Thursday, December 17, 2015

New RR Plugin: rdpnla.pl

I received a new RegRipper plugin from Chakib today, rdpnla.pl.  In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityLayer value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp key in order to determine if network level aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication is enabled or not.

So what?, you ask?  Well, for one, this is a way to help prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sticky Keys attack from succeeding.  If you've found that a system had been subject to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack and wanted to see if it would succeed, be sure to run this plugin.

This HowToGeek page has a graphical discussion of what some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r settings look like for this key.

Thanks, Chakib!

Wednesday, December 16, 2015

Working with Shadow Volumes

I had an opportunity recently to do some interesting work with Volume Shadow Copies within an image acquired from a Windows 7 system.  In this instance, I got some great information from a specific VSC, and I wanted to go back and do some testing.  Through exchanges with David Cowen, I got access to some tools and decided to share my findings.

Goal
The goal of this analysis, after completing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis I originally intended to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, was to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file (hiberfil.sys) existed as a "previous version" in a VSC.

My original analysis involved creating a timeline in order to develop a detailed understanding of a malware infection associated with a targeted threat group.  The system had been infected over a year ago, and at one point late this past summer, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV had quarantined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and "cleaned" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanisms.

VSCs in FTK Imager
During that initial analysis, I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in FTK Imager, and at one point, I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "System Volume Information" folder and found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a number of difference files visible.  At that point, I knew that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image contained VSCs, and by examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification dates for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files in FTK Imager, I had a good idea of when each had been created.  I saw that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were one or two VSCs that had been created prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being quarantined, and I figured that I could extract specific data sources from that VSC in order to augment my timeline.

I accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC of interest using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VHD method outlined here (note: this blog post contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands used).  I still have a copy of vhdtool.exe (seems to no longer be available, possible replacement linked here), so I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "convert" option to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 *.001 file to a VHD format; this operation essentially adds a footer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image file.  In order to attach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VHD via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Disk Management utility on my Win10 analysis system, I had to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file extension from "*.001" to "*.vhd"; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file still opens just fine in FTK Imager.

Everything went fine using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vssadmin and mklink commands to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC of interest, and I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting folder as an evidence item to FTK Imager (choosing 'contents of a folder').  I was able to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files I wanted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but I did not that this method did not provide me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary access to extract files such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT, etc.  At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis I was doing, that was not an issue.

The issue came up later when I mentioned to Jamie Levy that I had Windows 7 system with VSCs available, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image itself was not a useful source of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware had been quarantined about a month prior cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file being created.  Jamie said she was curious to see through testing if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file was covered by VSCs; that is, could I go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC of interest and retrieve/extract a previous version of hiberfil.sys?

VSS
Jimmy Weg has a good number of blog posts that address VSS; Jimmy's done a lot of great work and shared it.  In fact, I initially used information from his 13 Jul 2012 blog post entitled Mounting Shadow Volumes to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC of interest as a RAM disk on my analysis system.  At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that I did this, I was simply interested in collecting a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT, which is why I was pursing it...at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, I wasn't interested in comparing hibernation files.

After attaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VHD and running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vssadmin command to enumerate VSCs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly-attached volume, I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

D:\Tools>vss x: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy16

This resulted in a RAM disk being added to my analysis system.  I didn't see it in Explorer, nor in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Disk Management utility, but I could add it as a logical volume to FTK Imager.

Removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive was easy:

D:\Tools>vss x:

Drive X: removed

If you're interested in mounting multiple VSCs sequentially, take a look at Jimmy's blog posts and consider using Dan Mare's vss.exe.

Libvshadow
While chatting with David, he mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method used to access VSCs may have an effect on what I was seeing, or what I could access, and he suggested that I take a look at using libvshadow to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs.

Step 1: Get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools..look for "...windows compiled version of libvshadow..."

Step 2: Install Dokan (I went with v.0.7.4, as David mentioned via chat that 0.7.something was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest stable release)

Step 3: Run mmls to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sector offset to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition of interest

mmls -i raw -t dos z:\image.vhd

This gave me a sector offset of "0000002048" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition.

