Showing posts with label memory. Show all posts
Showing posts with label memory. Show all posts

Wednesday, November 20, 2013

Sniper Forensics, Memory Analysis, and Malware Detection


I conducted some analysis recently where I used timeline analysis, Volatility, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sniper Forensics concepts shared by Chris Pogue to develop a thorough set of findings in relatively short order.

I was analyzing an image acquired from a system thought to have been infected with Poison Ivy.  All I had to go on were IPS alerts of network traffic originating from this system on certain dates...but I had no way to determine how "close" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clocks were for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring device.

I started by creating a timeline, and looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of publicly documented persistence mechanisms employed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question (Windows service, StubPath values within "Installed Components" Registry keys, etc.), as well as looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of NTFS alternate data streams.  All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se turned up...nothing.  A quick review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline showed me that McAfee AV was installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, so I mounted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image via FTK Imager and scanned it with ClamWin 0.98 and MS Security Essentials (both of which were updated immediately prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan).  MSSE got a hit on a file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system32 folder, which later turned out to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial installer.  I searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software and System Registry hives for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name, and got no hits beyond just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of that file within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system.

The system was a laptop system and had a hibernation file, which was last modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system itself had been shut down.  I exported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file for analysis, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win32 standalone version of Volatility version 2.3.1, and used that to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file to raw format, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profile (via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imageinfo plugin) and get a process list (via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pstree plugin).

I got in touch with Jamie Levy (@gleeda), who pointed me to this post, which was extremely helpful.  Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malfind plugin, I was able to identify a possible process of interest, and I searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable file name, only to find nothing.  However, I did have a process ID to correlate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pstree plugin, and I could see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in question was a child of services.exe, which told me not only where to look, but also that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation process required at least Administrator-level privileges.  Correlating information between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RegRipper samparse.pl and profilelist.pl plugins, I was able to see which user profiles (both local and domain) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system were members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate group.  This also provided me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start time for both processes, which correlated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system being started.

A fellow team member had suggested running strings across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n searching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for specific items; doing so, I found what appeared to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration information used by Poison Ivy (which was later confirmed via malware RE performed by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r team member).  As a refinement to that approach, I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility vaddump plugin, targeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific process, and dumped all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output files to a folder.  I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ran strings across all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output folders, and found a similar list of items as when I'd run strings across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire memory dump.

I validated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration item findings via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility handles plugin, looking for mutants within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific process.  I also dumped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process executable from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procmemdump plugin; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I did it, MSSE lit up and quarantined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, so I disabled MSSE and re-ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin (I set my command prompts with QuickEdit and Insert modes, so re-running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line as as simple as hitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 up-arrow once, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hitting Enter...).  I was able to ship cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dumped PE file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial wrapper I found to a specialist for analysis while I continued my analysis.

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svcscan plugin and searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable file name, and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows service settings, to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service name.  I also ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dlllist plugin to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were any DLLs that I might be interested in extracting from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.

I also ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 netscan plugin, and reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output gave no indication of network connections associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in question.  Had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re been a connection established associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of interest, I would've run Jamaal's ethscan module, which he talked about (however briefly) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent OMFW.

I had downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Poison Ivy plugin, which according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 headers, is specific to one version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PIvy server.   The plugin ran for quite a while, and because I had what I needed, I simply halted it before it completed.

Timing
Something important to point out here is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis that I've described here did not take days or weeks to complete; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research and memory analysis was all completed in just a few hours on one evening.  It could have gone a bit quicker, but until recently, I haven't had an opportunity to do a lot of this type of analysis.  However, incorporating a "Sniper Forensics" thought process into my analysis, and in turn making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best use of available tools and processes, allowed me develop findings in an efficient and thorough manner.

In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process (with Volatility plugins) looks like this:
- convert, imageinfo, pstree
- malfind - get PID
- run vaddump against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PID, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run strings against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output
- run handles against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PID
- run procmemdump against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PID (after disabling AV)
- run dlllist against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PID
- run netscan; if connections are found associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PID, run ethscan

At this point, I had a good deal of information that I could add to my timeline in order to provide additional context, granularity, and relative confidence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I was viewing.  File system metadata can be easily modified, but Windows Event Log records indicating service installation and service start can be correlated with process start times, assisting you in overcoming challenges imposed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of anti-forensics techniques.

It's also important to point out that Registry, timeline, and memory analysis are all tools, and while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're all useful, each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in isolation is nowhere near as powerful as using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  Each technique can provide insight that can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r augment or be used as pivot points for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Resources
A couple of interesting items have popped up recently regarding memory acquisition and analysis, and I thought it would be a good idea to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here:
  • Jamie also pointed me to this post, which, while it wasn't directly helpful (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image I was working with was from a Win7SP1 system), it does show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought process and work flow in solving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge
  • From MoonSols, some new features in DumpIt
  • Mark Baggett's ISC Diary posts on winpmem and its uses: here, and here
  • Page_brute - check out how you can incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile into your analysis, until Volatility v3 hits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets

Wednesday, September 07, 2011

Registry Stuff

I ran across a tweet recently from Andrew Case (@attrc on Twitter) regarding a Registry key with some interesting entries; specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key HKLM\Software\Microsoft\RADAR\HeapLeakDetection.


Andrew also recently released his Registry Decoder, "an open source tool that automates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition, analysis, and reporting of Microsoft Windows registry contents. The tool was initially funded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Institute of Justice (NIJ) and is now ready for public release."

I had an opportunity to take a look at a beta version of this tool, and I can definitely see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of having all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 listed functionality available in one application.

To get an idea of what this key might be all about, I did some research and found this page at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft site, with an embedded video.  From watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video, I learned that RADAR is a technology embedded in Windows 7 that monitors memory leaks so that data can be collected and used to correct issues with memory leaks in applications.  The developer being interviewed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video give four primary goals for RADAR:

- To perform as near real-time as possible memory leak detection

- To perform high granularity detection, down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function

- To perform root cause analysis; data must be sufficient enough to diagnose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue

- To respect user privacy (do not collect user data)

So, what does this mean to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst?  Well, looking around online, I see hits for gaming pages, but not much else, with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keys.  Looking at one of my own systems, I see that beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above key that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a subkey named "DiagnosedApplications", and beneath that several subkeys with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of applications, one of which is "Attack Surface Analyzer.exe".  Beneath each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys is a value called "LastDetectionTime", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 QWORD data appears to be a FILETIME object.

