Wednesday, September 28, 2005

Remote Forensics System

I was grabbing some tools from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foundstone tonight, for a presentation I'm working on, when I ran across something called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Remote Forensics System". That sounded very interesting, so I Googled it and found a PDF at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foundstone site that describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFS.

I read through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document and found a lot of very good information. In fact, I was envious...to be a grad student again, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to do this kind of work [heavy sigh]. At least part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system runs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JRE, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've incorporated triggers in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall system, so that if something pops up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS, for example, data will be automatically retrieved from systems. Cool!

I'll need to read through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document again to get some idea of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collected is actually analyzed. However, it does sound like a great idea! My hat's off to Chris Prosise, listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Acknowledgements as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisor.

Imagine my surprise when I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Server Project mentioned in section 5 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document! Wow! Someone actually went by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site and took a look at what I'd done. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bibliography

System Clock

Recently, a post in a public forum appeared, asking about how to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accuracy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system clock. That got me to thinking...how do you verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accuracy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system clock, given nothing more than an image of a Windows system?

I decided to start some of my own research, and to post in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r lists to see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs were doing. I received several responses, but most have been along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of:
  • Completely missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part about an "image"
  • Using email headers
Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se responses aren't bad, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do point out something very important...that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really isn't any set way to establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accuracy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system clock, based solely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of an image. The use of email headers does, however, assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intermediate systems that stamp cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email have accurate system clocks...something I wouldn't be willing to bet on.

So I set about performing my own experiments to see what happened. First, I ran InControl5 to baseline my system. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 baseline was complete, I double-clicked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time display on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right of my Task Bar, and that opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Date and Time Properties" window, which is essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timedate.cpl Control Panel applet. I modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system time, clicked "OK", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InControl5 process.

Viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results, I ran across a couple of interesting things. First off, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following UserAssist key had been updated.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}/Count

I ran my "uassist.pl" Perl script to translate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values under this key, and found "timedate.cpl". Unfortunately, this key doesn't maintain its values along with an MRU list, so we don't know which was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last value, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key is of little value to us.

When I actually opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Control Panel and double-clicked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Date and Time" applet, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r entry occurred in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above UserAssist key...specifically, "UEME_RUNCPL:"C:\WINDOWS\system32\timedate.cpl",Date and Time".

Since I'm on an XP system, I thought I'd take a look in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch directory and see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were any tidbits lurking around. Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought didn't simply occur to me...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of InControl5 told me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file named "Rundll32.exe-randomstuff.pf" had been changed in some way. Knowing that rundll32.exe is a legit MS app, and that it's used to run things like Control Panel applets, I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pf file in BinText and found Unicode strings that referenced timedate.cpl and w32time.dll, amongst ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things.

All this is fine, in that it gives us clues, but I don't think that it's all that definitive. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r place to look, however, is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log. Specifically, within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Event Log cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be an event ID 520 (Category is "System Event") that states that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system time was changed, and includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 username, previous time, and new time. Very helpful!

Barring that (pretty definitive, isn't it??), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be discrepancies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual times associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. For example, if an event record with a higher number (more recent event) has a generated or written time that's before a previous event, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you may be on to something.

So far, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses I've seen have said something along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of "look at your watch when you're standing in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, before you unplug it and image it"...but, like I said, answers like that sort of miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question.

So...thoughts?

Tuesday, September 27, 2005

Projects

Every now and again, I poke my head up for a breath of fresh air and a look around...and I wonder if ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs face cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issues and challenges I do. For example, knowing where to look during forensic analysis for information relevant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case at hand.

So, my question to all of you out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is this...what issues do you face? What things do you see, need more information/documentation about? What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things during a case (or just after you've completed one) that leave you wondering? What are those things that would make great research projects?

Sometimes, those things you are wondering about may already have been solved, addressed, or encountered by someone else.

Please feel free to post a comment here, or email me directly...which ever works. If you email me, I might post your idea, but I won't use your name without your consent.

