Thursday, May 22, 2014

Book Writing: To Self-Publish, or Not

The CEIC Conference is going on as I write this, and Suzanne Widup's author panel went on yesterday.  I'm not at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, so like many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, I live vicariously through what gets Tweeted about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, as well as about specific portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel.

I saw a question posted to Twitter, in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tweeter asked, "for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel, why not self-publish like RTFM?"

My initial thought was, you need to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've written or co-authored; those titles really don't lend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves too well to a format similar to RTFM, which, in some cases, is described as a collection of notes and tips bound into a book.  For example, I don't think I could see Hacking Exposed Computer Forensics in a format similar to RTFM.  As such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is essentially an apples-to-oranges comparison.  While self-publishing definitely has it's place, but may not always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best option for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material, nor for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author.  But that doesn't mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re aren't publishing possibilities out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that would be very well suited to a format similar to RTFM.

I've addressed this topic before, but it is a good question, and certainly bears addressing.  Essentially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 choice of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to go with a publisher or to self-publish comes down to how much time and effort you do want to invest in getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book published...at least, that's my perspective.  Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r perspectives might be about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author gets out of it, or how much someone has to pay for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Writing a book is tough enough as it is...having someone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to do some of those things that need to be done (i.e., formatting, illustrations, copy editing, printing, etc.) in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to be available to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author can focus time and effort on writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and not have to stop and figure out how get something done, or find a resource.

A friend of mine told me that her husband publishes CDs for his band on his own, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than going through a production firm.  That means that he does everything himself; in some cases this makes perfect sense.  In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, such as writing a DFIR book, maybe not so much.  Most of us don't like to write as it is; if you self-publish, would you have someone review your materials for grammar, consistency, and technical accuracy?  If so, would it be someone you pay for that service?  Where's that money going to come from?  How will you handle illustrations or figures?

As such, consider this... if self-publishing were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sole route available, we'd likely have far fewer books available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR field.  Or, maybe anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to put it is that if self-publishing really were that easy, we'd have more books.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years that I've been involved in writing books, I've seen a fairly good number of folks start down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road and not make it very far, for a variety of reasons.  In some cases, it's due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realization that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's much more to writing a book than simply having an idea.  When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher comes back and gives you a bunch of forms to fill out, and requests a market analysis and a detailed outline, with a swag on a word count, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation becomes readily apparent.  I've seen people stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  I've also seen one instance where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author got past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of signing a contract, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher came back later and modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contract, almost doubling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word count for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final manuscript, but made no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r changes to contract, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery date. The author simply walked away.

I've read a number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reviews for RTFM, and to be honest, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book sounds like a fantastic idea; it was apparently originally intended to be an accumulation of someone's notes to be passed on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir team.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right hands, something like that can be extremely useful, and I can relate; when I was in grad school in '95-ish, I taught myself Java programming and relied heavily on O'Reilly's "...in a Nutshell" books for tips and guidance.  I found it very useful, because I wasn't looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of programming, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of Java programming to be explained to me...I just wanted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bare bones stuff, with no fluff.  Material that might be better suited to an RTFM-like format might be something like what's found here.

Self-publishing simply isn't for everyone...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience for a book like this is pretty limited.  I can see books like this for using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools, but I think that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strengths of RTFM is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base assumption that anyone purchasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is familiar with both operating at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line, and with Linux.  While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are certain segments of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community that would strongly suggest that that's exactly how it should be, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact is that this is far from reality.

Resources
Self-publishing a book: 25 things you need to know - I strongly suggest that you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all
Lulu.com - self-publishing company
How to self-publish - a guide, with pictures

Saturday, May 17, 2014

Artifacts

I received a request right before WFA 4/e hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets...after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writing and editing was complete and while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 printed book was being shipped...to "talk about anti-forensics".  Unfortunately, at this point, I still haven't heard any more than just that, but I've had more than a couple of instances where knowledge of artifacts and Windows structures has allowed me to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r valuable data for analysis, even when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy took steps, however unknowingly, to remove ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts.  I say "unknowingly" because sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps taken may not specifically be intended to be "anti-forensic" in nature, but may still have that effect.

