Showing posts sorted by relevance for query trust record. Sort by date Show all posts
Showing posts sorted by relevance for query trust record. Sort by date Show all posts

Tuesday, January 01, 2013

BinMode

I've recently been working on a script to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS $UsnJrnl:$J file, also known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Change Journal.  Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than blogging about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical aspects of what this file is, or why a forensic analyst would want to parse it, I thought that this would be a great opportunity to instead talk about programming and parsing binary structures.

There are several things I like about being able to program, as an aspect of my DFIR work:
- It very often allows me to achieve something that I cannot achieve through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of commercially available tools.  Sometimes it allows me to "get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re" faster, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times, it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to "get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re".
- I tend to break my work down into distinct, compartmentalized tasks, which lends itself well to programming (and vice versa).
- It gives me a challenge.  I can focus my effort and concentration on solving a problem, one that I will likely see again and will already have an automated solution for solving when I see it.
- It allows me to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in its raw form, not filtered through an application written by a developer.  This allows me to see data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various structures (based on structure definitions from MS and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs), and possibly find new ways to use that data.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of programming is that I have all of this code available, not just as complete applications but also stuff I've written to help me perform analysis.  Stuff like translating time values (FILETIME objects, DOSDate time stamps, etc.), as well as a printData() function that takes binary data of an arbitrary length and translates it into a hex editor-style view, which makes it easy to print out sections of data and work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m directly.  Being able to reuse this code (even if "code reuse" is simply a matter of copy-paste) means that I can achieve a pretty extensive depth of analysis in fairly short order, reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it takes for me to collect, parse, and analyze data at a more comprehensive level than before.  If I'm parsing some data, and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 printData() function to display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary data in hex at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 console, I may very well recognize a 64-bit time stamp at a regular offset, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be able to add that to my parsing routine.  That's kind of how I went about writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellbags.pl plugin for RegRipper.

I've also recently been looking at IE index.dat files in a hex editor, and writing my own parser based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSIE Cache File Format put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by Joachim Metz.  So far, my initial parser works very well against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index.dat file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TIF folder, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies.  But what's really fascinating about this is what I'm seeing...each record has two FILETIME objects and up to three DOSDate (aka, FATTime) time stamps, in addition to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r metadata.  For any given entry, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se fields may not be populated, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact is that I can view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...and verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with a hex editor, if necessary.

As a side note regarding that code, I've found it very useful so far.  I can run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line, and pipe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output through one or more "find" commands in order to locate or view specific entries.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command line gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Location : " fields for me, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n looks for specific entries; in this case, "apple":

C:\tools>parseie.pl index.dat | find "Location :" | find "apple" /i

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above command line, I'm able to narrow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access to specific things, such as purchase of items via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Apple Store, etc.

I've also been working on a $UsnJrnl (actually, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl:$J ADS file) parser, which itself has been fascinating.  This work was partially based on something I've felt that I've needed to do for a while now, and talking to Corey Harrell about some of his recent findings has renewed my interest in this effort, particularly as it applies to malware detection.

Understanding binary structures can be very helpful.  For example, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.lnk file illustrated in this write-up of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gauss malware.   If you parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information manually, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS specification...which should not be hard because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only 0xC3 bytes visible...you'll see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FILETIME time stamps for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target file are nonsense (Cheeky4n6Monkey got that, as well).  As you parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item ID list, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS specification, you'll see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first item is a System folder that points to "My Computer", and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second item is a Device entry whose GUID is "{21ec2020-3aea-1069-a2dd-08002b30309d}".  When I looked this GUID up online, I found some interesting references to protecting or locking folders, such as this one at LIUtilities, and this one at GovernmentSecurity.org.  I found this list of shell folder IDs, which might also be useful.

The final shell item, located at offset 0x84, is type 0x06, which isn't something that I've seen before.  But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up that explains in detail how this LNK file might be used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware for persistence or propagation, so this was just an interesting exercise for me, as well as for Cheeky4n6Monkey, who also worked on parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.lnk file manually.  So, why even bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r?  Well, like I said, it's extremely beneficial to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format of various binary structures, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason.  Have you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyanLab blog? No?  You should.  I've seen shortcut/LNK files with no LinkInfo block, only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell item ID list, that point to devices; as such, being able to parse and understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se...or even just recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...can be very beneficial if you're at all interested in determining USB storage devices that had been connected to a system.  So far, most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices that I have seen have been digital cameras and smart phone handsets.