Addendum 28 Sept: Well, I've received a single email so far in response to this post, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas are (a) case studies, and (b) challenges. I'll see what I can do about posting both, but I'm sure that it would be extremely beneficial to hear from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual suspects that provide forensic challenges (ie, HoneyNet, DFRWS), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs available. Try TigerTools (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page has links to three different challenges; Feb, March, and July). I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs...

Monday, September 26, 2005

Some way cool visualization stuff

F-Secure has a way cool visualization presentation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bagle worm...check it out. Scroll down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fri, 23 Sept entry entitled, "A different look at Bagle". Very cool.

I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are visualization tools available for social network analysis. Raycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365on's SilentRunner (who owns it now??) uses n-gram analysis to build context and create a basis for it's mapping, and is very interesting. I wonder if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above malware visualization will eventually include details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual functions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves...

Friday, September 23, 2005

Creating a timeline analysis tool

I'm not a DBA, and I don't play one on TV. So when it comes to writing a timeline analysis tool, I'm not going to be able to do it myself. But here's what I propose...

I'm most comfortable on Windows platforms, and I know folks that prefer Linux, so that's cool. I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are people out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who are familiar with databases, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs that are good graphics programmers. What I'd like to see about doing is opening a project on SourceForge, and see if we can't get a decent start on developing a solution. Here's how I envision it going...and please keep in mind that this isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 be-all-and-end-all, just my impressions:
  • Identify data sources (we've already gotten started with this, but we don't have to be restricted to Windows systems)
  • Identify data sets (data source/log normalization, etc.)
  • Identify a database format, using mySql (table definitions, etc.)
  • Identify and create a graphic component for presenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sets
So...here's what I think we need...and please feel free to weigh in here...we'll need someone to take responsibility for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database structure. I think I remember some good install instructions for mySql on Windows - if anyone knows of a resource that's not from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mySql site, please let me know. I do think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database is pretty important...even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual graphic representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data never really comes to fruition, at least we'll have a good structure for a single structure to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual data.

As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphics programming goes, I'm not really sure where to go with that one. Would it be better to go with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff that's already out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, or create something new with Java or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cross-platform solution?

So...who's interested? If I get enough interest, I'll go ahead and see about creating a project on SourceForge. Like I said, I can provide various means of extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. For example, most of my Perl scripts that parse raw binary files from Windows can be made cross-platform, and easily modified to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information into a database. I can also write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary scripts for ProDiscover. Providing solutions to pull data from a source and populate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database is something that will be on-going, I'm sure.

Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no doubt in my mind that this sort of project will take a while...if it were easy, everyone would be doing it. I don't expect it to be done overnight. However, I would like to see it get done, b/c I do think that it would be extremely useful to a lot of people.

So...thoughts?

Addendum: I just did a search on SourceForge for "timeline" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are several projects listed, but most don't have anything more than a simple page...no project files, nothing. There are some projects with files, but I'm not entirely sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd be suitable.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is something promising...check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Timeline view of GenealogyJ. My concern would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume of data, but it does look like a good start.

Also, my hope is that this will be compartmentalized...meaning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphics component won't be database-dependant. That way, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re can be several different interfaces for presenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can develop over time.

ISC Rootkit Discovery

This post appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incidents.org (ISC) blog two days ago, and is a very interesting read. The handler, Tom Liston, who works with Ed Skoudis over at IntelGuardians, writes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post in a humorous, Ian Fleming-esque style.

Take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section marked "A view to a kill". Here, Tom mentions a couple of .sys files that seem to be a rootkit. I've run across this before...specifically a file named "rdriv.sys".

Tom's write-up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post that describes what actions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware takes on a system is very interesting, and an excellent read. The one big thing I took away from all this is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys really need to get off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir butts and start sharing information like this...tools, techniques, what's been found, etc. This needs to really start happening, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys are obviously doing it...and doing it much better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys. It's pretty clear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys are moving away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old days of "hacking" and writing malware as pranks, and this sort of activity is now driven, at least in part, by economics and financial gain.

