Thursday, April 05, 2012

New Tools, Registry Findings

Zena Forensics: Recipe -Recipes are cool.  I like to cook.  Not everyone cooks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way...if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did, how much fun would that be?  Not long ago, on a blog not far away, I ran across a "recipe" where someone used some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts I wrote for parsing Windows XP/2003 Event Log records, and adapted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to Windows Vista+ Windows Event Logs, by tying in MS's LogParser.

LogParser is an extremely useful tool.  I recently sought some assistance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win4n6 Yahoo group with getting LogParser to spit out Windows Event Log records TimeGenerated times in UTC format, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than local time (from my analysis system).  This was an important issue in some testing I was doing recently,

The command I ended up using looked similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Logparser -i:evt -o:csv "SELECT RecordNumber,TO_UTCTIME(TimeGenerated),EventID,SourceName,Strings from System" > system.csv

The key element was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bolded statement.  Using this statement, I didn't have to reset my system clock to GMT time, or add more "moving parts" or do anything else that would have potentially led to errors.

What I really like about this recipe is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author needed to do something, needed to do something that he may not have had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to do through commercial tools, and did it.  Not only that but he did it open source, and provided it for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.  Great job, and I, for one, greatly appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author decided to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script.

RegRipper Plugin Maintenance Script - Recently, Corey Harrell and Cheeky4n6Monkey (why does that name make me think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 episode of "Family Guy" where Chris and Peter made up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Handi-Quacks" cartoon??) put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir heads togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and come up with a very interesting tool.  In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apparent back-story is that Corey mused how "it would be cool" to have a tool that would run through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper plugins directory, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profiles, and see which plugins were available that had not been included in a profile.  Cheeky took this and ran with it, and came up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper plugin maintenance script.

Up to this point, per Windows Registry Forensics, you could view a listing of plugins a couple of ways.  One is to use rip.pl/.exe at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command will print out (to STDOUT) a list of available plugins:

rip.pl -l

If you add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "-c" switch, you can get that listing in .csv format.

The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins is to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Plugin Browser, which is a graphical tool that lets you browse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available plugins, as well as create your own profile.

As with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recipe listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first part of this post, I greatly appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort that went into creating this script, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it was provided to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community at large.  You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script from Cheeky's site, or you may see it referenced at Brett's RegRipper site.   I also think that this is a great benefit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, as I'm sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are folks out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who didn't even know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could use this script, but will end up finding it to be extremely valuable.

Registry Findings
A while back, I wrote some code to parse Windows 7 Jump Lists, and as part of my research for that project, I ran into volume GUIDs (within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK format TrackerData block), which are based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UUID v1 format specification, detailed in RFC 4122.  Two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pieces of information of interest that can be parsed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUID are a time stamp, and a MAC address.

I recently caught something online that indicated to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might be ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunities to make use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work that I'd already done.  Specifically, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MountedDevices key (those that begin with "\??\Volume"), as well as some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subkeys beneath a user's MountPoints2 key, are volume GUIDs maintained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UUID v1 format.  We already know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two pieces of information are used to help us map cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of USB devices on systems, so how does this initial information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUID format help us?

The usefulness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address should be somewhat intuitive.  Perhaps more than anything else, what this means is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address is, in fact, stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry...not so much "stored" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a value named "MAC address", but more so in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  Testing using a live system corroborates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a MAC address is used; I say "a" because my testing system is a laptop, and has a number of IPv4 interfaces (LAN, WLAN, VirtualBox).  Interestingly, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC addresses that appeared in several GUIDs was from VMWare, which had been installed at one point on my system (I removed it). As entries from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key showed when I had installed VMPlayer (launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installer), I had a time frame that pertained to when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device(s) could have been used.

Note: Over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Girl, Unallocated blog, Case Experience #2.4 illustrates some good examples of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume GUIDs, from both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MountedDevices key, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's MountPoints2 key.

In a couple of cases, I found devices...specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop's built-in hard drive and DVD/optical drive...where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 node identifier didn't correlate to a MAC address from my system.  This was an interesting finding, but not something that really needs to be run down at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment.

What this demonstrates is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MAC address of a system is, in fact, recorded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, albeit not necessarily as a value named "MAC address".

More research is required regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp.

Addendum, 20120410: Testing indicates that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp points to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boot time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boot session during which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device was connected.

7 comments:

JimmyWeg said...

While we’re somewhat on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject, correlating MP2 with MDs could be perilous in some cases with respect to dates (Win 7). For instance, two USB drives have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same signature (happens regulalry). One shows up in MDs, with a GUID. The GUID is in MPs, but which drive does it represent? So, you look at Enum\USB and find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number of one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portable drives. But, if you’re not careful and don’t look at every USB key, you may not realize that each has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same date stamp, perhaps because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported “service pack anomaly.” (USBSTOR keys seem to suffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue in such a system, but DeviceClasses does not.) Sure, you can draw some inferences from a host of timeline objects, but one may not leap beyond a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct Enum\USB key.

H. Carvey said...

Jimmy,

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment.

..., two USB drives have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same signature.

Can you clarify what you mean by "signature"? Do you mean serial number (extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor) or unique identifier (generated by Windows when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device does not have a serial number)?

One shows up in MDs, with a GUID. The GUID is in MPs, but which drive does it represent?

I think I see what you're saying here...although I haven't actually seen it myself.

...you may not realize that each has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same date stamp...

I guess it all depends on what you're trying to demonstrate. According to Rob's guide over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subkey LastWrite times beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB key correspond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device was connected during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent boot session.

IMHO, it's great that you brought this up, as I think that even with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation that's out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and available on USB device analysis, a lot of analysts seem to have missed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boat. I see posts in lists and receive emails from folks who seem to believe that USBStor subkey LastWrite times tell you when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device was last connected...and that simply is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case.

If you happen to have an exemplar Windows 7 system that demonstrates what you mention in your comment, would it be possible to get a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software, System, and NTUSER.DAT hives?

Thanks.

Jimmy)Weg said...

Can you clarify what you mean by "signature"?

The disk signature found at Offset 440 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical disk, and seen at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first four bytes of corresponding MountedDevices data.

According to Rob ... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subkey LastWrite times beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB key correspond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device was connected during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent boot session.

In his guide for Win 7, Section 9, last time connected derives from a Enum\USB subkey. First after reboot is Enum\USBSTOR. I was referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former.

If you happen to have an exemplar Windows 7 system...

Let me see what I can do.

H. Carvey said...

The disk signature found at Offset 440...

Ah, I see...you're referring to an external USB drive enclosure, not a thumb drive. Okay, gotcha.

In his guide for Win 7, Section 9, last time connected derives from a Enum\USB subkey...

Okay, so he must have a new one that he hasn't posted recently...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I linked to says:

9. Determine First Time Device Connected After Last Reboot

Do you know where I could find a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guide you're referring to?

Thanks.

Jimmy_Weg said...

It's at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rob's guide link in your reply.
"9. Determine Last Time Device Connected."

H. Carvey said...

Okay, I see...I must have been looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP side of things.

Interesting...still can't say I've ever seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue you mentioned.

H. Carvey said...

Jimmy,

Just a quick follow-up to your comments...

I received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hives...thanks...and I'll take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, as soon as I finish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comdlg32 plugin updates.

I think that this comment thread raises an excellent point...analysis has to be about process. The materials we're referring to (Rob's guides) include two Registry keys used for determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device last connected time. If one fails, document that information, share it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, or more specifically Rob, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n see what we all can do to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue.

Again, thanks for sharing.