Step 4: Run vshadowinfo (not really necessary)

I'm including this step for completeness...vshadowinfo and vshadowmount require byte offsets, and 2048 x 512 = 1048576, so we will use 1048576 to designate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 byte offset to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partition we're interested in:

vshadowinfo -o 1048576 z:\image.vhd

Step 5: Run vshadowmount

vshadowmount -o 1048576 -X allow_ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r z:\image.vhd x:

X:\ volume contents
The result of running this command is that I now had an X:\ volume on my system (i.e., X: is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mount point added via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vshadowmount command line), with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume illustrated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right.

Note: After hitting "enter" following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above command line, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt did not return; this is normal.  Don't do anything...don't hit "ctrl-C" and do not close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt.  You can minimize it, but do not forget that it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Step 6: Access VSS1 using FTK Imager

I opened FTK Imager and added VSS1 as an image file.  It parsed and opened a little slower than a "normal" image would (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image itself is on a USB drive, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC had to be parsed...).  However, I now have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC as a raw/dd image.  This VSC was created on 13 July 2015, and I can not only extract files that were quarantined on 13 Aug 2015, but I can also extract a previous version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system files.  I can even mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC by choosing "File->Image Mounting..." via FTK Imager.

If you left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background, you'll see stuff scrolling by...when you're done doing what you want to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC and have closed FTK Imager, or just removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence item, bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt into focus and hit "Ctrl-C"; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prompt will return, and you'll no longer have an X:\ volume on your system.

Testing
I opted to use libvshadow to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC and extract hiberfil.sys.  I did that, and use Volatility to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to a raw memory dump, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imageinfo command; even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC that I'd "extracted" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file from had been created on 13 July 2015, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imageinfo command said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file had been created on 13 Sept 2015.  I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hashed both hiberfil.sys files and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same hash.

As such, using this method it appears that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file is not "tracked" or affected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Service; that is, you don't get previous versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.

Addendum: After publishing this post, David Cowen pointed me to this MSDN page that discusses files excluded from VSCs.  Checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry key HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup on my analysis system, I see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file is listed (as is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile).

Addendum, 29 Dec: I had a chance recently to work with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Windows 7 image file, and found that it contained two difference files.  I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used Arsenal Image Mounter to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image read-only, and was able to enumerate VSCs using vssadmin.

If you perform your own testing and find something different, I'd greatly appreciate knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and tools you used.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Take-Aways
The research, testing, and most importantly, interaction with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts really demonstrates that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a number of methods available for accessing historical information on Windows systems that do not require dongles, and do not require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purchase of commercial applications.  Also, you don't need to know Linux, or how to install and compile libraries.  Using native Windows tools, you can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of a VSC as you would any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r folder, but with a couple of freely available tools, you can get even deeper access, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shadow volume.

During my initial analysis (prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing outlined here), I extracted a couple of specific files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC and created a mini-timeline in order to add context to my original timeline, and develop a clearer picture.  And it all took just a couple of minutes.

And it doesn't end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  David Cowen's been producing a series of blog posts on automating DFIR work, and he has a blog post that walks you through accessing VSCs within an acquired image programmatically, via Python.  The final Python script that David makes available essentially accesses each VSC, searches across it for specific files, and collects information about those files.

Resources
VhdxTool - possible replacement to vhdtool (Note: I have not tried this tool)

Friday, December 11, 2015

New RR Plugin: Identities.pl

This past week, I read an interesting FireEye blog post that discussed malware that targets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume boot record.  As I read through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, I got to step 4 ("Component Installation") for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry values listed caught my eye.  I know...go figure, right?

The blog post states that a number of values are created within a specific hive file, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various components of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware itself.  As such, I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se values as a great way to determine if a system was infected, through eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r digital forensic analysis, or even active hunting within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.


The key path for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post is "HKCU\.Default".  Hhhmmm...okay, so...where is that hive on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system?  As you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right, taken via RegEdit on my Windows 10 system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path should be listed as "HKU", which stands for "HKEY_USERS", racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "HKCU", which stands for "HKEY_CURRENT_USER" (which would be me).  Regardless, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ".Default" key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure.  This MSDN blog post lets us know that it's not what we think...no, not at all. That is, this key is not for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Default User", from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new user profiles are created, but instead for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Local System account.

