Sunday, October 28, 2018

Updates

Book Discount
While I was attending OSDFCon, I had a chance to (finally!) meet and speak with Jessica Hyde, a very smart and knowledgeable person, former Marine, and an all-around very nice lady.  As part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation, she shared with me some of her thoughts regarding IWS, which is something I sincerely hope she shares with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.  One of her comments regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price point put it out of reach for many of her students; I shared that with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher, and received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following as a response:

I’m happy to pass on a discount code that Jessica and her students, and anyone else you run across, can use on our website (www.elsevier.com) for a 30% discount AND we always offer free shipping. The discount code is: FOREN318.

What this demonstrates is that if you have a question, thought, or comment, share it. If action needs to or can be taken, someone will do so. In this case, my concern is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book content to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, and Jessica graciously shared her thoughts with me, and as a result, I did what I could to try and bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book closer to where ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs might have an easier time purchasing it.

So how can you share your thoughts?  Write a blog post or an email.  Write a review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and specify what you'd like to see.  What did you find good, useful or valuable about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book content, and what didn't you like?  Write a review and post it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon page for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, or to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Elsevier page; both pages provide a facility for posting a review.

Artifacts of Program Execution
Adam recently posted a very comprehensive list of artifacts indicative of program execution, in a manner similar to many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blogs and even books, including my own.  A couple of take-aways from this list include:

- Things keep changing with Windows systems.  Even as far back as Windows XP, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were differences in artifacts, depending upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Service Pack.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shim Cache data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were differences in data available on 32-bit and 64-bit systems.  More recently, artifacts have changed between updates to Windows 10.

- While Adam did a great job of listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts, something analysts need to consider is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context available from viewing multiple artifacts togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, as a cluster, as you would in a timeline.  For example, let's say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's an issue where when and how Defrag was executed is critical; creating a timeline using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's UserAssist entries, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Prefetch file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Task Scheduler Event Log can provide a great deal of context to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst.  Do not view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts in isolation; seek to use an analysis methodology that allows you to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts in clusters, for context.  This also helps in spotting attempts by an adversary to impede analysis.

So, take-aways...know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of Windows you're working with because it is important, particularly when you ask questions, or seek assistance.  Also, seek assistance.  And don't view artifacts in isolation. 

Artifacts and Evidence
A while back (6 1/2 yrs ago), I wrote about indirect and secondary artifacts, and included a discussion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject in WFA 3/e.

Chris Sanders recently posted some thoughts regarding evidence intention, which seemed to me to be along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thought process.  Chris differentiates intentional evidence (i.e., evidence generated to attest to an event) from unintentional evidence (i.e., evidence created as a byproduct of some non-attestation function).

Towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post, Chris lists six characteristics of unintentional evidence, all of which are true.  To his point, not only may some unintentional evidence have multiple names, it may be called different things by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uninitiated, or those who (for whatever reason) choose to not follow convention or common practice.  Consider NTFS alternate data streams, as an example.  In my early days of researching this topic, I found that MS cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves referred to this artifact as both "alternate" and "multiple" data streams.

Some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things to consider, as well...yes, unintentional evidence artifacts often are quirky and have exceptions, which means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are very often misunderstood and misinterpreted.  Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example of Shim Cache entry from Chris's blog post; in my experience, this is perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most commonly misinterpreted artifact to date, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamps are commonly referred to as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "date of execution".  Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of this artifact is that it's taken as standalone, and should not be...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be evidence of time stomping occurring prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file being included as a Shim Cache record.

Finally, Chris is absolutely correct that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts have poor documentation, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have any at all.  I see this as a short-coming of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, not of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor.  The simple fact is that, as a community, we're so busy pushing ahead that we aren't stopping to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community as a whole that we're leaving behind.  Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor may poorly document an artifact, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation may simply be part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code that we cannot see, but what we're not doing as a community is documenting and sharing our findings.  There've been too many instances during my years doing DFIR work that I would share something with someone who would respond with, "oh, yeah...we've seen that before" only to have no documentation, not even a Notepad document or something scribbled on a napkin to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can refer me.  This is a loss for everyone.

3 comments:

mattnotmax said...
This comment has been removed by a blog administrator.
H. Carvey said...
This comment has been removed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author.
mattnotmax said...
This comment has been removed by a blog administrator.