Thursday, September 22, 2005

Visualization

I've started to see that this issue of "timeline analysis" really isn't one of getting data as much as it is one of visualization. Graphically representing data in some manner for presention it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience, can be very powerful. It's been said that a "picture is worth a thousand words", and in many cases, this is true. So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question becomes, how does one best present a timeline of activity on a system?

For starters, let's simply consider any system. One would hope that any solution would provide for mulitple systems, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows host-based data sources having been covered in previous posts. We could incorporate firewall logs, logs from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems, syslog, etc., all under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same case heading. There would need to be some sort of normalization process, of course, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data was incorporated into a database. Along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lines, I'd met with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MountainWave folks many moons ago, in a previous life (...once, in a galaxy far, far away...), before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were purchased by Symantec. Their CyberWolf product was pretty cool, and performed normalization of logs, in a manner similar to what I'm referring to here.

Okay...so once you've populated your database, what next? Ah, yes...queries.

For presenting your data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many freeware visualization toolkits available, such as VTK, OpenDX, and GraphViz...but how useful are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se...really? Well, GraphViz may have some potential.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial tools I've been told is being used is CaseMap from CaseSoft. From what I've been told, though, getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data into CaseMap can be almost as much of a manual process as Analyst's Notebook. A caveat, though...I haven't worked a great deal with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se products, so I don't know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of manually entering data is one of operator error or not.

This is all still kind of up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air...how do you present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data? I think that culling information from a database and presenting a scalable view is still a viable option. The analyst can choose a date and time, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool will provide a zoomable view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, much in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as when you do a search on

Tuesday, September 20, 2005

Cross-platform scripts

I've heard back from one or two people who've run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lsevt.pl, lsreg.pl, and regp.pl scripts I posted a bit ago. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, I've heard pretty positive comments...things have worked well for most folks. The scripts seem to work just fine so far, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're run on...as long as it's running on an x86 processor. Yep, you guessed it...endianness is an issue.

However, one astute user was running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts on a G5 (PPC processor) and let me know that if you change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arguments of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unpack() function, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts work just fine, regardless of which microprocessor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're run on. The change comes in replacing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "S" (short, WORD, 2 bytes) and "L" (long, DWORD, 4 bytes) with "v" and "V", respectively. So, take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 regp.pl script for example...in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 _getNodeType() subroutine, you'll see:

return unpack("S",$record);

Change that to:

return unpack("v", $record);

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 readNkRecord() subroutine, you'll find:

my (@recs) = unpack("SSL3LLLLLLLLLL4LSS",$record);

Change that to:

my (@recs) = unpack("vvV3VVVVVVVVVV4Vvv",$record);

I won't be making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts myself...at least not right away. However, I am working on anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book, so I will include those changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts before I add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD.

Issues with timeline analysis

I've been doing some searches regarding timeline analysis, delving deeper into this. I still don't think that scatter plots and histograms are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to report on and present this sort of information...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is just too much information that can and needs to be presented, and too many possible ways that it can be viewed.

In my Googling, I'm finding a good deal of references to "timeline analysis", as well as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "reconstruction". A lot of this is being offered as a service. There are also products available that can assist you in your timeline development and analysis, but many seem to be limited strictly to file MAC times. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various sources for timeline analysis that are available on a Windows system, relying simply on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file MAC times is not doing anyone any good.

So, I think that we're doing pretty well when considering sources of information, and now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is, how do we present this information so that it's understandable? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re an "access view" that looks at last access times of files, where a "modified view" would look at last modification times of files, as well as Registry key LastWrite times? What about things like times maintained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document properties of OLE docs (ie, Word docs, Excel spreadsheets, etc.)? At what point is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re too much information? How does one winnow out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valid, normal, usual stuff to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting stuff?

There's definitely some room for thought and development here. At this point, my thoughts are that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re'd be some sort of database involved, along with perhaps a Java interface for issuing queries and displaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information. I haven't written Java GUIs in while, but perhaps a zoomable, scalable depiction of a timeline would be a good start...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator could pick a time of interest, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial queries would display a view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline of activity, plus and minus a certain amount of time (determined by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator). Perhaps an interface into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database that shows which information is available, and lets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator select items to add and subtract from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view would be helpful. Add to that color coding of event records from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log, and some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r graphical representations of severity of events, and we may have something useful.