Something that I've found over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years is that even when steps are taken to remove indications of activity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may still be artifacts available that can prove valuable to an analyst.  While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst may not be able to answer THE question that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be data available that will still provide insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case and allow ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions to be answered.  For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder accessed a system via RDP and removed or obscured some valuable data source (i.e., cleared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Log, etc.) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question you have is, "where did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y access this system from?", you might not be able to answer that question.  However, using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data, you would be able to show when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were active on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were doing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, and even demonstrate access to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems.

To quote Blade: "When you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of a thing, you know what it's capable of."  I know, I know...but I really wanted to work that quote into this post.  ;-)  What I'll do now is take a look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have seen, and provide some thoughts as to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources that would be of value.

FTP Via Windows Explorer
I've seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 native ftp.exe client used on systems in a variety of cases, and not only to exfiltrate data.  Back when I was doing PCI forensic analysis, we saw a good deal of SQL injection activity, some of which would use echo to create an FTP script on a system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n launch that script using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -s switch with ftp.exe.  The use of ftp.exe to infiltrate or exfil data can leave artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, and for workstation systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be an application prefetch file created.  On XP systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last accessed time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file will be updated, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will very likely be a value created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's MUICache key for ftp.exe.

However, you can use Windows Explorer to connect to an FTP server.  My publisher used to have me do this in order to transfer chapters, and I've seen this used a number of times on various cases.  The interesting thing about this is that while it involves interaction via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI shell, it leaves far fewer artifacts than using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line utility.  In fact, having looked at several cases where this technique is used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only place that I've found artifacts of this activity is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's shellbag artifacts.  I've discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts before, so I won't go into a great deal of detail here.  Suffice to say, shellbags can be a great resource, demonstrating access to network resources such as shares (even C$ shares), MTP devices (digital cameras and smartphones), FTP sites, etc., providing artifacts of activity that you might not find anywhere else on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Clearing Windows Event Logs
Ever access a system and find out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 records in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security and System Event Logs only go back a day or two?  One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I talk about in my books and presentations is that while it's easy to assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default configuration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to roll over, it's also pretty trivial to check and see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason for this, such as a user clearing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs.  If this happens, you'll likely see a record in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log indicating that this happened, so look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate event ID (517 or 1102).  I've seen intruders do this, and I've seen admins who are responding to and troubleshooting an "incident" do this, as well.  Many times when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log is cleared, you'll see a user accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Viewer (usually visible via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist data) just prior to that time.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log is cleared, that doesn't mean that all data goes away.  You can try to recover Windows Event Log records using Willi Ballenthin's EVTXtract, or depending on what you're trying to illustrate, you can look to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data.  For example, I've had instances when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Logs have been cleared, but I've been able to demonstrate a user's windows of activity over time using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources of data, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, VSCs, etc.

The Power of Mini-, Micro-, and Nano-Timelines
Daniel Garcia recently added a review of WFA 4/e to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon page for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book (thanks again, Daniel, for taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time do to that, I greatly appreciate it); in that review he mentioned mini-timelines.  Interestingly enough, I use this technique all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.  Many times, I'll grab some information and start putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a timeline from a small subset of data sources, in order to get an idea of what's going on, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n once I have that info, I'll kick off a heftier process and let that run while I'm analyzing what I have.  Or, as is often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mini-timeline will provide me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direction for my next steps.  This allows me to see things that I might have missed had I included voluminous amounts of file system metadata, Windows Event Logs, etc., and goes back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique of using overlays that I mentioned over two years ago.  This technique has provided useful in a number of cases.  For example, if someone is in a data center acquiring data, I can send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m a batch script (similar to auto_rip) that runs various tools (RegRipper, etc.) and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m ship me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools. This allows me to start analysis while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bulk of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is in transit, and when it shows up, I'm ready to start my focused analysis.  Or, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and once it's been verified, send me subsets of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data (Registry hive files, Windows Event Logs, etc.) in a secure archive, allowing me to begin analysis on a few KB of data while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full archive (several hundred GB of data) is enroute.

Not long ago, I collected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT, USRCLASS.DAT and index.dat files from three user profiles within an image.  These profiles were thought to be active during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, so I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry hives with RegRipper, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index.dat files with a custom tool, and created a micro-timeline that showed me not just times of activity, but patterns of activity that I would have missed had I included all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data (file system, WEVTX, Registry hives, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r user profiles, etc.) available within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.  The results of this analysis allowed me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n focus my analysis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more inclusive timeline and develop a much clearer picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of my interest.

Browser Analysis
When we hear 'browser analysis', most of us think about data sources such as index.dat files or SQLite databases, and tools like IEF.  But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r potentially valuable data sources available to us, such as cookie files, bookmarks/favorites, and session recovery files.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is using IE and you're interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activity during a specific point in time, you may have options available to you to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information you're looking for.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TypedURLs key (and TypedURLsTime key, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're using Windows 8) may prove fruitful, particularly when used in conjunction with VSCs.  If IE crashed (for whatever reason) while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was browsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web, you'll have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Travelog files available, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se can provide much more insight into what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was doing than an index.dat record would.

The IE session restore files are structured storage/OLE format, and Yogesh has an EnScript available for parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  I've used strings to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that I want, and MiTeC's Structured Storage Viewer to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of individual streams within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.  Python has a good module for parsing OLE files (I really haven't found anything that works as well in Perl, and have written some of my own stuff), and it shouldn't take too much effort to put a parser togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files.  What's really fascinating about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files is that within a timeline, you may see where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launched IE (UserAssist data), accessed a particular site (TypedURLs key, index.dat data), but at that point, you really can't tell too much about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did, or what sort of interaction cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page, or pages, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y visited.  If you're lucky and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a session saved in a Travelog file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were doing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash.  I've seen commands sent to database servers via default stored procedures.  So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files can be a rich source of data.

For ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r browsers, here's information on session restore functionality:
Chrome User Data Directory  (here's a tip for restoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last session from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line)
Firefox - Mozilla Session Restore

Summary
My point in all this is that while in most cases we really want to see all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when we eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r don't need everything, or as is often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, everything simply isn't available and we have to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best use of what we have.  For example, if I simply want to see when a user was active on a system, over time, I wouldn't need everything from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and I wouldn't need everything from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile.  All I'd need to get started are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two Registry hives, browser history files, and maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jump Lists.  The total size of this data is much less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full image, and it's even smaller if I can get someone on site to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and just send me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

Friday, May 16, 2014

Updates

Exploit Artifacts
Corey is back with yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of his amazing exploit artifacts blog posts!  This time around, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post has to do with Silverlight exploits from 2013; even so, this is something (providing exploit artifacts) that's been talked about for a long time, and Corey's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only ones (THE only one that I know of) who crosses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boundaries and self-imposed obstacles between vuln devs/pen testers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR community.  I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who are documenting artifacts associated with exploits with a particular focus on exploit kits, but Corey is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only one that I'm aware of that's doing as complete a job, and sharing that information publicly.

What I really like about Corey's approach is that he's targeting those areas most likely to yield results.  Looking into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN change journal entries has been fruitful for many an investigator, particularly if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can get access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system within a relatively short time after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident occurs.

I also like that fact that Corey clearly documents what he did, as well as what he found.  He also points out a couple of "tidbits" that he found that require furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examination and testing before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're discussed a bit more fully.

WFA 4/e Reviews
I saw recently that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r review of WFA 4/e posted to Amazon; thanks to Daniel for sharing his thoughts!  I greatly appreciate all reviews, regardless of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're perceived, and I really appreciate reviews like Daniel's because he took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to actually read some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new information that was added to this edition.

Volatility Plugin Manager
Via David Cowen's blog, it seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a GUI plugin manager available for Volatility now, written by Andrew Nind.  This looks like a great idea, and I look forward to seeing what people think of it.

RegRipper Updates
I've been working on some updates to RegRipper, not so much based on community-wide input but more based on some discussions that I've had with a very few (like, 3 or 4) folks within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community.  There've been no comments (that I've seen) regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usefulness or value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerting function that was added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool last year.

Output Formats
Earlier this year, I exchanged some emails with Willi Ballenthin, as he had put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort in to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code for RegRipper, and he came up with a means for allowing users to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own output formats.

Ultimately, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wide variation in available data and possible formats, I just thought that it would be easier to provide a switch to allow users to select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'regular' default output format that is available now, or choose between CSV, TLN, or bodyfile output formats.  The switch will be incorporated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLI tool, and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, nothing will change with GUI...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default output format will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'regular' default output that we see now.  However, that may change in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, once I get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary modifications completed.

The move to provide bodyfile output was based solely on discussions with two people, but I hope that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs will find it useful.