The RegRipper profilelist.pl plugin will show us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paths to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT hives for various accounts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, including not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SIDs, as well:

Path      : %systemroot%\system32\config\systemprofile
SID       : S-1-5-18
LastWrite : Tue Jul 14 04:53:25 2009 (UTC)

Path      : C:\Windows\ServiceProfiles\LocalService
SID       : S-1-5-19
LastWrite : Thu Dec 30 20:51:42 2010 (UTC)

Path      : C:\Windows\ServiceProfiles\NetworkService
SID       : S-1-5-20
LastWrite : Thu Dec 30 20:51:42 2010 (UTC)

As such, you can extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT file from any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se profiles, and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities.pl plugin (uploaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GitHub repository today) against it.

Addendum, 13 Dec: I added a plugin to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repository this morning called latentbot.pl that parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence location for LatentBot (as reported by FireEye), and attempts to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins, as well.  YMMV...extremely limited test suite.

Saturday, December 05, 2015

WRF 2/e

As 2015 draws to a close, so does my work on "Windows Registry Forensics, 2/e".  My schedule has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manuscript completed just before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year, and from what I've seen, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book itself is supposed to be available in April, 2016.  As it is, I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final material in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher yesterday, three weeks ahead of schedule.

Note: The OFFICIAL (re: ONLY) location of RegRipper is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GitHub repository.  Do not send me emails about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Code site, or about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wordpress page. Please stop referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wordpress site, and please stop referring ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (i.e., your students) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site.

Goals
What I hoped to do with this edition is spend much less time focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry (where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files are located) and how to extract data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, and spend more time on data interpretation.  I retained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic material, as I think it's important to have that foundation before proceeding, but in chapters 3 and 4, I wanted to spend more real estate talking about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available data needs to be interpreted correctly.

What it is
The second edition is a significant (albeit not complete) rewrite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition.  Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material remains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same because quite frankly, it doesn't change.  There's some new stuff in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (new keys/values, AmCache.hve, etc.), and some stuff has been updated.

There is some discussion that includes new versions of Windows, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are examples specific to Windows 8, 8.1, and 10.

In this edition, I separated various Registry artifacts by category, in hopes that it would be easier to follow, or visualize.  We'll see...

Throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, as with my ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books, I've used examples of how Registry analysis has had a significant impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis I've done.  Unfortunately, most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stories are from analysis I've done.  Prior to starting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, I held an online contest to see if folks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community would be willing to send in little stories and vignettes about how Registry analysis had impacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir analysis; I offered a free copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, once it was published, for any and all submissions that appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  I got one submission.

There is more content in this book that discusses using RegRipper.  In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's an entire chapter just on RegRipper.

There is discussion of "new" plugins that I've written and added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GitHub repository.  In fact, here's a blog post that describes a couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones I wrote and added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repository; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se plugins are meant to be run intentionally, and I did not add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profiles.

Speaking of new plugins, I'd like to ask that if you have a question about RegRipper, please do not post it to a forum first...because doing that makes it likely that you won't get an answer.  Here's an example of a blog post where someone decided that RegRipper didn't do something, and instead of asking about it, just announced it.  If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is something you'd like RegRipper to be capable of, please feel free to reach to me first...most times that results in RegRipper being able to do just that, usually within a few hours.

What it is NOT
This edition is NOT a complete compendium of all possible Registry keys and values that may be of interest to an analyst, in part because...quite simply...I don't know everything.  

I did not address all devices that contain Windows Registry hives, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple reason that I could not...I do not have access to Windows phones or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r devices that include hives.  I do get those questions (i.e., "What about Registry files from ....?"), so I thought I'd just go ahead and answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m ahead of time.

As for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions, like, "...did you cover this?", and "...did you talk about this?", you're SOL and missed your chance to get it included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, my friend...sorry.

What's next?
I've been thinking for some time now about a scanner, where I'd be able to point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool at a mounted image or shadow volume, make a couple of simple choices, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool spit out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.  I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of basing this on artifact categories and an analysis matrix.

Resources
InfoSecInstitute - Registry Forensics

Wednesday, December 02, 2015

Links

NTFS Tools
A while back, David and his cohorts released NTFS TriForce, a great tool that allowed you to correlate several NTFS data sources...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT, $LogFile, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN change journal, using various data elements as "pivot points" to join tables within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database.  The folks over at StrozFriedberg came out with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own version of a similar tool called NTFS-Linker.