I mentioned Java above so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole thing would be cross-platform, but I can easily see where HTML or XML would work as well. With a mySql database, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary filters to parse out any sort of information that is available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator and get it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database, I think we may have a pretty serious tool on our hands.

Thoughts? I know for my own part, I still have a lot of thinking to do, regarding such things as anomoly detection and anti-forensics. However, I think that this may be best handled by discussion within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.

Addendum 21 Sept: As I think about this more and more, and even go so far as to draw out diagrams on a sheet of paper, trying to conceptualize what a "timeline" should look like, I'm even more convinced that a scatter plot isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to go. Why? Well, a horizontal line (representing a time scale) with a bunch of little dots is meaningless...it has no context. Even if you gave different sources separate icons, and even color-coded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, without more information, it can be useless. Let's say you have a cluster of events around a particular time...Registry key LastWrite times, file last access times, and event records. Well, this could be a boot event. But you don't know that until you dig into things and take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs.

Somehow I think that a scatter plot in which each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dots has some identifying information would be just too much...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graph would be far too busy.

Something that may be of value in this effort is something like fe3d. Yes, I know that it's intended to provide visualization for nmap scans, but I think that something like this, with modifications, would be of value. Take a look at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshots and try to imagine how to map timeline information to this sort of representation. Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r freeware visualization tools out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re...something else may be easier to use.

I will say this...one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that caught my eye with fe3d is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different nodes. Given information dumped into a database, one could include sources from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems, such as Event Log records from a file server, or data from an IDS, or even firewall logs or syslog data...and have that timeline information represented on a different node, but correlated at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time scale as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system(s) you're investigating.

Monday, September 19, 2005

Sources for timeline analysis

I just wanted to take a moment and list out some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources for timeline analysis on a Windows system:
  • MAC file times
  • Registry key LastWrite times
  • Event Logs
  • Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r logs (ie, setupapi.log, schedlgU.txt, etc.)
  • INFO2 files

Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources that should be added?

On a side note, does anyone have any credible/supported information regarding which Registry key maintains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit policy? This may be something that's very important to check.

Friday, September 16, 2005

Timeline analysis

I've blogged about different forms of analysis in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, and thought I'd take a look at timeline analysis. I had an opportunity to dig around in EnCase v5.0 recently and noticed a nice graphical timeline visualization tool. Very cool. This would have been helpful in a recent situation, had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue been with filetimes, and not Registry key LastWrite times.

I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TimeLine view is not a new feature for EnCase...I simply haven't had to get really deeply involved in using EnCase in a while. However, lsevt.pl and regp.pl. These scripts parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Event Log and Registry files, respectively. Lsevt.pl contains instructions within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code for formatting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output in semi-colon-delimited format, suitable for opening in Excel. Let's say we did that, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n sorted everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Time Generated" field from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records. Then we could do easy (albiet non-graphical) analysis of events that occurred at a certain time.

The regp.pl script doesn't do this specifically, but minor modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file will print out only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key name and LastWrite times, in semi-colon- or comma-delimited format. Again, open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in Excel, sort on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time column, etc.

I think that it would be interesting to have a tool that does all of that, don't you? One that presents a timeline in a spreadsheet or graphical format, but incorporates not only file/directory MAC times, but Registry key LastWrite times, Event Log event record "time generated" times, etc. Being able to trace back to a specific date and time that, say, a file was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, you might see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progression of files installed, Registry keys created, etc., as well as any preceeding events, such a failed login attempts to an Admin-level account, etc.

Addendum 17 Sept: The more I think about it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I find that I'm not really sure what I mean when I say "timeline analysis". I received an email from someone that pointed out limitations in Excel (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of lines it could handle) and recommending that I look at gnuplot. That's good information, but how useful is it, really? Think about it. A colorful histogram might be nice, but what does it tell me?

