Sunday, July 19, 2009

More Perl-y goodness

I've uploaded a new script (handle.pl) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 Yahoo group...this is a script I wrote this morning to process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of "handle -a" (collected during live response), based on a couple of things mentioned by Kris Harms and Pete Silberman (both of Mandiant) during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit.

The script extracts, parses, and lists all entries for "pid:", which is something Kris mentioned during his presentation is a means of collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same information (ie, process listing) using a disparate means (ie, different API calls). After completing this iteration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, I figured that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next version will include additional processing of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r items.

The script also processes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for mutants and displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "frequency of least occurrence". Pete mentioned that malware is (should be) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least frequent thing to occur on a system, and malware authors are using mutexes to ensure that infected systems are not continually infected over and over again. Many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se mutexes are random names, whereas cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y usually appear as easily readable strings in most cases.

So, during live response, should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder opt to run "handle -a > handle.log" as part of a batch file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command (ie, handle.log) can be quickly and easily parsed using scripts like this. Also, this acts as a force-multiplier, in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge developed by a few is made easily available to many. Seriously...how often do you hear someone say, "...find interesting or suspicious processes..." with no mention of what constitutes "interesting" or "suspicious"?

Thoughts?

Addendum, 20090720: I've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handle.pl Perl script to include include some disparity checking in processes (searches for PIDs vs process/thread handles), etc. I see this script as being extremely useful and very valuable for performing some automated parsing and analysis of collected data, as codifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "rules" for initial processing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data allows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of automation as a force multiplier and error reduction technique. I can also see how it would be useful to add Least Frequency of Occurrence (LFO) checking for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (Event, Device, File, Key) handles, as well as process listing disparity checking against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r process listing tools (ie, pslist, tlist, etc.)

3 comments:

Unknown said...

I being thinking for a while now that we should start to rip live data before shutting down and performing an image of said computer. However, my question is, and maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers are out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re already. Can we do live rips of data and have it hold up in court.

jah said...

Sounds like handle.pl could be very useful. handle.exe sure is useful, but sifting through it can take a while! Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re anywhere one can get hold of your script if not a member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 group?

H. Carvey said...

Luke,

Can we do live rips of data and have it hold up in court.

Let me answer that with a question...why can't you?

JAH,

For right now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script is up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Group. I don't have any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r place to put it at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment.

Thanks,