At first glance, this would likely be a good location to look for indications of applications being run; while I agree, I also think that we (analysts) need to have a better understanding of what applications would appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys; under what conditions are artifacts beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys created or modified.  There definitely needs to be more research into this particular key.  Perhaps one way of determining this is to create a timeline of system activity, and add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LastDetectionTime information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se keys to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline.

Monday, December 14, 2009

Link-idy link-idy

Tools
Claus (no, I'm not saying that Claus is a tool...) has posted a nice summary of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free tools posts from WindowsIR and added some really nice grep tools for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows platform. Using tools like this would greatly increase an analyst's capabilities with respect to some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Analysis stuff I've mentioned recently. For instance, if you're interested in doing searches for PANs/CCNs, you can use BareGrep and consult cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regex reference for syntax in writing your regex; of course, additional checks will be necessary (in particular, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Luhn formula) to reduce false positives, but it's a start.

Memory
JL's got a new Misc Stuff post goin' on over on her blog. I'd picked up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demise of support for mdd.exe from her blog post, as well as from Volatility (note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendation to use Matthieu Suiche's windd for your memory dumping needs). She also points out that MHL has some new and updated Volatility plugins, even one that incorporates YARA for scanning of malware!

Analysis
Speaking of malware analysis, Kristinn posted on PDF Malware Analysis over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Blog, as well. Add this information to Lenny's cheat sheet, and you can develop a pretty decent approach for determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method by which a system was compromised or infected. This is often one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most difficult aspects of analysis, and very often left to speculation in a report. Many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption is made that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection/compromise vector was via web browser "drive-by" ("browse-by"??)...I say "assumption" because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no specific data or analysis within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report which supports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement. In most cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption is based on malware write-ups provided by AV vendors; this may be an initial indicator, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of identified files using techniques such as those identified by Kristinn and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, and listed in Lenny's cheat sheet, can provide definitive answers, and potentially even identify sources and additional issues.

Anti-Analysis
Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hoopla surrounding MS's COFEE being leaked? Well, check out DECAF. I wonder how this will affect ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r response toolkits and techniques that are similar to COFEE? Check out this post from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Praetorian Prefect blog on DECAF (thanks to Claus for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog...).

Friday, March 20, 2009

Memory Analysis, for real!

A bit ago, Rich over at HBGary was nice enough to provide me with a dongle for Responder Field Edition, so that I could take a look at it and work with it from an incident response perspective. Having that kind of access to that kind of tool is really pretty amazing, as it provides a perspective to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall environment that you don't get through reviewing web sites and testimonials.

First, some quick background...if you haven't been by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 redesigned HBGary site, go by and take a look. Also, be sure to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fast Horizon blog to your RSS feed. The Fast Horizon blog gives some interesting insight into technical aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product (i.e., Digital DNA, etc.) that you won't get even by working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool. Also, as I'm working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field Edition, I don't have access to Digital DNA, so I won't be able to comment on that.

Okay, to make things even better when using tools like Responder to perform memory analysis, Hogfly has started a memory snapshot project, and has posted a memory snapshot from a VM guest running Windows XP (part II is posted here), with actual malware running. Pretty cool, and a great idea at that! This not only provides access to memory dumps with something to actually look for, but it also provides a great example of why you'd want to dump memory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place!

I'll be taking a look at Hogfly's first memory snapshot (.vmem file) with Responder and Volatility, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot is of a Windows XP system. I won't be using Memoryze, as I downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MemoryzeSetup.msi file and ran it several times, and had nothing installed. I tried specifying a path for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation, as well as using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default path. I even tried re-downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSI file. Nothing worked.

Responder Field Edition
Responder provides a very easy to use GUI interface for working with memory dumps or snapshots. You simply select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot to import, select a few options for what to do during processing, maybe add some keywords to search for, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool do its thing.

A couple of very interesting things that Responder will do is look for "keys and passwords" (a string search for components that might include passwords) as well as for "Internet History" or URLs. When locating both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column display in Responder includes a field for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string is located; this is useful as you may be able to map something interesting to a location in memory to give that string some context. In reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recovered URLs from Hogfly's memory snapshot, I found a LOT of Microsoft- and MSN.com-related entries, as well as some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, such as:

http://192.168.30.129/malware/
http://*:2869/
http://www.iec.ch
http://%s:%u http://[::1]:8080/

There are a number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (too many to list here), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were also references to tunes.com and musicblvd.com.

For incident response purposes, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I really like about Responder is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to quickly get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot open and locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. In this case, for me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "offending" process stood out like a sore thumb...svhost.exe, PID: 1824, with a command line of "C:\Windows\msagent\svhost.exe". From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, you can expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree listing for that process in order to view specific information about and from that process. For example, we can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process has a couple of open file handles, to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "foo" user's TIF index.dat file, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process also has an open TCP socket from port 1059 to a remote IP address on port 9899. This information can be extracted quickly once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot has been collected, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information available can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be used to correlate with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information, such as network packet captures, firewall or network device/appliance logs, etc.

From an incident response perspective, Responder is a great tool to really get you started in quickly identifying issues. I would like to be able to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary, if possible...I selected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Processes tree view (left-most pane of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI), right-clicked and selected Package, View Binary from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context menu...some dialog boxes flashed, but I didn't end up with a binary, nor did I get anything stating that I couldn't have it. This may be due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory pages for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process executable had been paged out; in cases such as this, using FastDump Pro would've been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to create a memory snapshot, incorporating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile, as well, providing a more complete picture.

Over all, however, Responder lets you very quickly process information in a graphical format, providing speed and agility for something for which just a couple of years ago, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no real process or methodology at all available.

Addendum: I heard from Rich with respect to parsing strings from binaries with Responder, and its actually pretty simple. If you select a particular process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Processes tree view, you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process listing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Modules (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above image) and select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image, which is also listed as a module. Expanding that tree lets you see Bookmarks and Strings. So with a couple of mouse clicks, you can view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings extracted from any particular binary. Similarly, viewing, analyzing, or saving a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary is simply a matter of right-clicking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Modules tree view, choosing Package, and selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option that you want (see figure).

Volatility
Analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot with Volatility was somewhat different, as Volatility is a purely command line interface (CLI) tool. However, that does not make Volatility any less powerful when it comes to memory analysis. I won't go through everything Volatility can do, as it's been discussed before (and is racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nicely documented), but suffice to say that I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory snapshot:

ident
datetime
pslist/psscan2
connections/connscan2
sockets
files
regobjkeys

The great thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se commands is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be included in a batch file and run all at once, and finished off with tools such as JL's vol2html to tie everything togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r into a single report (examples here and here). Don't forget that you can also include ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modules, such as malfind, moddump, or Moyix's Registry modules. JL's code is a great example of what you can do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools, showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility available through Volatility.

Correlating output like this can make it easier to identify suspicious processes. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, once you identify a process of interest, you can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "procdump" and "memdmp" commands to collect as much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image and process memory, respectively, as you can. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable image data appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local directory as "executable.1824.exe" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump appears as "1824.dmp". You can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files in a hex editor, or simply extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings. When running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procdump command, however, I received a number of "Memory not accessible" responses, indicating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory pages had been paged out.

As you can see, various memory analysis tools have strengths and weaknesses, and should be considered just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are...tools to do a job. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than advocating one specific tool, I'd advocate understanding and using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all. Responder is more OS-complete than some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r available tools, while Volatility provides a level of granularity not seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools. At this point, if someone asked me, "which tool do you recommend...Responder, Volatility, or Memoryze", I'd have to say "yes".

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing to remember is that looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools in isolation only provides part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer, and only taps a small portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power available to you as a responder. For example, throw F-Response EE and FEMC, and RegRipper into your toolkit, and you're really expanding your capabilities.

Monday, March 02, 2009

Extreme Coolness

Moyix has done it again! Not only has he updated his Volatility modules for retrieving Registry data from memory, but he's also developed a means to run RegRipper against a memory image! This was also picked up on SANS ISC. Very, VERY cool! Check it out and give it a try...

Tuesday, February 17, 2009

HBGary: FastDump and Responder

Thanks to Rich Cummings, I was recently able to take a look at HBGary products that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y offer with respect to physical memory collection and analysis; specifically, FastDump Pro and Responder Professional.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FastDump product is pretty cool. The free version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool allows you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory from pre-Windows 2003 SP 1 systems (XP, Windows 2003 w/ no Service Pack). Now, a lot of folks are going to look at FastDump Pro and wonder why it's available for a fee; well a close look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FastDump Pro should very quickly make anyone realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is definitely worth what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're charging; FDPro is not encumbered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4GB limit, works up to Windows 2008 (Windows 7 Ultimate Beta shouldn't be a problem, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r), and it handles both 32- and 64-bit versions of Windows. That's A LOT packed into a $100 executable! FDPro also has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to incorporate collection from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile, as well; however, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited testing I've done so far, analysis tools ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than Responder won't necessarily "understand" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .hpak format.

Before we look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product, I'll have to upfront about my testing...my focus was incident response, and I really didn't intend to fully exploit Responder's malware analysis capabilities. So, essentially, while I had access to an evaluation version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder Pro product, I was really using what amounted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field Edition. However, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've really been pushing with respect to incident response is speed...when an incident occurs, information collection and analysis needs to start as soon as possible, and tools like FastDump Pro and F-Response give you that speed in collection; Responder gives you speed in analysis for a range of Windows operating systems through a common interface.

So I started off by creating a case in Responder and loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first memory dump/snapshot from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS 2005 Memory Challenge. Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot can be a raw memory dump, collected via dd.exe (no longer available), F-Response + {enter a tool here}, FastDump, FastDump Pro, etc. Responder will identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump and extract a good deal of information, making it available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface (UI). So, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump has been collected, it just takes a couple of mouse clicks to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder is actually looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump, viewing things such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active process list, network connections, etc.

When I first looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product a bit ago, as an incident responder, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues I had as being able to quickly and easily find what I was looking for...in particular, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line used to launch each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active process list. Well, not only is this now available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product, but you can also drag cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 columns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI to a more suitable location. For example, I dragged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 column for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process command line over to line up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process name, PID, parent PID, and command line so that I could see everything togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and quickly run through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entries.

You can also view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open network sockets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump in a very netstat-like format. An option that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder product provides is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you're viewing in a variety of formats (Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 export functionality was disabled in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evaluation version). This allows you to use eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r screen scrapes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder UI or exports of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data for reporting, or you export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you've got and use tools similar to Gleeda's vol2html.pl to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format a bit.

Now, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options when importing a snapshot is to "Extract and Analyze All Suspicious Binaries"; this allows for a modicum of analysis to occur while importing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snapshot. What is "suspicious" is defined by rules visible in a text file, which means that as you become more familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, you can comment out some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules, uncomment some, or add your own.

With Responder, you can also view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open handles and network sockets for a specific process, view, analyze, or save a copy of a binary (exe or DLL/module), run strings against a binary, etc. There is a great deal of capability in this tool, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no way I'm even beginning to scratch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surface. From an IR perspective, tools like this provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first responder with a means of getting answers quickly, while at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time being able to "answer new questions later". This is an extremely powerful capability...imagine quickly triaging an incident and being able to narrow down from your 500 possible systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12 or so that may be "in scope". Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost savings. And when you do acquire physical memory, you've also got a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is any) in an unencrypted, un-obfuscated state.

Admittedly, Responder doesn't give you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same granularity, deep-dive capabilities, and flexibility of Volatility, but it does allow you to import memory snapshots from a range of Windows versions and puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools in your hands to quickly get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers you need; that in itself is a huge plus! Again, I did not really dig into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full spectrum of capabilities of FastDump Pro and Responder, so if you're interested in really exploiting HBGary's capabilities for doing malware analysis, you should definitely consider giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m a call.

Sunday, February 01, 2009

Thoughts on memory footprints...

I was chatting with a friend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day, and we got to talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory footprints of various tools. We agreed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory first during incident response activities, before doing anything else. I'm also a proponent of grabbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portions of memory (active process list, network connections, etc.) as well, as this information can be used to do a modicum of differential analysis, as well as give you a quicker view into what's going on...but be sure to grab as pristine a copy of memory first. As Nick and Aaron said at BlackHat DC 2007, so you "...can answer new questions later." Sage advice, that.

So we got to talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect that just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first tool will have on memory...whichever tool you choose to use to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory, be it F-Response, FastDump, mdd, win32dd, winen, Memoryze, or if you choose to kick it old school on XP, an old, unsupported copy of dd.exe. Regardless, when you launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE is loaded into memory to be run, establishing a presence in memory and a "footprint". This is something that cannot be avoided...you cannot interact with a live system without having some effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Responders should also be aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 converse is true...during incident response for something like a major data breach (not naming names here...Heartland), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system will continue to change even if you don't touch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyboard at all. Such is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of live response.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE is loaded into memory, it consumes pages that have been marked as available; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pages are not currently in use, but may contain remnants that may be valuable later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination, much like artifacts found in unallocated space on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive. This is somewhat intuitive, if you think about it...if Windows were to launch a new process using pages already in use by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r process, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you'd have random crashes all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of memory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory manager may need to write some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pages being used by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r processes out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile/swap file in order to free up space...but again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new process will not consume pages currently being used by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r process.

I know that this is an overly simplistic view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole process, but its meant to illustrate a point...that point being that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a LOT of discussion about "memory footprints" of various tools, but when I listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion, I'm struck by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it hasn't changed a great deal in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 5 years, and that it doesn't incorporate eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, or actual testing. In fact, what strikes me most about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se conversations is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary concern about "memory footprints" in many cases comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks who "don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time" to conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very research and quantitative analysis that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to be asking for. I think that for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, many of use accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, yes, Virginia, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a Santa...I mean, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be memory footprints of our live response actions, but that it is impossible to quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content that is overwritten.

I think that we can agree that memory pages (and content, given pool allocations, which are smaller than a 4K memory page) are consumed during live response. I think that we can also agree that from a technical perspective, while some pages may be swapped out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only pages that will actually be consumed or overwritten with new content, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir old content will no longer be available (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in physical memory or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page file) are those marked as available by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. From an analyst's perspective, this is similar to what happens when files are deleted from a disk, and sectors used by those files are overwritten. This will lead to instances in which you can "see" data available in a RAM dump (through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of such tools as strings or grep), but as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content may be in pages marked available for use, that data will have little context (if any) as it cannot be associated with a specific process, thread, etc.

Saturday, January 17, 2009

New and interesting things

A couple of very interesting things have come about lately; in particular, Brendan has released some new Volatility modules for extracting Registry hives from memory dumps! Very cool stuff! From his post, not only has Brendan done a fantastic job extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, but he's looking ahead to integrating RegRipper into this in order to perform analysis!

Also, don't forget about Brendan's moddump.py and threadqueues.py modules!

Matt Shannon introduced me to Peter Mercer yesterday, and pointed me toward Intella, which looks like a fantastic product. Peter also mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool here (holy GUI, Batman!), and looking at it's capabilities, it's not just a PST/NSF file parser.

Over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Ripcord blog, Don Weber has worked up a variant of Yara called "Scout Sniper"...if you know or have met Don, that makes complete and total sense. Don's some great work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, you should definitely take a look.

In addition to Intella, I will be taking a look at a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools shortly. John Sawyer commented on one of my blog posts, which includes a press release from HBGary about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FastDump Pro tool that you should really take a look at.

Tuesday, January 06, 2009

Memory Collection and Analysis Tools

Recently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensics blog about memory collection and analysis tools, but for some reason, it seems that folks are STILL having trouble with this process; I'm seeing posts in forums (forii??) saying that "...this tool doesn't work..." or "...that tool crashed when I tried to use it...". My suspicion is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools aren't being used correctly as folks may not understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir limitations.

Collection
I tend to separate collection and analysis...I've found that it's better to do each one right separately than it is to try to do both at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time and split your resources.

XP/2003
There are a number of tools that allow for collection of physical memory on Windows XP and 2003 systems. The first and perhaps best known was a version of dd.exe modified by George M. Garner, Jr. This tool is no longer available, but it was used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exemplar tool for collecting physical memory for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS 2005 Memory Challenge. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool is dcfldd.exe, written by Nick Harbour (currently with Mandiant). However, this blog post is one of several locations where it seems that someone's discovered that attempting to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 \\.\PhysicalMemory object doesn't work, but dumping /dev/mem (yes, on Windows) appears to have an affect. Nigilant32 is a GUI-based tool that you can use to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM, as well.

These tools are also available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Helix CD. In addition, HBGary released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fastdump tool for dumping physical memory.

The delineation mark for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools came with Windows 2003 SP1, as that's when MS removed user-mode access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PhysicalMemory object. This, in turn, required a change in tools to collect physical memory.

2003 SP1 and Above
The tools used to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory for Windows 2003 SP1 and above (Vista) systems can also be used on XP and 2003 systems.

The first tool available to dump (and analyze) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of Physical Memory from Windows 2003 SP1 systems and above was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 KntTools from George M. Garner, Jr. Then came ManTech's MDD, Matthieu Suiche's win32dd, GSI's winen (and winen64, for 64-bit systems), and Mandiant's Memoryze. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are great tools, but like any tool, each has it's strengths and weaknesses.

For example, right on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main page for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MDD tool, it states, "The software can copy up to 4 GB of memory to a file for later analysis." I'll leave it to smarter folks to tell you why, but I think that most tools have this same limitation. Matthieu's win32dd will dump memory in a raw, dd-style format as well as a crash dump-compatible format in case you'd like to use MS Debugger tools to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dump. GSI's winen dumps memory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EWF-style format (requires additional support for most tools to analyze). While most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools download as an EXE, Memoryze downloads as an MSI file, and creates quite a footprint on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

One tool that must be mentioned here is F-Response. By itself, F-Response does not provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent version of F-Response provides you with remote, read-only access to physical memory on Windows systems; you can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use tools like FTK Imager, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r acquisition tool (dd.exe, dcfldd.exe, etc.) to acquire your memory dump. The figure I've posted here shows what physical memory on a remote system "looks like" on your investigation system...in this example, it shows up as \\.\PhysicalDrive2, and can be accessed by tools such as FTK Imager. Go here to see how to install F-Response EE remotely on Windows systems.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools work best if tested and deployed before an incident occurs, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool itself is actually needed. Tools such as mdd.exe and win32dd.exe can be deployed on CD or a thumb drive, and F-Response can be deployed remotely (even in stealth mode) over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, allowing you to accelerate your response.

Note: I don't want to leave out hibernation files. While I don't recommend hibernating a system as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default process for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be times when its cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only option. For example, if a system already has a hibernation file on it, IMHO, I'd prefer to use that file for historical analysis, to establish or validate a timeline of activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is capable of hibernating, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be times when forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to hibernate may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory. You can use powercfg.exe to configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to hibernate, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use run32dll.exe to force it to hibernate.

Analysis
There are some frameworks available that provide a means of analysis on memory dumps from several versions of Windows, such as Andreas's PTFinder Collection. Andreas's Perl scripts are primarily used to list processes (and pool tags) from within Windows memory dumps.

About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only tools I can think of that provide more than what Andreas's scripts provide for analyzing Windows 2000 memory dumps are my own scripts, which are still available on SourceForge, as well as on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Forensic Analysis DVD (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be provided on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of WFA).

When it comes to analyzing memory dumps from Windows XP SP2 and 3 systems for an incident response perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Framework is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to go. Yes, I know it's CLI, requires Python (which is free), but to be honest, this framework gives you unprecedented access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump. I say "contents" because not only can you get things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active process list and active network connections at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dump, but you can also run a linear scan through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dump for exited processes and expired network connections. The DFRWS 2008 Rodeo includes a memory dump you can try this out on. The output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various commands can be easily redirected to files, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n correlated using Perl or Python scripts (such as vol2html.pl).

Volatility includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability of working with hibernation files (incorporating Matthieu's work; note that Matthieu has also released a standalone hibernation shell, in alpha) and crash dump-format memory dumps, in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw, dd-style format dumps. Also, Volatility is extensible, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to create modules that can be easily installed and used with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework (ie, Jesse Kornblum's cryptoscan and suspicious modules, and Moyix's Windows message queue module).

Addendum: I've recently seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of additional plugins; malfind from MNIN Security, and moddump from Moyix. I've gotta take a look at and try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se plugins...man, it's it AWESOME cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way Volatility can be extended??

Note: This is one of those places where I have seen folks say, "It doesn't work." As of now, Volatility works on XP SP 2 and 3 memory dumps. Please feel free to try it on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r memory dumps, but as a courtesy, please refrain from stating "it doesn't work" (most of us already know that), as well as asking "why doesn't it work?" Thanks!

Mandiant's Memoryze is an XML-based tool that started life as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant Intelligent Response (MIR) product, and will allow you to collect and analyze memory dumps from Windows XP, 2003, and Vista systems. To install Memoryze, download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSI file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation wizard will guide you through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. Memoryze ships with a number of batch files that make it a bit more user-friendly, and Mandiant also include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Audit Viewer, a wxPython-based GUI tool that makes viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of Memoryze a bit easier. Posts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 M-unition blog that describe how to use and extend Memoryze.

Also, please feel free to use tools such as strings or grep to extract information from memory dump files. However, keep in mind that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools are run against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire dump file, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information you find may be without context. However, using any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available tools to dump process memory for a memory dump file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n searching it using strings/grep will provide you with a modicum of context.

It wouldn't be fair of me not to note HBGary's Responder product. I had an opportunity to try out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Responder Pro product a while ago, and found it be very useful for malware analysis. I haven't had an opportunity to try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field edition.

Saturday, December 06, 2008

Windows Hibernation files

Matthieu has made his Exploiting Windows Hibernation File presentation available...for anyone interested at all in Windows memory analysis, his presentation is well worth a look. Matthieu is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first person that I'm aware of to come up with a means of exploiting or taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hibernation file as a viable source of data, and is a contributor to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility framework. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r presentations and demos can be found here.

Saturday, August 16, 2008

Volatility 1.3 is out!

Volatility 1.3 is out! Volatile Systems (AAron, et al.) improves upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir venerable open-source memory analysis tool with this latest version, adding capabilities for extracting executables and a process's addressable memory, support for formats ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a dd-style memory dump (such as via mdd). Volatility 1.3 supports memory dumps from Windows XP SP2 & 3, and in addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is preliminary support for Linux memory dumps, as well.

The world of incident response is seeing changes. Incident responders have known for some time that particularly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of state notification laws and compliance standards from regulatory bodies, a new dimension has been added to what we do. Simple containment and eradication...get the bad guy or malware out...is no longer sufficient, as traditional first response obviates an organizations ability to answer questions about data exfiltration. Its long been known that new procedures and methodologies are needed, and in many cases, new tools. Well, folks, Volatility is one of those tools. When combined with tools like F-Response, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed of response is maximized, allowing for greater data protection and business preservation. With F-Response increasing a responder's ability to collect data, and Volatility increasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breadth and depth of analysis that can be performed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dumps, a brave new world is opened up for incident responders!

The need for speed (without sacrificing a thorough and accurate response) is furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r illustrated in this SecurityFocus article, which illustrates something that incident responders and forensic analysts see all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time...AV doesn't always work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way we think it should.

Not only that, Volatility adds to a forensic analyst's toolkit, as well. The latest version has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to parse crash dumps, as well as hibernation files. Thanks to Moyix for all of his current and up-coming contributions, as well as folks such as Matthieu, Jesse, and all of those who put effort into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework. Forensic analysts now have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to parse through and analyze additional historic remnants on a system.

Volatility requires Python, which for Windows systems is freely available from ActiveState.


Addendum: Yesterday, Matthieu updated both win32dd and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sandman Framework. I tried out win32dd, and it worked like a champ! My first attempt resulted in some issues as a result of operator error...if you hit Ctrl-C while win32dd is running, you will get an error during every consecutive attempt to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool again, until you reboot. However, one of my tests as to run mdd and win32dd consecutively, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result was files of identical size. The next step is to run Volatility 1.3 against each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any differences in results.

Sunday, August 03, 2008

The Question of "whodunnit?"

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that comes up from time to time during an examination is "whodunnit?" Take an examination involving, let's say...illicit images. The accused claims that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't do it, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question becomes, who did? Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer might be that someone else sat at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyboard of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions that lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images being on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer might be that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a remote attacker/hacker or malware. The latter is sometimes referred to as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan Horse Defense, or malware defense. In 2003, this guy used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware defense and was acquitted of breaking into gov't computer systems...his claim was that someone had hacked his system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

A forensic examination of Mr Caffrey's PC had found no trace of a hidden program with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack.

And yet, he was still acquitted. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, this has been a concern to many a forensic examiner and law enforcement officer...what happens if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accused makes that claim? How can a forensic examination corroborate that claim, or disprove it all togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r?

First, let me say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no 100% certainty in every examination that any or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques are going to work. There are certain things that computer forensic analysis will not reveal...one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m being things that simply are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (ie, an analyst cannot find CCNs or artifacts of an intrusion if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re simply are none to be found). However, what I'd like to discuss is some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finer points of technical forensic analysis that can provide a good deal of information, such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper authorities (counsel, jury, etc.) have a better foundation on which to base cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decision.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas of incident response that we're moving into fairly rapidly now...this area has been picking up steam a good bit lately since its introduction in 2005...is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection and analysis of physical memory. In just about a week, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMFW will occur and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be a good number of folks presenting on and discussing this topic. There are a number of tools available now that will allow a responder to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory from a Windows system (XP, as well as Vista), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n analyze that dump...locate running processes, network connections, etc. In addition, PTFinder (Andreas appears to be attending OMFW) may still allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner to identify exited processes (lsproc does this for Windows 2000 and can be ported to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r versions of Windows)...procL from ScanIT appears to do something similar. A number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r articles provide information on retrieving image files, Registry keys, and even Event Log records from a physical memory dump. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, a recent print issue of Linux Pro Magazine has an article on pg. 30 entitled Foremost and Scalpel: Restoring deleted files, in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors state, "Foremost and Scalpel ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem and can even restore data from RAM dumps and swap files."

Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of computer forensic analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of areas of a Windows system in which artifacts indicating user activity may be found. These go beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional examination of browser history artifacts, etc., and can provide indications of user activity, as well as historical indications of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was logged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Windows Event Log and Registry analysis are two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall correlation of artifacts from different parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more artifacts that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner is able to pull togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more complete a picture that can be developed.

For example, for a backdoor to be useful to an intruder, it has to remain persistent (see Jesse Kornblum's paper, Exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rootkit Paradox with Windows Memory Analysis) across reboots. There are only so many ways this can occur, with persistent stores being primarily within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system. Using tools such as RegRipper, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence mechanisms with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and user Registry hive files can be displayed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system persistence mechanisms can be viewed, as well, for any indications of suspicious entries.

The Windows Registry holds a wealth of information about software applications installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Some of this information differentiates between those apps run by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, and those run automatically by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves have traces and artifacts...antivirus applications generally maintain configuration information in addition to log files. The Windows firewall installed on XP and above maintains it's configuration information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry. Many GUI applications...to include image and movie viewing apps...maintain lists of files that have been opened and viewed by those applications.

Knowing where to look and what to look for can give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to paint a very detailed picture of what occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Windows XP is something of a fickle lover, as it will provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledgeable examiner with a wealth of information, while at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time using it's own inherent anti-forensic techniques to deprive more traditional examiners of those artifacts on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y traditionally rely. Remember Harlan's Corollary to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 First Law of Computer Forensics?

The great thing about all this is that while it may appear to be magical, requiring knowledge beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of all but a few individuals...that's simply not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case at all. All of this can be incorporated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner's forensic analysis process and methodology.

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question isn't, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re or was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a Trojan or backdoor on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system what was responsible for this activity...it's now, do you want to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trojan Defense before you walk into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview room with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attorney?

Resources:
Ex Forensis post

Tuesday, June 17, 2008

Memory Collection and Analysis, part II

Based on my last post, I wanted to throw some quick tests togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and see how things worked out...here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of what I found...

So, first off, I wanted to run ManTech's mdd...or memdd.exe, as it were. That worked out very well...ended up with a nice output file after running memdd.exe (renamed to mdd.exe) version 1.1:

06/17/2008 10:51 AM 23,520 mdd.exe 06/17/2008 10:56 AM 3,210,854,400 test.dmp

Next, I ran winen.exe, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool available from GSI, as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EnCase 6.11 install (yes, I am a "dongled", licensed user). As I was running this on a Windows XP SP2 system with 2.99GB of RAM (4GB on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 board) and used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defaults in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration file (except for where I was required to make an entry), I ended up with a total of five .E0x files. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .EO1 file as an evidence item in FTK Imager Lite v2.5.1 and, as expected, Imager did not recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system. However, Imager appears to have read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EWF header info just fine, because it recognized what I had entered into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 config file.

So I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n chose Create Disk Image from Imager's File menu item, and chose Image File from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Select Source dialog. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of selecting options, I chose to have Imager output cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in 2000MB files (as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default 640MB file sizes used by winen). This resulted in two image files (winen.001 and .002), which I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cat'd togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type command on Windows into a single file (winen.bin):

06/17/2008 01:18 PM 2,097,152,000 winen.001
06/17/2008 01:19 PM 1,113,702,400 winen.002
06/17/2008 01:42 PM 3,210,854,400 winen.bin

Notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file size for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final winen.bin file is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test.dmp file created using mdd. Very cool.

Now...what to do with it? Well, that's where Volatility 1.1.1 comes in...I grabbed ActivePython, installed it, and was up and running with Volatility 1.1.1 in no time! I was able to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process list, run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dlllist' command to get modules and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line for each process, etc...all very cool stuff. Volatility worked very well on both memory dumps...not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winen/FTK one, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mdd RAM dump, as well.

So what's next? Well, I'd like to see about digging a bit deeper into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dumps, including:

- As Moyix discussed, enumerating Registry hives (or just keys and values) from memory
- Run Andreas's PTFinder against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dump and develop graphs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processes using Richard McQuown's PTFinderFE
- Attempt to do file carving via scalpel

Anything else? What's in your wallet? =)

Take aways from this...it's likely that like linen, winen.exe will show up on IR tools distros...but you're not restricted to using EnCase to perform analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dumps produced by such tools. Using free tools, you can convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .E0x files to a dd-style format, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r freely available tools to parse through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory dumps.

Addendum: Got this from someone who ran kern.pl on a memory dump from XP SP3 recently...

File Description : NT Kernel & System
File Version : 5.1.2600.5512 (xpsp.080413-2111)
Internal Name : ntkrnlmp.exe
Original File Name :
Product Name : Microsoft(R) Windows(R) Operating System
Product Version : 5.1.2600.5512

Pretty sweet, eh?

If you're using winen.exe to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM and you're also using EnCase, you might want to check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se EnScripts from TK_Lane that will pull process information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .EOx files. I haven't tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m yet, but thanks, TK, for providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m!

Saturday, June 14, 2008

Memory Collection and Analysis

As a follow-on to my previous post regarding OMFW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been some developments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of memory dumping and parsing (ie, collection and analysis) that have occurred over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of months.

Lance Mueller posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new standalone memory dumping tool that is part of EnCase 6.11. Interesting tool as it apparently dumps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory from Windows (Windows 2000 through Vista) to an EnCase .E0x file format, for inclusion in a case. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's functionality to extract that memory dump from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .E0x file format to something usable by HBGary's Responder product. Note: Initial testing indicates that FTK Imager will successfully convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting .E0x files to a dd-style format for use with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools.

Jesse Kornblum referred mdd to me. This one looks promising...captures memory from Windows versions through Vista and 2008. Jesse posted some clarifications about this tool on his blog. As it stands, this appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first free tool to dump RAM from Windows 2000 through 2008, inclusive, in a dd-style format. Note: Updated version 1.1 was released on 17 June.

So available tools for collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory are becoming more available. From an analysis standpoint, I really think that you want to keep your eyes on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys over at Volatility Systems, though.

Addendum: win32dd is available from Matthieu Suiche. I just found out about this so I haven't had an opportunity to try it...but I am looking forward to adding it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of tools to test!

Andreas blogs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new tools...great stuff, very comprehensive view of where this all stands at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment.

Thursday, June 05, 2008

Some UpComing Events

There are some interesting events coming up this summer (and beyond) that I wanted to point out to folks...

DFRWS is this summer (11-13 Aug), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Memory Forensics Workshop (OMFW) will be held just prior (info here, update here). OMFW looks like a great opportunity...it's a half-day event, but looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of speakers and panelists...wow! If you haven't already, grab books off of your bookshelf (I *know* most of you recognize author names...) and get your copies signed! OMFW is brought to you by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 letters M and S, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guys.

If anything, this really shows how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest in analysis of physical memory is really picking up. More than anything, I'd have to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest is really been driven by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys over at Volatile Systems, along with a host of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r names. There is a great deal of extremely valuable information available in physical memory (RAM), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guys are leading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way in showing us what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and providing tools for getting at it and making it available, but more importantly, useful to analysts.

As a side note, if you look around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community/industry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a big piece that's missing right now...collection. That's right...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are open source and commercial tools (from Mandiant and HBGary...and HBGary is apparently partnering with GSI) that provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to parse, comb through and analyze a physical memory dump, but very few that provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM from Windows 2003 SP1 and above (e.g., Vista, Win2K8) systems. I even received an email from a friend at MS yesterday asking me if I knew of any such tools. One would naturally assume that we'd eventually see such a tool from MS/SysInternals. One way to go about changing this...buy more F-Response!

Note: Paraben is having an Innovations Conference in Utah in Nov, 2008. They also let you vote for a company or product that you feel is most innovative for 2008...I voted for F-Response.

Okay, back on track...what was I talking about? Oh, yeah...

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program for DFRWS 2008...yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r impressive line-up. I'm hoping to go...working for a large corporate (think "glacial") entity (think Borg cube), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requests are always in limbo. However, I'm very interested in Timothy Morgan's talk, as well as a couple of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. It also looks as if some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers from OMFW are going to be on deck for DFRWS, as well. Maybe a good opportunity to ply familiar faces and famous names with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locally brewed beverages.

Interestingly enough, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local RCFG conference (which overlaps with DFRWS this year) has been cancelled. That's too bad...this conference is held on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GMU campus and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part is a nice, smaller conference. However, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right leadership, it has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential to really be a premier conference...not just for local LE, but in general. In fact, an interesting thought would be that since some folks are going to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area anyway, talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same topic...

Also, in Jan 2009, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD CyberCrime Conference...Jesse mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CfP here. It's too early to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers, but I had an opportunity to visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference in 2007 and it was a good one...lots of attendees, lots of events, lots of really great speakers.

Thursday, February 21, 2008

Important Memory Update

I ran across this info today, and thought that I'd post it...it seems quite important, in that it pertains to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of physical memory (RAM) to deal with whole disk encryption (WDE), referred to as "cold boot attacks on disk encryption".

This looks like very cool stuff. Give it a read, and let me know what you think.

Don't forget that TechPathways provides a tool called ZeroView, which can reportedly be used to detect WDE.

Thursday, January 31, 2008

Enter Sandman

You're probably wondering, "Since when did Metallica have anything to do with Windows forensics?"

My answer to that is...since ALWAYS!

Okay...enough of that. The Sandman I'm referring to isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metallica song. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this one has to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows hibernation file (get it? "sleep". "Sandman". get it? no...you don't...). Evidently Nicholas and Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365iu has been working on a C library for reading/writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows hibernation file. This sounds really cool, and it looks as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to include Python bindings, as well as a couple of sample apps, one of which will reportedly convert a hibernation file into a dd-style memory dump. Very cool. Keep in mind, however, that a hibernation file doesn't contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current contents of memory, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of memory from when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was created.

Sandman looks like a good tool to have in your kit, and I can't wait to try it out.

Tuesday, November 20, 2007

Windows Memory Analysis

It's been a while since I've blogged on memory analysis, I know. This is in part due to my work schedule, but it also has a bit to do with how things have apparently cooled off in this area...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re just doesn't seem to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flurry of activity that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past...

However, I could be wrong on that. I had received an email from someone telling me that certain tools mentioned in my book were not available (of those mentioned...nc.exe, BinText, and pmdump.exe, only BinText seems to be no longer available via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FoundStone site), so I began looking around to see if this was, in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. While looking for pmdump.exe, I noticed that Arne had released a tool called memimager.exe recently, which allows you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NtSystemDebugControl API. I downloaded memimager.exe and ran it on my XP SP2 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n ran lsproc.pl (a modified version of my lsproc.pl for Windows 2000 systems) against it and found:

0 0 Idle
408 2860 cmd.exe
2860 3052 memimager.exe
408 3608 firefox.exe
408 120 aim6.exe
408 3576 realsched.exe
120 192 aolsoftware.exe(x)
1144 3904 svchost.exe
408 2768 hqtray.exe
408 1744 WLTRAY.EXE
408 2696 stsystra.exe
244 408 explorer.exe

Look familiar? Sure it does, albeit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above is only an extract of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output. Memimager.exe appears to work very similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older version of George M. Garner, Jr's dd.exe (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PhysicalMemory object), particularly where areas of memory that could not be read were filled with 0's. I haven't tried memimager on a Windows 2003 (no SPs) system yet. However, it is important to note that Nigilant32 from Agile Risk Management is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r freely available tool that I'm aware of that will allow you to dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of PhysicalMemory from pre-Win2K3SP1 systems...it's included with Helix, but if you're a consultant thinking about using it, be sure to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license agreement. If you're running Nigilant32 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Helix CD, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AgileRM license agreement applies.

I also wanted to followup and see what AAron's been up to over at Volatile Systems...his Volatility Framework is extremely promising! From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, I went to check out his blog, and saw a couple of interesting posts and links. AAron is definitely one to watch in this area of study, and he's coming out with some really innovative tools.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links on AAron's blog went to something called "Push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Button"...this apparently isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same RedButton from MWC, Inc. (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RedButton GUI is visible in fig 2-5 on page 50 of my first book...you can download your own copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "old skool" RedButton to play with), but is very interesting. One blogpost that caught my eye had to do with carving Registry hive files from memory dumps. I've looked at this recently, albeit from a different perspective...I've written code to locate Registry keys, values, and Event Log records in memory dumps. The code is very alpha at this point, but what I've found appears fairly promising. Running such code across an entire memory dump doesn't provide a great deal of context for your data, so I would strongly suggest first extracting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of process memory (perhaps using lspm.pl, found on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD with my book), or using a tool such as pmdump.exe to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process memory itself during incident response activities. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools of note for more general file carving include Scalpel and Foremost.

So...more than anything else, it looks like it's getting to be a good time to update processes and tools. I mentioned an upcoming speaking engagement earlier, and I'm sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunities to speak on Windows memory analysis in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Saturday, July 14, 2007

Thoughts on RAM acquisition

As a follow-on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool testing posts, I wanted to throw something else out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re...specifically, I'll start with a comment I received, which said, in part:

Tool criteria include[sic] whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool has acquired actually existed.

This is a slightly different view of RAM acquisition (or "memory dumping") than I've seen before...perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common question/concern is more along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of, does exculpatory evidence get overwritten?

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues here is that unlike a post-mortem acquisition of a hard drive (ie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional "hook cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive up to a write-blocker, etc."), when acquiring or dumping RAM, one cannot use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same method and obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same results...reproduceability is an issue. Because you're acquiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory from a running system, at any given point in time, something will be changing; processes process, threads execute, network connections time out, etc. So, similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live acquisition of a hard drive, you're going to have differences (remember, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspects of cryptographic hash algorithms such as MD5 is that flipping a single bit will produce a different hash). I would suggest that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach we should take to this is to accept it and document it.

That being said, what are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that we can anticipate addressing, and how would/should we answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? I'll take a stab at a couple of basic questions (and responses), but I'd really like to see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have to say:

1. Did you acquire this data using an accepted, validated process?

In order to respond to this question, we need to develop a process, in such a way as to validate it, and get it "accepted". Don't ask me by whom at this point...that's something we'll need to work on.

2. Did this process overwrite evidence, exculpatory or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise?

I really think that determining this is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validation process. In order to best answer this question, we have to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process that is used...are we using third-party software to do this, or are we using some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r method? How does that method or process affect or impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system we're working with?

3. Was this process subverted by malware running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system?

This needs to be part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validation process, as well, but also part of our analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data we retrieved.

4. Did you add anything to this data once you had collected it, or modify it in any way?

This particular question is not so much a technical question (though we do have to determine if our tools impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output file in anyway) as it is a question for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder or examiner.

As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's still a great deal of work to be done. However, please don't think for an instant that I'm suggesting that acquiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 be-all and end-all of forensic analysis. It's a tool...a tool that when properly used can produce some very valuable results.

Thursday, July 12, 2007

Tool Testing Methodology, Memory

In my last post, I described what you'd need to do to set up a system in order to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects of a tool we'd use on a system for IR activities. I posted this as a way of filling in a gap left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACPO Guidelines, which says that we need to "profile" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "forensic footprint" of our tools. That post described tools we'd need to use to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 footprints within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system and Registry. I invite you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader, to comment on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools that may be used, as well as provide your thoughts regarding how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...after all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACPO Guidelines also state that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools must be competent, and what better way to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re than through discussion and exchange of ideas?

One thing we haven't discussed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re doesn't seem to be a great deal of discussion of, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools we use on memory. One big question that is asked is, what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "impact" that our tools have on memory? This is important to understand, and I think one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main drivers behind this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that when IR activities are first introduced in a court of law, claims will be made that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder overwrote or deleted potentially exculpatory data during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response process. So...understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of our tools will make us competent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir use, and we'll be able to address those (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r) issues.

When a process is created (see Windows Internals, by Russinovich and Solomon for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details, or go here), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE file is loaded into memory...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE is opened and a section object is created, followed by a process object and a thread object. So, memory pages (default size is 4K) are "consumed". Now, almost all EXEs (and I say "almost" because I haven't seen every EXE file) include an import table in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PE header, which describes all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic link libraries (DLLs) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EXE accesses. MS provides API functions via DLLs, and EXEs access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se DLLs racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author rewriting all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code used completely from scratch. So...if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary DLL isn't already in memory, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it has to be located and loaded...which in turn, means that more memory pages are "consumed".

So, knowing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se memory pages are used/written to, what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility that important 'evidence' is overwritten? Well, for one thing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory manager will not overwrite pages that are actively being used. If it did, stuff would randomly disappear and stop working. For example, your copy of a document may disappear because you loaded Solitaire and a 4K page was randomly overwritten. We wouldn't like this, would we? Of course not! So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory manager will allocate memory pages to a process that are not currently active.

For an example of this, let's take a look at Forensic Discovery, by Dan Farmer and Wietse Venema...specifically, chapter 8, section 17:

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory filling process grows, it accelerates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory decay of cached files and of terminated anonymous process memory, and eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system will start to cannibalize memory from running processes, moving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir writable pages to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 swap space. That is, that's what we expected. Unfortunately even repeat runs of this program as root only changed about 3/4 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main memory of various computers we tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program on. Not only did it not consume all anonymous memory but it didn't have much of an affect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel and file caches.

Now, keep in mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests that were run were on *nix systems, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for Windows systems (note: previously in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter, tests run on Windows XP systems were described, as well).

So this illustrates my point...when a new process is loaded, memory that is actively being used does not get overwritten. If an application (Word, Excel, Notepad) is active in memory, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a document that is open in that application, that information won't be overwritten...at worst, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pages not currently being used will be swapped out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pagefile. If a Trojan is active in memory, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory pages used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and thread(s) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves will not be overwritten. The flip side of this is that what does get "consumed" are memory pages that are freed for use by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory manager; research has shown that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of RAM can survive a reboot, and that even after a new process (or several processes) have been loaded and run, information about exited processes and threads still persists. So, pages used by previous processes may be overwritten, as will pages that contained information about threads, and even pages that had not been previously allocated. When we recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of physical memory (ie, RAM) one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 useful things about our current tools is that we can locate a process, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n by walking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page directory and table entries, locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory pages used by that process. By extracting and assembling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pages, we can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for strings, and anything we locate as "evidence" will have context; we'll be able to associate a particular piece of information (ie, a string) with a specific process. The thing about pages that have been freed when a process has exited is that we may not be able to associate that page with a specific process; we may not be able to develop context to anything we find in that particular page.

Think of it this way...if I dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of memory and run strings.exe against it, I will get a lot of strings...but what context will that have? I won't be able to associate any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strings I locate in that memory dump with a specific process, using just strings.exe. However, if I parse out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process information, reassembling EXE files and memory used by each process, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run strings.exe on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results, I will have a considerable amount of context...not only will I know which process was using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific memory pages, but I will have timestamps associated with process and threads, etc.

Thoughts? I just made all this up, just now. ;-) Am I off base, crazy, a raving lunatic?