Based on some testing that Phill had done, I recently updated my Recycle Bin index file ($I*, INFO2) parser. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r developments, and I wanted to document some additional updates.
NTFSDisableLastAccessUpdate
We have seen recently that, apparently, as of Win10 1803 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been changes made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFSDisableLastAccessUpdate value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry (David, Maxim). In short, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "yes" or "no" (i.e., "1" or "0") value data that we're used to seeing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a total of 4 options now.
I've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disablelastaccess.pl plugin accordingly.
SysCache.hve
Maxim shared some interesting insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SysCache.hve file recently. This is a file whose structure follows that of Registry hive files (similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache.hve file), and is apparently only found on Win7 systems.
There's some additional insight here (on Github) regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various values within some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys.
I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 syscache.pl plugin to parse this file, and to really make use of it, you need to also have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SysCache.hve file does not record file names; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT record number, which is a combination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry number and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequence number for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file record within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT.
PowerShell Logging
As my background is in DFIR work and not system administration, it was only recently that I ran across PowerShell Transcription Logging. This is a capability that can be enabled via GPO, and as such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are corresponding Registry values (in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Start-Transcript module, which can be deployed via PS profiles) that enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability. There's also a Registry value that allows for timestamps to be recorded for each command.
This capability records what goes in with PowerShell during a session, and as such, can be pretty powerful stuff, particularly when combined with PowerShell logging.
To see what PowerShell transcription logging can provide to an analyst, take a look at this example, provided by FireEye, of a recorded Invoke-Mimikatz script session. Here's an example (also from FireEye) of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of module logging looks like for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same session.
As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se settings can inform an analyst as to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can expect to find on a system, I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pslogging.pl plugin. However, a dearth of available data has really limited my ability to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin.
*Note: This post was originally authored on 9 Dec 2018
The Windows Incident Response Blog is dedicated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myriad information surrounding and inherent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topics of IR and digital analysis of Windows systems. This blog provides information in support of my books; "Windows Forensic Analysis" (1st thru 4th editions), "Windows Registry Forensics", as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I co-authored with Cory Alcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ide, "Digital Forensics with Open Source Tools".
Tuesday, December 18, 2018
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment