Showing posts with label alternative. Show all posts
Showing posts with label alternative. Show all posts

Tuesday, March 23, 2010

Even More Thoughts on Timelines

I realize that I've talked a bit about timeline creation and analysis, and I know that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (Chris, as well as Rob) have covered this subject, as well.

I also realize that I may have something of a different way of going about creating timelines and conducting analysis. I don't think that, out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways I've seen so far that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a wrong way, I just think that we approach things a bit differently.

For example, I am not a fan of adding everything to a timeline, at least not as an initial step. I've found that IMHO, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot of noise in just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata...many times, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I get notified of an incident, an admin has already logged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, installed and run some tools (including anti-virus), maybe even deleted files and accounts, etc. When interviewed about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific question of "what actions have you performed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system?" is asked, that admin most often says, "nothing"...only because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things every day and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore trivial. To add to that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stuff...automatic updates to Windows or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications, etc., that also adds a great deal of stuff that needs to be culled through in order to find what you're looking for. Adding a lot of raw data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline right up front may mean that you're adding a lot of noise into that timeline, and not a lot of signal.

Goals
Generally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step I take is to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of my exam, and try to figure out which data sources may provide me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best source of data. Sometimes it's not a matter of just automatically parsing file system metadata out of an image; in a recent exam involving "recurring software failures", my initial approach was to parse just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Event Log to see if I could determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date range and relative frequency of such events, in order to get an idea of when those recurring failures would have occurred. In anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exam, I needed to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first occurrence within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Event Log of a particular event ID generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed AV software; to do so, I created a "nano-timeline" by parsing just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Application Event Log, and running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 find command to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records I was interested in. This provided me with a frame of reference for most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of my follow-on analysis.

Selecting Data Sources
Again, I often select data sources to include in a timeline by closely examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of my analysis. However, I am also aware that in many instances, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial indicator of an incident often is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest indicator, albeit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to be recognized as such. That being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, when I start to create a timeline for analysis, I generally start off by creating a file of events from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system metadata, as well as available Event Log records, as well as running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .evt files through evtrpt.pl to get an idea of what I should expect to see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs. I also run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditpol.pl RegRipper plugin against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security hive in order to see (a) what events are being logged, and (b) when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of that key were last modified. If this date is pertinent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exam, I'll be sure to include an appropriate event in my events file.

Once my initial timeline has been established and analysis begins, I can go back to my image and select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate data sources to add to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. For example, during investigations involving SQL injection, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most useful data source is very likely going to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server logs...in many cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se may provide an almost "doskey /history"-like timeline of commands. However, adding all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server logs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline means that I'm going to end up inundating my timeline with a lot of normal and expected activity...if any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requested pages contains images, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be a lot of additional, albeit uninteresting, information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. As such, I would narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web log entries to those of interest, beginning with an interative analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web logs, and add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting events to my timeline.

That's what I ended up doing, and like I said, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results were almost like running "doskey /history" on a command prompt, except I also had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time at which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands were entered as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y originated. Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline let me line up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incoming commands with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir resulting artifacts quite nicely.

Registry Data
The same holds true with Registry data. Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry can be a veritable gold mine of information (and intelligence) that is relevant to your examination, but like a gold mine, that data must be dug out and refined. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a great deal of interesting and relevant data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system hives (SAM, Security, Software, and System), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real wealth of data will often come from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user hives, particularly for examinations that involve some sort of user activity.

Chris and Rob advocate using regtime.pl to add Registry data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, and that's fine. However, it's not something I do. IMHO, adding Registry data to a timeline by listing each key by its LastWrite time is way too much noise and not nearly enough signal. Again, that's just my opinion, and doesn't mean that eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one of us is doing anything wrong. Using tools like RegRipper, MiTec's Registry File Viewer, and regslack, I'm able to go into to a hive file and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I'm interested in. For examinations involving user activity, I may be most interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist\Count keys (log2timeline extracts this data, as well), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 really valuable information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key LastWrite times; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamps embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary value data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subkey values.

If you're parsing any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRU keys, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se too can vary with respect to where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 really valuable data resides. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentDocs key, for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values (as well as those within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentDocs subkeys) are maintained in an MRU list; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastWrite time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentDocs key is of limited value in and of itself. The LastWrite time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RecentDocs key has context when you determine what action caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to be modified; was a new subkey created, or was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file opened, or was a previously-opened file opened again, modifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRUListEx value?

Files opened via Adobe Reader are maintained in an MRU list, as well, but with a vastly different format from what's used by Microsoft; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recently opened document is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AVGeneral\cRecentFiles\c1 subkey, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual file is embedded in a binary value named tDIText. On top of that, when a new file is opened, it becomes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 c1 subkey, so all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r subkeys that refer to opened documents also get modified (what was c1 becomes c2, c2 becomes c3, etc.), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key LastWrite times are updated accordingly, all to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent file was opened.

Browser Stuff
Speaking of user activity, let's not forget browser cache and history files, as well as Favorites and Bookmarks lists. It's very telling to see a timeline based on file system metadata with a considerable number of files being created in browser cache directories, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n to add data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser history files and get that contextual information regarding where those new files came from. If a system was compromised by a browser drive-by, you may be able to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web site that served as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector.

Identifying Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Data Sources
There may be times when you would want to determine ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources that may be of use to your examination. I do tend to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Task Scheduler service log file (schedLgU.txt) for indications of scheduled tasks being run, particularly during intrusion exams; however, this log file can also be of use if you're trying to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system were up and running during a specific timeframe. This may much more pertinent to laptops and desktop systems than to servers, which may not be rebooted often, but if you look in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, you'll see messages such as:

"Task Scheduler Service"
Started at 3/21/2010 6:18:19 AM
"Task Scheduler Service"
Exited at 3/21/2010 9:10:32 PM


In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was booted around 6:16am EST on 21 March, and shut down around 9:11pm that same day. These times are listed relative to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local system time, and may need to be adjusted based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timezone, but it does provide information regarding when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was operating, particularly when combined with Registry data regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start type of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service, and can be valuable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of, or when combined with, Event Log data.

There may be ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources available, but not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m may be of use, depending upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of your examination. For example, some AV applications record scan and detection information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log as well as in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own log files. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log file provides no indication that any malware had been identified, is it of value to include all scans (with "no threats found") in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, or would it suffice to note that fact in your case notes and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report?

Summary
Adding all available data sources to a timeline can quickly make that timeline very unwieldy and difficult to manage and analyze. Through education, training, and practice, analysts can begin to understand what data and data sources would be of primary interest to an examination. Again, this all goes back to your examination goals...understand those, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest comes togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r quite nicely.

Finally, I'm not saying that it's wrong to incorporate all available data sources into a timeline...not at all. Personally, I like having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility to create mini-, micro- or nano-timelines that show specific details, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n being able to go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall timeline to be able to see what I learned viewed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall timeline.

Thursday, April 23, 2009

Tools

I like to be open to different tools that can be used to assist in analysis, and for those of you who know me, sometimes I write my own. However, I wanted to take a moment to point out some tools that I've found recently that appear to be and have been very useful...

From Claus, I learned about a little tool called DiskDigger from Dymitry Bryant which reportedly allows you to recover deleted files from drives. I thought, wow, this is pretty cool...something to try out with respect to recovering deleted files. So I downloaded a copy and fired it up, and with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first version, saw that it only identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two physical disks on my system. I had mounted an image file as a read-only drive letter via SmartMount and wondered why this "drive" hadn't been detected. I reached out to Dmitry, expecting to maybe hear back within a couple of days...instead, within relatively short order, Dmitry returned my email with a link to an updated version of DiskDigger, as well as to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool I'd looked at, NTFSWalker. Now, both tools will recognize drives and volumes, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a separate tab for pointing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool to an image file. Very cool! I thanked Dmitry for his quick response, and he pointed out that he's a one-man shop (wow, THAT sounds familiar...) and that if you find something amiss with a tool or if you have a question, his turn-around time is pretty quick...which is something I can personally attest to.

From JADSoftware comes Internet Evidence Finder, a nice little tool that searches for Facebook chat messages and page fragments, Yahoo chat, and MSN chat messages on drives and within memory dumps. I found my initial reference to this tool on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensics from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sausage Factory blog, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DC1743 says that he ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool against a mounted drive image.

If you're interested in extracting MSOffice OLE document metadata, take a look at OLEDeconstruct from Sanderson Forensics. The sample used to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ever popular Blair document from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ComputerBytesMan. The wmd.pl and oledmp.pl Perl scripts I wrote are still freely available and provided on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD accompanying Windows Forensic Analysis, both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first and second editions.

Wednesday, April 22, 2009

Timeline Analysis - XP Restore Points

So, MS says that XP's going to be supported at least through 2014...nice. So this means great things for examiners and analysts...great things because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no reason to give up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and research you've done on XP!

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique things about XP is its use of System Restore Points. For users, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se take up drive space and allow you to recover from issues, but for an analyst, Restore Points are a veritable treasure trove of historical data!

So, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges (albeit minor) presented to analysts is how to extract information about (and from) Restore Points from an acquired image. Well, this is actually pretty easy. A while back, I wrote a ProScript for ProDiscover that would run through an image and extract data about Restore Points to include when and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had been created. This ProScript is called SysRestore.pl and is located on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD that accompanies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Forensic Analysis book (both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 currently available edition, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition, due out in early June 2009).

As an alternative, I came up with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r method for extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data, one that does not require a commercial forensic analysis application. So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing you do is mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image via SmartMount or ImDisk, as a read-only drive letter (in this case, G:\).

Next, get a copy of PSExec and put it on your analysis system. Go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory where you saved it and type:

D:\tools>psexec -s cmd

This will open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt to your C:\Windows\system32 directory with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prompt now running with System privileges. Now, cd to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 G:\ drive, and type cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands:

G:\>cd syst*

G:\System Volume Information>cd _resto*

G:\System Volume Information\_restore{GUID}>

At this point, you should be "in" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory that contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restore point directories (ie, RP0, RP1, etc.). Select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory path in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt, right-click to save it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clipboard, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cd to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory where you have your tools.

Note: By default, ACLs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system only allow access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System Volume Information directory to System, which is why we use PSExec.

The acquired image I'm using (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above SmartMount graphic) is one of Lance Mueller's practicals. So at this point, I type in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

C:\tools>rp.pl -d "G:\System Volume Information\_restore{}"

The path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RP directory has to be in quotes due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spaces; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output appears as follows:

RP1 Thu Jan 31 04:33:11 2008 Z System Checkpoint
RP2 Thu Jan 31 04:43:38 2008 Z Installed VMware Tools
RP3 Wed Jan 30 14:09:49 2008 Z Installed WinZip 11.1

Pretty neat! Now, we know when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RP was created, and why. If I want to have output that i can add to an event file for my timeline analysis, I add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 '-t' switch and I get:

1201753991|RP|||Restore Point created - System Checkpoint
1201754618|RP|||Restore Point created - Installed VMware Tools
1201702189|RP|||Restore Point created - Installed WinZip 11.1

Once again, for timeline analysis, we see our familiar five field format. Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system/host and user name fields are blank. Rp.pl does have '-s' and '-u' switches for adding that information (respectively), although only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system name really applies, as Restore Points aren't specific to a user. Use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 '-s' switch will automatically populate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third field with whatever system name you enter.

This code was pretty easy for me to work up last night because I simply extracted it from ripXP, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool I demo'd at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first SANS Forensic Summit. I'll be demonstrating that same tool again at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next Summit, in July of this year.

Thursday, April 16, 2009

Obtaining file system timeline data

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've run across regarding generating timeline data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has to be more than one way to do this.

For example, what happens if you have an image that you can open in FTK Imager, but for some reason, you cannot get any meaningful data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSK tools mmls and fls? Or, what happens if you don't have an image, but are instead accessing a live system? While you can use tools like FTK Imager to extract Registry hive files, and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 copy command to get copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVT (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r) files, you may have to find an alternative method by which to obtain file system data.

Well, that's no problem at all, really. First off, if you have an image and you can open that image in FTK Imager, you can export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory listing. Simply right-click on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image and choose Export Directory Listing. You can also do this from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line, via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /CreateDirListing=filename switch, as described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user manual. The resulting output is tab-delimited and goes to a .csv file which you can easily open in Excel...although that isn't entirely useful, really. Instead, you'll want to parse it in Perl (of course). The format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory listing output by FTK Imager includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename, full path, size, created, modified and accessed dates (no "entry modified" date), and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file "is deleted". As it's tab-delimited it can be easily parsed and placed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary format for use in our timeline.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing we'll need to do, though, is translate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time format output by FTK Imager into a Unix epoch time...which is pretty simple with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper application of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 split() function and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DateTime module. Through repeated tests, I've found this module to be more accurate than Time::Local, which has actually had several of my converted timestamps off by a month. Installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DateTime module is as easy as ppm install datetime, if you're running ActiveState Perl.

Okay, that's one way, how about some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs?

You can probably just extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MFT from an image and use Mark Menz's MFTRipper (discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 22 March CyberSpeak podcast) to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you need.

If you're accessing a live system, you can use Perl (or Python...that's what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 illustrious Don Weber prefers) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stat() funtion to get data from each file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, without having to actually access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file itself. However, this will just get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live file system...you won't get things like entry modified times and deleted files, and you will be prevented from accessing some directories by default. You can use this same code to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same thing with an image mounted via Andy Rosen's SmartMount, but you may want to first open a command prompt via psexec -s cmd, so that you can run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Perl script from that command prompt, with System-level privileges. This will be particularly important if you want to get not only file system data from Windows XP System Restore Points, but also if you want to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rp.log file in each Restore Point for when and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RP was created, or run tools such as ripXP.

Finally, if you're read my book, you'll know that I've written a number ProScripts for use with ProDiscover. Writing one to create a timeline bodyfile shouldn't be too difficult, although at this point, I'm not sure why you'd need to with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods listed.

A couple of things to remember when creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se timelines...

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of fls.exe is pipe-delimited, and includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fields:

MD5|name|inode|mode_as_string|UID|GID|size|atime|mtime|ctime|crtime

In most instances, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "MD5" entry is 0, although if you're writing your own code, you can definitely populate it. Populating this field can let you do all sorts of analysis besides just looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, such as determining if Windows File Protection was subverted to modify "protected" files.

The timestamps are in Unix epoch time, and consist of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last access time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "entry modified" (ie, ctime), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation date (ie, crtime) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. This order is important, not only when parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodyfile, but also when creating a tool to assemble your own bodyfile; putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se various times in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong locations can throw off your timeline analysis.

Finally, an interesting side effect of conducting this analysis is that timeline assembly and analysis can be run in parallel to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activities, particularly those that consume a great deal of time, such as scanning for PCI data. Also, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output is largely text based and in most instances cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filenames and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r necessary files (INFO2, EVT, AV logs, etc.) do not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves contain sensitive data, this information can be extracted from an image, compressed and protected as necessary, and sent to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analyst to conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assembly and analysis. What this leads to is a faster response time, answers delivered to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer faster, and much quicker resolution of an incident.

Saturday, April 11, 2009

Addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to evolve

Been watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'net recently to see what's new? I have. Saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MMPC write-up on Conficker.E recently, and it occurred to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of this bit of malware are really going out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way to "protect" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y infect. After all, look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of process names that it terminates if found. Now, from that list, how many of those tools do YOU use when troubleshooting a system or performing incident response? How about dynamic malware analysis?

Okay, so this is nothing new is it? By "new", I mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to adapt our tools and techniques to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current environment and climate. Back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day (or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Old Corps", as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case may be...), malware would maintain persistence by writing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry, in particular, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Run key. Once enough folks became familiar with that technique, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a move to maintain persistence via ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Registry keys, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Services keys. Then, to make things even more fun, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Services were added as randomly-named DLLs, loaded as part of SvcHost. We're even seeing WFP subverted or disabled, or bypassed completely by modifying "protected" files in memory only (as with Conficker.E, apparently). Oh, yeah, and while I'm off looking in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry for a persistence mechanism, some malware author is using Scheduled Tasks, instead.

This is all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuing evolution of (cyber)warfare. Students of military history have seen this throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ages. Build a tank, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n build an armament or weapon to take it out. Add armor to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tank, someone builds a missile. Reactive armor is added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tank, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a probe is added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missile...and back and forth we go. The IR/CF world is really no different, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sorts of tactics are used.

It's never a good time to rest on your laurels. Just when you think you've got it licked and all wrapped up, that's when you know its time to change how you're doing things again.

Tuesday, March 03, 2009

Looking for "Bad Stuff", pt III (Malware Detection)

So far, I've posted twice (see Resources below) on this subject, each time giving sort of a general overview of a process, but without getting down-and-dirty. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficult things about putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a process or a "best practice" is that very often, what's "best" for one person (or group) may not be "best" for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. So, with respect to malware detection (not analysis...at this point, we're still looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bad stuff"), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re several techniques you can use when going about this sort of process.

First, many times we may be looking for malware for different reasons. One reason would be that we suspect that a system may be infected with malware, while anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r may be that by looking for malware, we're attempting to nail down an intrusion or compromise (like following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trail of artifacts back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original compromise vector), with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being a byproduct of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing to keep in mind is that malware, in general, has four main characteristics:
1. An initial infection vector - how it got on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place; this can be through browser download (even on a secondary or tertiary level), email attachment, etc. Conficker, for example, can infect a system when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user opens Explorer on drive (USB thumb drive, mapped share, etc.) that has been infected. In some SQL injection compromises, I've seen malware placed on a system by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder sending tftp commands or creating and launching an FTP script, all via SQL injection. I've also seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware into a database table in 512 byte chunks, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database reassemble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could launch it.

2. Artifacts - what actions does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware take upon infection and what footprints does it leave? Many time, we can determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ourselves through dynamic malware analysis, but often its sufficient (and quicker) to use what's available from AV sites. Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "footprints" can be unique to a malware family (Conficker, for example). Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se artifacts do not have to be restricted to a host; are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any network-based artifacts that you can use when analyzing logs?

3. Propogation Mechanism - How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware get about? Is it a worm that exploits a known (or unknown) vulnerability? Or is it like Conficker, infecting files at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of drives and adding autorun.inf files? Understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 propogation mechanism can help you fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tide, as it were, or develop a mechanism to block or detect furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r infections.

4. Persistence Mechanism - As Jesse Kornblum points out in his "Rootkit Paradox" paper, malware likes to remain persistent, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple fact is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a finite number of ways to do that on a Windows system. The persistence mechanism can relate back to Artifacts; however, this would be an artifact specifically intended to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to survive reboots.

These characteristics act as a framework to help us visualize, understand, and categorize malware. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, I have used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se four characteristics to track down malware and help ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. In one instance in particular, after a customer had battled with a persistent (albeit fairly harmless) worm for over a month, I was told that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would delete certain files, reboot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files would be back. It occurred to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hadn't adequately tracked down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism, and once we found it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were able to clean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems!

Okay, so how can we go about tracking down malware, detecting its presence? I'm going to start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that we have an acquired image, and we need to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. I'm going to list several mechanisms for doing so, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are not listed in order of priority. It will be incumbent upon you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader, to determine which steps work best for you, and in which order...that said, away we go!

Targeted Artifact Analysis
A lot of times, we may not know exactly what we're looking for, but if we know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanism or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r artifacts of malware, we can do a quick, surgical scan that malware. Tools such as RegRipper can make this a fast and extremely easy process (remember, for live systems, you can use RegRipper in combination with F-Response!). Take Conficker...while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are changes in artifacts based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variant, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set of unique artifacts is pretty limited. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variants have changed so as to obviate both AV scans and hash comparisons (at this point, everyone should be aware that hash comparisons for malware are marginally less effective than AV scanning with a single engine), artifacts have remained fairly static (Registry modifications) with some new ones (Scheduled Task) being added. The addition of unique artifacts helps narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positives.

Log Analysis
There are a number of logs on Windows systems that may provide some insight into malware detection. For example, maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed AV product detected and quaratined a tertiary download...depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product, this may appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV product logs as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log. Or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV scanner's real-time protection mechanism was disabled and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user ran a scan at a later time that detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, check for an installed AV or anti-spyware product, and check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs. Also, examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs. And don't forget mrt.log!

Scans
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to go about detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of malware on systems is to scan for it using AV products. Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are commercial AV products available, but as many have seen over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of months, particularly with Conficker and Virut, sometimes using just one commercial AV product isn't enough. The key to running scans is to know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan is looking for so that you can better interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results.

For example, look at tools such as sigcheck and missidentify; both are extremely useful, but each tool looks for certain things. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scanning tool that can be extremely useful is Yara, and anyone looking at using Yara should consider using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yara-Scout Sniper release from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 illustrious Don Weber! Yara can use packer rules (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public PeID signatures) to detect packed files, and Don has added fuzzy hashing to Scout Sniper.

As a side note, while fuzzy hashing is obviously predicated on having a sample of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to hash, it is still a much preferable technique over "normal" hashing using MD5 or SHA-1 hashes. In one instance, I had two examinations about 8 months apart where I found files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same name on both. Traditional (MD5) hashes didn't match, but using ssdeep, I was able to determine that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files were 99% similar.

So, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than scanning for not-normal files (with "normal" being somewhat amorphous), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to scan for possible malware infections. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of malware that subverts Windows File Protection (WFP) in some manner, tools like wfpcheck can be used to determine if something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system modified any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "protected" files.

But again, keep in mind that scanning in general is a broad-brush approach and scans don't find everything. The idea is to have some idea of what you're looking for, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper tool (or tools) to build a comprehensive process. As part of that process, you'll need to document what you did, what you looked for, and what tools you used...because without that documentation, how to describe what you did in a repeatable manner, and how do you go about improving your process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?

Resources
Looking for "Bad Stuff", pt I and pt II
Claus's post on Portable AV tools
Free-av.com
Free AVG
PCTools

Saturday, February 28, 2009

Looking for "Bad Stuff", pt II

After part I of what looks like it may become a series of Looking for "Bad Stuff" posts, I thought it would be a good idea to address this topic a bit more; clearly, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest issues most analysts may have, regardless of affiliation (LE, corporate consultant, etc.), will be simply where to begin analysis in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of specific guidance or criteria. Sometimes even repeated and detailed interviews of IT staff do not provide you with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information you need (or worse, may send you off in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong direction) and hence, you need to start by casting a wide net through malware scans (AV, anti-spyware, rootkit detectors, etc.).

So, in an attempt to develop a codified process as a response to this question, we need to start by addressing a couple of things. First, at some point before you actually start performing analysis, even before you begin cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engagement, you need to ask yourself, What do I hope to achieve? Many times, this may be defined, to some degree, for you by a customer...ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times, it may not. Once you start to understand your own goals, you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n need to ask, What data do I need to achieve it? Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're beginning an engagement and scoping your acquisition, or you're sitting down to begin analysis of a single acquired image, DOCUMENTING cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir answers is paramount! I know, I know..."you s*ck because you make me write stuff down!" Believe me, I've heard it all before...but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is, if you don't write it down, it didn't happen!

Casting Your Net
Once you're ready to kick off your analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of ways to get started. In my previous post, I mentioned mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image as a read-only file system and scanning it with AV software. Chris added booting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image with LiveView and scanning with live rootkit detection tools such as GMER. All of this is a great way to really cast a net, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole idea behind a net is that it's designed and created based on a current understanding of what you're trying to catch. Early fishermen created nets based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were trying to catch, and anyone who watches Man vs Wild or Survivorman has seen Bear and Les try to catch pretty small stuff (really, just about anything). As we've seen with many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware outbreaks lately (really, over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years), some malware isn't detected by AV products until someone else finds it and submits a sample...so if multiple malware scans come up empty, don't think that this definitely means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is NO malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's malware (AV, anti-spyware, etc.) scans, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's also ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to scan for unusual or suspicious files. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous post, I mentioned a couple of tools...missidentify, by Jesse Kornblum, and sigcheck, from MS/SysInternals. Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools can be used to attempt to identify suspicious files on a system, particularly where executable files tend to reside (system32 dir, in a Program Files subdirectory, etc.). These tools are by no means definitive...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still require someone looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results to determine what's legit and what's not. The reason for this is that malware authors and intruders put a lot of time and effort into remaining persistent on systems, and a tool written six months ago to detect a specific set of techniques will no longer be sufficient. Besides, to be completely honest, in a great many engagements I've been on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest thing to do has been to hide in plain sight.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool I mentioned was WFPCheck...you'll notice that this tool doesn't have a link. This is something I wrote a while ago to help detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of malware that subverts or disables Windows File Protection (WFP), and subsequently modifies "protected" files. Now, WFP is clearly not meant as a security or protection mechanism, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ways (albeit a finite number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m) to subvert or disable WFP (for example, see here and here); however, detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of an infection is sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way we have available of determining if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an infection.

Speaking of artifacts, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means of getting started in our analysis that we can do in parallel with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware scans is to extract important files (Registry hive files, EVT files) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image before mounting it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n do some targeted analysis of those files. Tools like RegRipper and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evt2Xls tools are extremely valuable for this kind of work, in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are fast, efficient, and depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user (or perhaps more accurately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user community), can be very, very targeted. I've written a number of plugins over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past several months that look specifically for artifacts left by specific families of malware.

What NOT To Do
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most often used means of "analysis" that I've seen with customers (and in user forums...forii...whateva!!) is, "I found a file and searched for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name on Google...". Folks, this is NOT an analysis technique. Sure, it's a way to start, but it should not be all you do. There are plenty of sources out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that provide a basic understanding of things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE header format, both on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web and in books (hint, hint). So all I'm sayin' here is, don't let a Google search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name or a string you found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of your analysis.

Saturday, June 14, 2008

Memory Collection and Analysis

As a follow-on to my previous post regarding OMFW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been some developments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of memory dumping and parsing (ie, collection and analysis) that have occurred over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of months.

Lance Mueller posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new standalone memory dumping tool that is part of EnCase 6.11. Interesting tool as it apparently dumps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory from Windows (Windows 2000 through Vista) to an EnCase .E0x file format, for inclusion in a case. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's functionality to extract that memory dump from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .E0x file format to something usable by HBGary's Responder product. Note: Initial testing indicates that FTK Imager will successfully convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting .E0x files to a dd-style format for use with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools.

Jesse Kornblum referred mdd to me. This one looks promising...captures memory from Windows versions through Vista and 2008. Jesse posted some clarifications about this tool on his blog. As it stands, this appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first free tool to dump RAM from Windows 2000 through 2008, inclusive, in a dd-style format. Note: Updated version 1.1 was released on 17 June.

So available tools for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory are becoming more available. From an analysis standpoint, I really think that you want to keep your eyes on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys over at Volatility Systems, though.

Addendum: win32dd is available from Matthieu Suiche. I just found out about this so I haven't had an opportunity to try it...but I am looking forward to adding it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of tools to test!

Andreas blogs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new tools...great stuff, very comprehensive view of where this all stands at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment.

Sunday, May 25, 2008

More Free Tools

To continue adding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of free tools (earlier posts here and here), here are a couple of gems I found recently...

NetworkMiner - a free network forensic analysis tool that takes analysis of network traffic captures to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r level. Very cool tool...I love how WireShark lets you reassemble streams, but NetworkMiner lets you do a bit more, and it's Windows-based. Don't have any packet captures available to try it with? Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HoneyNet Project's SotM #27.

Thanks goes to Claus for pointing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se out...

Stinger and MVC...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are NOT full-bore AV applications, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r free tools meant to target specific malware. Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se on a live system, or mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquired image as a live file system (as opposed to booting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image...) and scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files.

OpenFilesView - Neat little tool to see which files are open on a system; GUI based but comes with command line options, making it a great tool for use in IR batch files. Say you've got a suspected intrusion and you need to know if sensitive data (pursuant to PCI, HIPAA, etc.) is being siphoned off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...well, grab process information w/ tools like tlist.exe and correlate that information to files opened on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system by process...

MUICacheView - The NirSoft site says, "Each time that you start using a new application, Windows operating system automatically extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application name from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version resource of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exe file, and stores it for using it later, in Registry key known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'MuiCache'." This is one of those things I've looked into, and I'm not able to find what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS would use this for...but hey, who am I to complain about it, right?

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, RegRipper has a plugin for this key, which means that you can parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of this key by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive from an image, or by firing up F-Response. ;-)

Addendum: Claus posted some of his own bloggy goodness about Evidence Collector, and from that post I learned about USBHistory, a nice little tool that extracts historical information about USB devices connected to a live system. The author even gives a shout out to ol' watashe-wa and his book! Very cool!

Sunday, April 20, 2008

Free Analysis

What??!? "Free" (as in 'beer') analysis? A bit ago, I blogged about Forensic Analysis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cheap, and I wanted to revisit that topic, particularly to mention a couple of tools I've run across since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n...

Event Logs
In an earlier post, I mentioned some tools you could use to perform Event Log analysis. I still like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality in EvtUI (although I may be seen as biased because I wrote it), but if tools like this scare you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options available. For example, Event Log Explorer is a nice little little app, and you can obtain a free license for its use. In direct mode, it works just like EvtUI, accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event records directly within a .evt file extracted from an acquired image.

Registry Analysis
I have to say that I'm really partial to RegRipper and its associated CLI utility, rip.exe. A couple of minor tweaks, as well as some new plugins, both of which were recently added, make this an immensely useful (not to mention unique) tool.

When looking for things I may want/need to add as plugins to RegRipper, my favorite Registry Viewer to use is MiTeC's RFV. I can go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive file and look at things, and fire rip.exe off against it without having to unload cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hive or anything like that. RFV is a great Registry Viewer that facilitates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of plugins.

File Carving
I've mentioned scalpel before as a tool for file carving...XaberSoft provides a GUI interface for setting up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scalpel config file

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful tool for file carving is PhotoRec. Even though its intended for extracting image files, I'm sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of folks out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re interested in doing just that...

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Tools
Shadow Explorer - I haven't had an opportunity to try this tool yet, but I'm told that it's great for recovering files using Vista's Volume Shadow Copy Service. If you can boot an acquired image using LiveView, and log into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running image, you may be able to get some useful information or recover some files using this tool.

Wednesday, November 21, 2007

Alternative Methods of Analysis

Do I need to say it again? The age of Nintendo Forensics is gone, long past.

Acquiring a system is no longer as simple as removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive, hooking it up to a write blocker, and imaging it. Storage capacity is increasing, devices capable of storing data are diversifying and becoming more numerous (along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data formats)...all of which are becoming more ubiquitous and common-place. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophistication and complexity of devices and operating systems increases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of backlogs due to examinations requiring additional resources is training and education.

Training and education lead to greater subject-matter knowledge, allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator to ask better questions, and perhaps even make better requests for assistance. Having a better understanding of what is available to you and where to go to look leads to better data collection, and more thorough and efficient examinations. It also leads to solutions that might not be readily apparent to those that follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "point and click execution" methodology.

Take this article from Police Chief Magazine, for example. 1stSgt Cohen goes so far as to specifically mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection of volatile data and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM. IMHO, this is a HUGE step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction. In this instance, a law enforcement officer is publicly recognizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of volatile data in an investigation.

It's also clear from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article that training and education has led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of a "computer forensics field triage", which simply exemplifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for growth in this area. It's also clear from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article that a partnership between law enforcement, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NW3C and Purdue University has benefited all parties. It would appear that at some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LEs were able to identify what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y needed, and were able to request cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary assistance from Purdue and NW3C...something known in consulting circles as "requirements analysis". At some point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cops understood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of volatile memory, and thought, "we need this...now, how do we collect it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper manner?"

So what does this have to do with alternative methods of analysis? An increase in knowledge allows you to seek out alternative methods for your investigation.

For example, take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan Defense. The "purist" approach to computer forensics...remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, acquire an image, and look for files...appears to have been less than successful, in at least one case in 2003. The effect of this decision may have set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r similar decisions. So, let's say you've examined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, searched for files, even mounted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image as a file system and hit it with multiple AV, anti-spyware, and hash-comparison, and still haven't found anything. Then lets assume you had collected volatile data...active process list, network connections, port-to-process mapping, etc. Parsing that data, wouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case have been a bit more iron-clad? You'd be able to show that at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was acquired, here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processes that were running (along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir command line options, etc.), installed modules, network connections, etc.

At that point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument may have been that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan included a rootkit component that was memory-resident and never wrote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk. Okay, so let's say that instead of running individual comments to collect specific elements of memory (or, better yet, before doing that...), you'd grabbed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM? Tools for parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM do not need to employ cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS API to do so, and can even locate an exited or unlinked process, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image file for that process from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RAM dump.

What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue had occurred in an environment with traffic monitoring...firewall, IDS and IPS logs may have come into play, not to mention traffic captures gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red by an alert admin or a highly-trained IR team? Then you'd have even more data to correlate...filter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, isolate that traffic, etc.

The more you know about something, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. The more you know about your car, for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better you are able to describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue to a mechanic. With even more knowledge, you may even be able to diagnose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue and be able to provide something more descriptive than "it doesn't work". The same thing applies to IR, as well as to forensic analysis...greater knowledge leads to better response and collection, which leads to more thorough and efficient analysis.

So how do we get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re? Well, someone figured it out, and joined forces with Purdue and NW3C. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to do this is through online collaboration, forums, etc.

Tuesday, November 20, 2007

Windows Memory Analysis

It's been a while since I've blogged on memory analysis, I know. This is in part due to my work schedule, but it also has a bit to do with how things have apparently cooled off in this area...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re just doesn't seem to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flurry of activity that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past...

However, I could be wrong on that. I had received an email from someone telling me that certain tools mentioned in my book were not available (of those mentioned...nc.exe, BinText, and pmdump.exe, only BinText seems to be no longer available via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FoundStone site), so I began looking around to see if this was, in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. While looking for pmdump.exe, I noticed that Arne had released a tool called memimager.exe recently, which allows you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NtSystemDebugControl API. I downloaded memimager.exe and ran it on my XP SP2 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ran lsproc.pl (a modified version of my lsproc.pl for Windows 2000 systems) against it and found:

0 0 Idle
408 2860 cmd.exe
2860 3052 memimager.exe
408 3608 firefox.exe
408 120 aim6.exe
408 3576 realsched.exe
120 192 aolsoftware.exe(x)
1144 3904 svchost.exe
408 2768 hqtray.exe
408 1744 WLTRAY.EXE
408 2696 stsystra.exe
244 408 explorer.exe

Look familiar? Sure it does, albeit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above is only an extract of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output. Memimager.exe appears to work very similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older version of George M. Garner, Jr's dd.exe (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PhysicalMemory object), particularly where areas of memory that could not be read were filled with 0's. I haven't tried memimager on a Windows 2003 (no SPs) system yet. However, it is important to note that Nigilant32 from Agile Risk Management is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r freely available tool that I'm aware of that will allow you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of PhysicalMemory from pre-Win2K3SP1 systems...it's included with Helix, but if you're a consultant thinking about using it, be sure to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license agreement. If you're running Nigilant32 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Helix CD, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AgileRM license agreement applies.

I also wanted to followup and see what AAron's been up to over at Volatile Systems...his Volatility Framework is extremely promising! From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I went to check out his blog, and saw a couple of interesting posts and links. AAron is definitely one to watch in this area of study, and he's coming out with some really innovative tools.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links on AAron's blog went to something called "Push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Button"...this apparently isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same RedButton from MWC, Inc. (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RedButton GUI is visible in fig 2-5 on page 50 of my first book...you can download your own copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "old skool" RedButton to play with), but is very interesting. One blogpost that caught my eye had to do with carving Registry hive files from memory dumps. I've looked at this recently, albeit from a different perspective...I've written code to locate Registry keys, values, and Event Log records in memory dumps. The code is very alpha at this point, but what I've found appears fairly promising. Running such code across an entire memory dump doesn't provide a great deal of context for your data, so I would strongly suggest first extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of process memory (perhaps using lspm.pl, found on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD with my book), or using a tool such as pmdump.exe to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process memory itself during incident response activities. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools of note for more general file carving include Scalpel and Foremost.