When I've had to use timeline analysis of some sort, I've had a date in mind...usually from a complaint or incident report. In some cases, I've noticed "interesting" events that occurred around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry key for a service called "rdriv.sys". At that point, what I'd like to be able to do is (a) get a snapshot of everything else that occurred around that time...file changes, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Registry keys, events from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log, etc....within a pretty immediate time frame (within seconds), (b) get anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r snapshot, but with a bit wider scope (hours, maybe less than a day), and (c) "interesting" events that occurred following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial event.

In my mind, I'm not entirely sure that this is something that is suitable, particularly during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial phase of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation, to be displayed in a candlestick or even a histogram plot. In some cases, I think it would be way too messy. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, I'm not sure that sorting on groupings of activities or concentrations of events would be necessarily informative, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r...you'd see events like reboots.

Don't get me wrong, though...I do think that perhaps something like gnuplot would be useful in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation phase of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation, a plot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of certain types of events, such as failed login attempts, network logins, or of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of queries to appear in IIS logs, would be useful, I think.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glut of files on a Windows system, one would need some method for winnowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheat from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chaff. Any sort of plot you do based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last accessed time of a file, looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bad things" will likely be hidden behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "normal things" that go on on a system.

So...at this point, my thoughts are along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lines...some sort of database will need to be used in order to facilitate searching...I'm thinking mySql. At this point, I'm not entirely sure what kind of table structure would be most useful, but I do have an idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that would need to go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database. From files, you'd want things like full path, MAC times, hashes, file version information (useful in narrowing down searches to all non-MS files), file signature status (i.e., pass or fail), any alternate data streams, etc. I think I'd want to populate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database with information from Event Logs, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r logs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...schedlogu.txt, IIS logs, setupapi.log, etc. Of course, I'd also want to include Registry key LastWrite times, as well.

Once all this information was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database, I'd start with some sort of default search queries that allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator to target specific dates and look for anything "interesting" within certain windows of time, around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target event. I don't see simply having a dot showing a file change, or a number representing how many files changed, as useful. For me, I'd have to see which files changed, by name and location, as well as Registry keys that may have changed just prior to or immediately following those file changes/additions. I think that used in combination with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file hashes and versioning information, something like this might be very useful to investigators, and help in narrowing down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it takes to find "interesting" events.

Addendum 19 Sept: I received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following email over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend: "I've long desired a consolidated timeline view of "what happened on this box and when". The filesystem MAC times tell a big part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story, and now with your perl scripts, I can add two more important pieces of events and registry key writes. In a single view, I can see "DCOM service unexpectedly restarted, file backdoor.exe was created, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CurrentVersion\Run key was last written". That is powerful!"

Combining MAC times with Event Logs, Registry key LastWrite times, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r log resources, along with explanations (ie, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log entries mean) would be a pretty valuable source of information, wouldn't it?

Thursday, September 15, 2005

Not your everyday Perl on Windows

I program Perl. I program Perl on Windows systems. My Perl scripts don't usually do general stuff like file manipulation; ie, open a file containing lines of text, read in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines, sort/manipulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in some manner.

I've written scripts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Management Interface (WMI), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Driver Model (WDM).

I've written scripts that open and parse files in binary mode; ie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry and Event Log files, as well as PE headers.

I've written scripts that use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl API, or directly access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows API, and I've completely bypassed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows API all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

I'm not an expert...I see myself simply as trying really hard. And I find myself wondering if ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs want to see what I've done...not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process I've gone through.

Is this something ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are interested in seeing? If so, in what format?

Offline Registry parser on Linux

I thought I'd post this, as I found it pretty interesting...

I got some feedback from someone who'd used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offline Registry parsing script...he told me that it worked well for him. What was interesting to me was that he was running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script in Perl v5.8.4, on Debian Stable, with kernel 2.6.5 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 i686 architecture.

He pulled down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, and copied some Registry files over from a Windows VMWare session, and things worked fine.

Wow. That's great feedback! And positive, too.

Monday, September 12, 2005

Rewriting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS API

I've released lsevt.pl, a Perl script that I developed to parse through raw Event Log files. As I mentioned in my GMU2005 presentation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of Event Log files, I had one instance in which parsing through an Event Log file manually revealed a "hidden" event record, one not seen by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS API.

I released my initial script earlier, but it was proof-of-concept, and I received requests to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script and return all available information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records. So I added parsing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event source, computername, message strings, data, etc.

To run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, simply pass in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log file that you're interested in, and redirect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to a file:

C:\Perl>perl lsevt.pl c:\windows\system32\config\sysevent.evt > sys.log

An example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script generates is:

Record Number : 10876
Source : Service Control Manager
Computer Name : ENDER
Event ID : 7036
Event Type : EVENTLOG_INFORMATION_TYPE
Event Category: 0
Time Generated: Tue Aug 2 02:12:25 2005
Time Written : Tue Aug 2 02:12:25 2005
Message Str : iPod Service stopped

Record Number : 10877
Source : EventLog
Computer Name : ENDER
Event ID : 6006
Event Type : EVENTLOG_INFORMATION_TYPE
Event Category: 0
Time Generated: Tue Aug 2 02:12:31 2005
Time Written : Tue Aug 2 02:12:31 2005
Message Data : ff 00 00 00

I've included directions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script itself for those who prefer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output in a semi-colon delimited format, suitable for opening in Excel.

As always, I hope someone finds this useful.

Memory dumps revisited

A while back, I blogged on Memory Collection and Analysis. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DRFWS Memory Challenge have been posted, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results look promising. I haven't had a chance to work with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't seem to be available, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do look interesting.

John H. Sawyer has commented in his blog. One of his more interesting comments, with regards to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Debugging Tools, is, "The tools weren't intuitive, I'm not a programmer and you have to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine preconfigured to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dump that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debugging tools can read. LAME!" I think that his sentiment sums up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue quite nicely...most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Debugging Tools likely aren't programmers, haven't had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to work with and learn how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools, and simply haven't configured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS tools...which, like any tool, has it's own inherent strengths and weaknesses.

It does look as if this issue is taking a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction...we'll see how useful this sort of thing is as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools remain private.

Saturday, September 10, 2005

Updated Registry parsing tool

Well, this isn't so much an update as it is a modification. I've released lsreg.pl, a Perl script that allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator/investigator to search raw Registry files (ie, NTUSER.DAT, system32\config\SYSTEM, system32\config\SOFTWARE) for specific keys and values.

The Perl script takes two arguments...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw Registry file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys/values you're looking for. An example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output is:

Key -> CurrentControlSet\Control\Windows\ShutdownTime
LastWrite : Tue Aug 2 12:06:56 2005
Value : ShutdownTime;REG_BINARY;c4 96 a0 ad 5a 97 c5 01

Key -> Select
LastWrite : Wed Feb 23 09:37:25 2000
Value :Current;REG_DWORD;1
Value :Default;REG_DWORD;1
Value :Failed;REG_DWORD;0
Value :LastKnownGood;REG_DWORD;2

Key -> Setup
LastWrite : Tue Apr 29 21:33:53 2003
Value :SetupType;REG_DWORD;0
Value :SystemSetupInProgress;REG_DWORD;0
Value :CmdLine;REG_MULTI_SZ;setup -newsetup -mini
Value :SystemPrefix;REG_BINARY;d2 03 00 00 00 00 39 80
Value :SystemPartition;REG_SZ;\Device\HarddiskVolume1
Value :OsLoaderPath;REG_SZ;\
Value :CloneTag;REG_MULTI_SZ;Wed Feb 23 01:44:25 2000

The script uses no MS APIs (so basically, I rewrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API), but instead parses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry files in binary mode. Notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys. If a key is being searched for, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script returns all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values in that key, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any. If a value is being searched for, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script returns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value and data, if found.

As always, comments and questions are welcome.

Thursday, September 08, 2005

The Windows Registry as a Forensic Resource

The subject article is now online at ScienceDirect. I wrote this article back in July. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, I walk through some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry and its structure, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n get into where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator can look in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry for certain information that may help with a case.

