-)

Saturday, July 04, 2009

The Case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Missing MFT Entry

A bit ago, I received an email from someone mentioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following facts with respect to an examination cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were doing:

- Malware was suspected as having been running at one point on a Windows XP SP2 system
- A Prefetch file was found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 related directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware
- AV logs indicated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware had been deleted
- An XP Restore Point included an INI specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware
- Between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware had been deleted and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system imaged, 8 Restore Points were created

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se facts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question was...why does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re appear to be no MFT entry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware file?

I responded with my answer...I want to know what YOU think.