Program Execution
Not 'new' (this one is from earlier this year), but Chad recommended that if you're looking for artifacts of program execution, you should consider taking a look at SuperFetch artifacts.  This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifact to add to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category, given information such as can be found here.

Registry
The folks over at CodeReversing have an interesting post on "Stealth Techniques: Hiding Files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry".  This is not new...about 15 years ago, I developed a proof of concept tool that downloaded an executable file that had been renamed as a *.gif file, and parsed up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file into discrete sections, putting those sections in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry.  The second half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PoC re-assembled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycle Bin and launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable.

Don't get me wrong...just because something isn't new doesn't mean that it's not relevant.  I see that in pretty much ever targeted threat response engagement that I'm involved in, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r directly or peripherally...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary or intruder uses some technique that are really very simple, so much so that it's overlooked; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleeper Agent blog post is a great example of that.

RegRipper
Reminder: The OFFICIAL (re: only) location of RegRipper is GitHub.  Do not send me emails about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Code site, or about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wordpress page.

Plugins
I caught something in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives for one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mailing lists I access...someone had reached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditpol.pl plugin, saying that it wasn't working for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  Well, I hadn't touched that plugin since I wrote it, and it was intended for Windows XP and 2003 systems, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that those were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only systems on which I had documentation.

Well, someone responded with a link to a PDF document that illustrates how to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit configuration for Vista+ systems.  I renamed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current plugin to auditpol_xp.pl, and updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditpol.pl plugin to work for Windows 7 and 10 systems ONLY, because I don't have data from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems available for testing.

Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new auditpol.pl plugin has only been tested against Windows 7 and Windows 10 systems, and only one Security hive from each platform.  What it does is allow you to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effective audit policy on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of running:

auditpol /get /category:*

Both plugins are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Github repository; however, again, I do not maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper profiles, so as plugins are added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repository, I am not updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profiles to remain current based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available plugins.

On Sharing
I'm a huge proponent for sharing; sharing information or intel, even just engaging and asking questions.  I recently came across this article on sharing that just sort of reinforced my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject.




Tuesday, December 01, 2015

Doing Analysis

I had an opportunity to perform some pretty fascinating analysis recently, and I thought some might appreciate it if I were to take a moment and describe what I did, and how I went about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis.

Situation
The situation was pretty straight-forward; a system (Win7SP1) had been identified as having been infected with malware at one point.  What had been determined from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial analysis that had been conducted was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system have been infected in Sept, 2014.  As it turned out, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question had been deleted by an AV scan around mid-Aug, 2015, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image had been acquired near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of Sept, 2015.  Two user profiles had been identified as having been involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection.

Goals
The goal of this analysis was pretty simple.  Essentially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial analysis work had already been done, and a report had been delivered to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client. My objective for this analysis was to gain greater insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection process, and to see if I could develop threat intelligence from anything else that I found.

Tools
I performed all of my work using free and open-source tools.


I conducted my analysis using Notepad++.

Timeline
I created a timeline of system activity using:
  • File system metadata
  • Selected Windows Event Logs
  • Registry hives (Software, System, Security)
  • NTUSER.DAT and USRCLASS.DAT from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two profiles of interest
  • User WebCacheV01.DAT IE browser history files
The process I used to create my timeline is pretty much exactly what's listed in Windows Forensic Analysis 4/e, in ch. 7.  The process took only a couple of minutes to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a timeline and begin analyzing it.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in FTK Imager, I had a timeline in less than 30 min. Also, something I really like about it is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process can be used in such a manner that only those files required are sent to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analyst to construct a timeline.

The system did have Prefetch files but given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no files of interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch folder.

Once I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, I was able to easily add context to what I was looking at using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools.  For example, I parsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's WebCacheV01.dat files initially using esedbexport.exe, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using ESEDatabaseView.  An important take-away from this is data interpretation...entries have several time stamps associated with each visited URL, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect identification and interpretation of those time stamps can significantly impact your findings.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visited URL has an expiry date time stamp; assuming that this is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site was last accessed can have a significant (and perhaps detrimental) impact on your overall analysis.