So...more than anything else, it looks like it's getting to be a good time to update processes and tools. I mentioned an upcoming speaking engagement earlier, and I'm sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunities to speak on Windows memory analysis in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Wednesday, March 28, 2007

Mounting a DD image

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I mentioned in my new book was an alternative analysis method for performing computer forensic analysis. I specifically mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of Mount Image Pro for mounting a dd image as a read-only file structure, which opens up some areas of analysis that many may benefit from using. For example, during an intrusion case, one thing you may want to do is scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image with AV software. This may save you a great deal of time trying to locate hacker tools by hand. Also, this is something you may want to do when you may be faced with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Trojan Defense".

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thought/useful option is this - we all have things that we look for everytime we open an acquired image of a Windows system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things that we look for on a case-by-case basis. Most often we do this through our forensic analysis software package, such as ProDiscover or EnCase. However, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se packages ship with scripts to do some initial data collection and parsing for us, sometimes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't as complete as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be, or we'd like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be, and it takes forever to get scripts updated because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few folks that actually write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own scripts are busy with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things. Sometimes you may be in a rush or under pressure, and may forget something that you would normally look for. So what if we had a script or a tool that would run through an image, pulling things out for us each time...all automated so that we wouldn't have to remember all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different places could look, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, its all documented? Say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool would check to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycle Bin had been disabled, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n move on to parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INFO2 file for one user, or all users. Or, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool would collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit policy from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry entries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Logs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n collect statistics from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, or automatically parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Event Log files to .csv format (or both). Would that be useful?

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r use of something like this is for forensic analysis training. Mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image as a drive letter lets you dig into aspects of forensic analysis that while accessible via commercial forensic analysis applications, may be somewhat easier to grasp and work with, particularly for new students, or junior members of an IR/CF team or CSIRT.

Okay, so now, how do we do this? How do we start with just a dd image, and get to a read-only drive letter (ie., F:\, G:\) so that we can point an AV scanner or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool at it?

To get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dd image to begin with, you can use ProDiscover, Helix, straight dd, or even FTK Imager Lite. If you're using ProDiscover, you can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tools -> Image Conversion Tools -> VMWare Support for DD Images... option to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary .vmdk file.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option for creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .vmdk file is to use LiveView. Point LiveView at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dd image, choose "Generate Config Only" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI (maybe even designate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than having LiveView guess it) and you'll end up with several files, to include two .vmdk files and a snapshot. LiveView makes use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMWare DiskMount utility (don't forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free VMPlayer), and even though this does not mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image as a read-only file structure, you can set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read attribute on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image file itself (attrib +r imagefile) as a precaution. Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmware-mount.exe to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot (imagefile-000001.vmdk)and all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writes will end up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option is to look at FileDisk. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot, FileDisk appears to have a read-only (/ro) option. I haven't tried this one yet...installation requires a reboot for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver to be installed. However, FileDisk will also let you mount ISOs as CDs using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "/cd" switch.

Once you have your .vmdk file, take a look at VDK and VDKWin (scroll down to VDKWin). VDK gives you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .exe and .sys file for mounting image files as read-only file structures (according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credits, VDK owes a great deal to FileDisk), and VDKWin gives you a GUI for managing it all. A nice thing I noticed about VDKWin is that it's simply a GUI for managing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line switches in VDK. For example, let's say you image a Dell system that wasn't reformatted before being installed, and it has one of those Dell maintenance partitions at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical drive. VDK lets you list available partitions, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one you want to mount. Rememer, when you grab VDKWin, don't forget to also get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page.

I did test this out using a sample image. I started with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProDiscover solution, and launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .vmdk file via VDKWin with no problems. I tried LiveView, and though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DiskMount (vmware-mount.exe) approach worked fine, VDKWin balked at an "unknown extent type". The extent description section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LiveView .vmdk file had two lines...simply deleting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second one caused VDKWin to hang. So, I removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second line, and added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size entry to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first line, in essence replicating what I found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .vmdk file produced by ProDiscover, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n everything worked just fine.

One caveat: I already have VMWare installed on my system...I read in a Google News post somewhere that in order to use some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools, you may need to have VMPlayer or one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMWare products installed, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools may use some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLLs. Just be aware of this if this is an avenue you're going to take.

So, what we're left with is a Windows-based solution, using freeware tools, to obtain an image, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n mount that image as a read-only file structure, for analysis. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD that comes with my book, such as SAMParse, are designed to be run against raw Registry files and are perfect for use with this methodology. Sweet!

Addendum: I have an image that was created using FTK Imager Lite, broken into 2GB chunks. I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in ProDiscover using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDS file format, and started my analysis. Last night, I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ProDiscover capability for creating .vmdk files ("VMWare support for DD images...") to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .vmdk file by pointing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pds file. Then, I installed VDK and VDKWin, but not any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VMWare tools. After setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read-only bit on all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image files (attrib +h), I ran VDKWin and successfully mounted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 K:\ drive, in read-only mode.

Even though I use a fully licensed version of ProDiscover IR, ProDiscover Basic is free (as in beer) and includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .vmdk files.