Besides addressing autostart locations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article also discusses Registry entries that pertain to USB removable storage devices and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key/values that contain information on wireless SSIDs that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has connected to.

Comments are welcome and appreciated.

Tuesday, September 06, 2005

Updated offline Registry parsing script

I've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offline Registry parsing script...it's here. The updates include:
  • Cleaner, more modular code
  • Better documentation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code
  • Better handling of binary data types
  • Translation (i.e., "decrypting" Rot-13 encoding) of UserAssist Registry key value names
The zipped archive also contains a JPEG image of a PPT slide I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to shed some light on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw Registry files are architected. There's no explanation or description with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, so if you have some questions or comments, feel free to drop me a line.

To run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, simply use a command-line similar to this:

C:\Perl>perl regp.pl [path to Reg file] > regp.log

For example, I have a couple of raw Registry files in C:\reg, so my command line looks like:

C:\Perl>perl regp.pl C:\reg\software > regp.log

As with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earlier version, this file is also easily compiled into a stand-alone executable for Windows systems.

Be forewarned...this script will take a while when being run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Software" file...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that holds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HKLM\Software hive. This is due in part to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Classes key is HUGE!

The next step for me with this project is to complete a script that will allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator to search for arbitrary Registry keys and values. It's been challenging so far, but I've got a pretty good handle on it, so hopefully I'll be able to post something soon.

A couple of final notes...
1. Testing has been limited, as I have only a limited number of VMWare images to pull test files from.

2. This script is intended for raw Registry files (ie, system32\config\software, system32\config\system, ntuser.dat) from NT/2K/XP/2K3 systems.

3. I haven't tested this script on Linux systems, because I don't have regular, unimpeded access to such systems. I am trying to get some things tested on a Mac, but that's someone elses machine.

4. If things don't work as expected, please feel free to let me know. When you do that, though, please give me as much info as you can. I received on email from someone who said that things "looked wonky"...I have no idea what that is. Can you send me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output file, and maybe post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file you ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script against somewhere (i.e., on a web or FTP site??)? That would be helpful in troubleshooting.

Thanks!

USB device descriptors and serial numbers

Whenever I've talked about USB storage devices and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir serial numbers, someone always seems to ask me, "If I have an image of a thumb drive, can I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number somewhere in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image?"

My answer to this question has been, "Why not go back and take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image with a hex editor...or at least, say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first megabyte of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, and tell me if you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number listed?" After all, you can see if a USB device has a serial number (and if so, what it is) using tools like UVCView. Well, so far, I haven't received any email from someone who's done this, so I started taking a look into this myself.

The answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is simply, "No." The reason for this answer is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor is usually stored in EPROM, Flash, or some form of ROM, and is not read when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device is imaged using tools like 'dd'. Generally speaking, you wouldn't want to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor to be modified, as a user could alter some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, causing an incorrect driver to be loaded, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device could potentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be unusable.

Therefore, I'd like to make a suggestion to law enforcement (and everyone else) when it comes to imaging USB storage devices. Make sure that you have a tool like UVCView (or whatever is suitable or available for your platform) on hand as part of your imaging kit, and copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imaging process.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor ID, which is assigned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fine folks at USB.org. This information can be used in a manner similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first couple of octets of a MAC address; ie, to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product.

Monday, September 05, 2005

Upcoming Speaking Engagement

I received word this weekend that I will be presenting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD Cyber Crime Conference 2006 in Palm Harbor, FL, in Jan 2006. I will be presenting a case study, a walk-through of an investigation that takes place on a Windows system. I will be basically tying a couple of my previous presentations (i.e., "The Windows Registry as a Forensics Resource", "Tracking USB Storage Devices on Windows Systems", etc.) togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with some "practical" application.

The agenda for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2005 conference looks pretty interesting, with a good deal of emphasis on LEO-type information (i.e., courses/presentations on ILook, law, etc.)

It seems that Richard Bejtlich will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, as well. I look forward to meeting him, and listening to his presentations.