Adding .csv output is something that has been asked for in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caveat for this output format is that it's going to be very different across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various plugins. As anyone who's looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins knows, what RegRipper extracts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key is different from what it extracts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist subkeys.

One thing I've wanted to do for sometime is consolidate plugin output formats within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than create new plugins for each output format.  I've found a number of plugins to be extremely valuable during targeted threat engagements, particularly when anti-forensics measures have been employed.  I've used this combination of plugins to develop mini- or even micro-/nano-timelines that have lead to significant findings with respect to intruder activity and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reach, even when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r potentially valuable resources were not available.  By combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se plugins from various systems using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLN format, I'm able to see a clear progression of intruder activity across multiple systems and user accounts, and achieve a significant level of visibility.  However, as things are now, if I modify one plugin, I have to be sure to incorporate that modification into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin that produces TLN output, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one.  By incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various output formats into a single plugin, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire process of maintaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins is simplified.

Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any value in incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 l2t_csv format, as well?

Incorporate Artifact Categories
I know that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have talked about artifact categories before, and that one variation was included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original SANS DFIR poster that was published.  However, I've taken a slightly different approach to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identification of artifact categories, one that is more along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of what Corey discussed when he released auto_rip, and what I listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HowTo blog posts from last July.  With respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry specifically, I'm thinking that it would be very useful to group artifacts within categories, so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're more easily understood and remembered.

Multiple Hives
Something that I've already started incorporating into plugins is combining functionality within a single plugin to query multiple hives.  Within RegRipper, this doesn't happen automatically; what this means is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some plugins that can be run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT and Software hives, or as with a new plugin I wrote recently (and haven't included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin archive yet) to address Adam's latest autostart discovery, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same plugin could be run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT or System hive.

To be clear, this does not mean that RegRipper will correlate data from across multiple hives...RegRipper's foundational design doesn't allow for that.  What it means is that one plugin can be run against several hives.

Artifacts
I ran across an instance recently where Yogesh Khatri's TraveLog research proved to be very beneficial.  Someone was using IE to perform lateral movement, and we weren't sure what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were actually doing...but IE had crashed, and we were able to "see" what was visible in each tab when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser had it's issue.  Very cool.  Thanks to Yogesh for sharing his research...you never know when you're going to be able to make good use of information like that, but it's unlikely that if he hadn't shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, that we would've even known to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files.

Tuesday, May 13, 2014

Links

OpenLiveView
Tim Vidas has posted OpenLV, an update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular LiveView tool that many of use have used before. When conducting an investigation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of ways to access acquired images, such as via any number of analysis frameworks (DFF, ProDiscover, Autopsy, etc.) that provide a great deal of functionality for interacting with data.  There are tools for mounting an acquired image as a read-only volume (FTK Imager, etc.), but OpenLV allows you to boot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image.  This can provide a great deal of visibility into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder saw, interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder interacted with it, and even verify malware autostart functionality.

Be sure to check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS Proceedings, written by Tim, Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w Geiger, and Brian Kaplan.

EVTXtract
The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day I was answering a question about Windows Event Log analysis, and I ran across Willi Ballenthin's tool, EVTXtract (PDF here).  This tool allows an analyst to recover deleted Windows Event Log records.  The Windows Event Log (.evtx) files follow a binary structure that's much different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log (.evt) files on Windows XP and 2003, but deleted records can apparently be recovered, at least in some cases.

ThunderBird Parser
Mari has shared her ThunderBird Parser.  Her blog post has some great information...she talks about what issue she faced and how she chose to address it by writing her own code.  Doing this not only helped her understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying data on much more intimate level, but it also opened that understanding up to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts.

Conferences
My conference attendance changed recently, and I am no longer a member of Suzanne Widup's author panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS DFIR Summit in Austin, TX.  I was really looking forward to speaking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel (I've written a book or two), and discussing various topics around writing DFIR books.  In fact, we'd already started addressing some questions in my blog, and I was really looking forward to hearing and addressing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions.

My not attending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summit has nothing whatsoever to do with any review of my book, and honestly, I'm more than a little shocked that someone would think that, let alone say it out loud to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

Brian Carrier has opened up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 call for papers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSDFCon, to be held in Herndon, VA, on 5 Nov. This has always been a great conference to attend (see here), and needs more practitioners to submit presentations.  In fact, I've recommended to Mari that she submit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference to give a presentation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ThunderBird email parser, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools she's written.  I've already submitted two presentation ideas.

I'm also looking for thoughts and ideas for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r conferences to which I can submit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CfP.  CEIC is out because it's already come and gone.  If anyone has any thoughts regarding a conference (or conferences) that are specific to DFIR, and include topics on addressing targeted threats, I'd greatly appreciate it if you'd comment here or drop me an email.  Thanks.

Tuesday, May 06, 2014

New Stuff

RegRipper Plugins
Corey's busy this week attending Volatility training, but last night sent me a couple of RegRipper plugins he wrote, inspired by what he was learning in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training.  He'd also sent me a third one, which I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 okay to include right after I'd posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest release of RegRipper, so I'm including it now.

I've added  processor_architecture.plwinevt.pl, and an updated pagefile.pl to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download archive.  However, I have not updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate profiles to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two new plugins, nor have I changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version number for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download.  Many thanks to Corey for sending those plugins in!  Keep 'em coming!

Malware Hiding Techniques
I've had anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r article posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dell SecureWorks Research blog.  Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of this post was to illustrate how sometimes we make assumptions about how malware (or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts) may have ended up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions may be correct, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual method of infection can be a game-changer. The analysis that resulted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se findings was fascinating, to say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least.

After you've read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, something else to consider from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examples is how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y circumvent protections.  For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption many analysts have with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployed RAT is that it gets on systems as a result of a spearphishing attack.  As such, protections against this infection vector would include email filtering and user education; however, both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se protections are obviated if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is capable of disabling protections (AV, etc.) and installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RAT.  As mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, network monitoring flagged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system based on C2 communications, and efforts to install endpoint detection technologies were...again...obviated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware file itself used an interesting technique to hide itself from casual view on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, which also worked equally well against some digital analysis techniques.  The carrier file was identified as Vercuser.B, which "cleared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Poison Ivy infection, by checking for various protection mechanisms (VM, running AV software, etc.).

Something else that isn't mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post is that I initially ran into some analysis roadblocks, or so I thought...but after reaching out to Jamie Levy for some input, she pointed me in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis went really smooth.  A good bit of what she helped me with was described in this blog post.  I didn't crowd-source this one, because to be honest, I didn't want to hear what a lot of folks thought, I wanted to hear what an expert knew.

My previous articles published to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dell SecureWorks Research blog are here, and here.

WFA 4/e
There have been additional reviews of WFA 4/e posted on Amazon; again, thank you to everyone who's taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thoughts...I greatly appreciate it.

There have been some discussion on social media regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edition number for this book.  While I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue that was raised, I do not control what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher chooses to do with respect to numbering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editions. I did, however, get several folks that I trust to look at my outline and planned updates, and give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir opinions as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proposed content.  The book was tech edited by someone knowledgeable and known within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, I have asked for feedback on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third edition (as I have for my ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books), as well as gone to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community to ask for input regarding what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd like to see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next edition.  In both cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been very little of eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  I did receive a request to talk about "anti-forensics", but after I asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who asked for that to elaborate and expand on that a bit, I have yet to hear back.

I have to say, I have asked Syngress about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir color scheme for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books.  Digital Forensics with Open Source Tools, Windows Forensic Analysis 2/e and 3/e, and Windows Registry Forensics all have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same color scheme, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same shade of green.  I've been to conferences and given presentations, during which I've stated at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation (when I have a copy of one of my books on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 who am I slide) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books all have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same color scheme and it confuses people.  Then, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, I ask a question, offering to give away a copy of one of my books to whomever gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right answer...and inevitably, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winner immediately states that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y already have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, only to find out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y only looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 color scheme.  That happened at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA CyberCrime Conference just last week.  So, it does confuse people.

My point is simply this...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a great deal authors do not control when it comes to working with a publisher.  However, I have tried to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content issue by reaching out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, particularly while developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outline for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next book or edition, and I have received little input.  I tried to address one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first questions I received regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content for this edition in this blog post, although that came after this book was actually published.

One thing that I hope folks consider doing before commenting or writing a review (good or bad) is actually reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  The two chapters at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book are new material.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third edition, ch 8 was "Application Analysis", and this edition, it's "Correlating Artifacts", which includes information similar to what I posted to this blog in July, 2013.  Chapter 9, "Reporting", is entirely new.