I took a look at IE session recovery files using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Structured Storage Viewer; I got what I needed out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular streams of interest, and added notes to my timeline.

Mapping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's TypedURLs values with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TypedURLsTime values was pretty fascinating, although all it really did was support findings that didn't pertain directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.  Still...it was pretty cool.

User shellbags proved to be very illuminating, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist information added additional context to what I was seeing.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of one user profile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combination of those two artifacts illustrated intentional, purposeful activity...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user navigated to a specific subfolder, and double-clicked a specific .exe file, launching it.  File system and Registry events following this activity indicated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application.

Hibernation File
It turned out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was a laptop, and had a hibernation file.  I extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and used Volatility 2.5 to convert it to raw format.  The "imageinfo" command told me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file had been created on 13 Sept 2015,  a bit before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image was acquired.  I didn't expect to find anything of value from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory image, but I ran a couple of commands (pslist, psxview) anyway.  Doing so essentially validated my suspicions, but better to do it than not.  Besides, I wasn't stopping my ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysis...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt where I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands simply went to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background, and I examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output files when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands completed.

The previous analysis had indicated that strings/IOCs associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware had been found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file.  I used strings.exe, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility 'strings' command, and found that those strings were in free space.

Working with VSCs
A quick check of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image indicated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were volume shadow copies (VSCs) available, which was great.  Most corporate systems I've dealt with for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of years have had VSCs disabled for some reason, and here was one that didn't.  I ran vhdtool.exe to "convert" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, which essentially added a footer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.  As my analysis system is Windows 10, I renamed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ".vhd" file extension.  I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Disk Management utility and attached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly-created VHD, and used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available VSCs:

vssadmin list shadows /for=g:

Interestingly, I basically followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process laid out in this blog post.  The output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vssadmin command showed me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a VSC that had been created on 13 Jul 2015, which was about a month prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being detected and quarantined by AV.  I linked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC to a folder on my analysis system, and added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder to FTK Imager; however, this didn't give me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of access I wanted, as I wanted to get, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC.

That's where Jimmy's blog post on mounting shadow volumes can into play.  Using vss.exe, I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC in question to my analysis system as X:\, which appeared as a RAM image.  I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logical volume to FTK Imager, and was able to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT, as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files.   By creating a timeline using files extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC, I was able to create a bit more context around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365

Conclusion
Creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manner that I did allowed me to get started on my analysis in fairly short order, identify what needed a closer look, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n add context and notes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.  I didn't have to wait for an automated tool to complete, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n trudge through a lot of data that didn't pertain to what I was trying to determine.  I admit, I had a bit of a leg up because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial analysis that had been conducted, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process I used would have led me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial indicators pretty quickly.  Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of eventmap.txt in parsing Windows Event Logs allows for a number of event records to be auto-tagged, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n easily searched for in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.  Searching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "[MalDetect]" tag would've taken me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Symantec Endpoint Protection Client" event ID 51 record that identified what would be my initial pivot point.

As it turns out, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a number of "Symantec Endpoint Protection Client/51" events in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, so an easy fix to that would have been to do something like this:

type events.txt | find "[MalDetect]" > av_events.txt

The above command runs through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events file and locates all malware detection events, putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into a separate file.  From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I could have run:

parse -f av_events.txt > av_tln.txt

This would give me a nano-timeline of just AV detection events, giving me a much smaller set of data to analyze, and on which I could pivot.  This would also pick up all malware detection events, for any such events mapped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eventmap.txt file.

Accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shadow volume allowed me to collect copies of files that were not ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise accessible, as well as get a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being removed.  In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware employed two persistence mechanisms, which meant that two copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware existed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.  My initial timeline provided an indication of this, as immediately prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV writing it's detection and quarantine message to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Log, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were changes to two locations within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system, and to one Registry key.  Accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shadow volume from a time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware existed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system allowed me to confirm what I had suspected.  It only took a few minutes, and to be honest, it was worth time to close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loop on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speculation.

I should note that I exported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shadow volume, but once I converted it to raw format, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "imageinfo" command showed me that it had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same "image date and time" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.  Running "pslist" and "psxview" gave me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same information as running those commands on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original hibernation file.  I need to look into this more, but it seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file is not tracked in shadow volumes, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $MFT is.