Everything
Okay, right about now, you're probably thinking, "so what?"  Who cares, right?  Well, this should be a very interesting, if not outright important issue for DFIR analysts...many of whom want to see everything when it comes to analysis.  So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes...are you seeing everything?  When you run your tool of choice, is it getting everything?

Folks like Chris Pogue talk a lot about analysis techniques like "sniper forensics", which is an extremely valuable means for performing data collection and analysis.  However, let's take anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above question, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of sniper forensics...do you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you need?  If you don't know what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, how do you know?

If you don't know that Windows shortcut files include a shell item ID list, and what that data means, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n how can you evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of a tool that parses LNK files?  I'm using shell item ID lists as an example, simply because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're so very pervasive on Windows 7 systems...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're in shortcut files, Jump Lists, Registry value data.  They're in a LOT of Registry value data.  But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept applies to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspects of analysis, such as browser analysis.  When you're performing browser analysis in order to determine user activity, are you just checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history and cookies, or are you including Registry settings ("TypedURLs" key values for IE 5-9, and "TypedURLsTimes" key values on Windows 8), bookmarks, and session restore files?  When performing USB device analysis on Windows systems, are you looking for all devices, or are you using checklists that only cover thumb drives and external hard drives?

I know that my previous paragraph covers a couple of different levels of granularity, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point remains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same...are you getting everything that you need or want to perform your analysis?  Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool you're using get all system and/or user activity, or does it get some of it?

Can we ever know it all?
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR community is that, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, most of us seem to work in isolation.  We work our cases and exams, and don't really bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r too much with asking someone else, someone we know and trust, "hey, did I look at everything I could have here?" or "did I look at everything I needed to in order to address my analysis goals in a comprehensive manner?"  For a variety of reasons, we don't tend to seek out peer review, even after cases are over and done.

But you know something...we can't know it all.  No one of us is as smart or experienced as several or all of us working togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.  This can be close collaboration, face-to-face, or online collaboration through blogs, or sites such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ForensicsWiki, which makes a great repository, if it's used.

Choices
Finally, a word about choices in programming languages to use.  Some folks have a preference.  I've been using Perl for a long time, since 1999.  I learned BASIC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 '80s, as well as some Pascal, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-'90s, I picked up some Java as part of my graduate studies.  I know some folks prefer Python, and that's fine.  Some folks within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community would like to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are sharp divides between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two camps, that some who use one language detest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, as well as those who use it.  Nothing could be furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth.  In fact, I would suggest that this attempt to create drama where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is none is simply a means of masking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that some analysts and examiners simply don't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work that's actually being done.

Resources
Forensics from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sausage Factory - USN Change Journal
Security BrainDump - Post regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USN Change Journal
OpenFoundry - Free tools; page includes link to a Python script for parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $UsnJrnl:$J file

Tuesday, July 31, 2012

Links and Updates

Blogosphere
Cory Harrell has anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r valuable post up, this one walking through an actual root cause analysis.  I'm not going to steal Corey's thunder on this...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying motive...but suffice to say that performing a root cause analysis is critical, and it's something that can be done in an efficient manner.  There's more to come on this topic, but this sort of analysis needs to be done, it can be done effectively and efficiently, and if you don't do it, it will end up being much more expensive for you in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long run.

Jimmy Weg started blogging a bit ago, and in very short order has already posted several very valuable articles.  Jimmy's posts so far a very tutorial in nature, and provide a great deal of information regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of Volume Shadow Copies.  He has a number of very informative posts available, to include a very recent post on using X-Ways to cull evidence from VSCs.

Mari has started blogging, and her inaugural post sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bar pretty high.  I mentioned in this blog post that blogging is a great way to get started with respect to sharing DFIR information, and that even an initial blog post can lead to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research.  Mari's post included enough information to begin writing anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parser for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bing search bar artifacts, if you're looking to write one that presents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in a manner that's usable in your reporting format.

David Nides recently posted to his blog regarding what he discussed in his SANS Forensic Summit presentation.  David's post focuses exclusively on log2timeline as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sole means for creating timelines, as well as some of what he sees as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short-comings with respect to analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of Kristinn's framework.  However, that's not what struck me about David's post...racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, what caught my attention was statements such as, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average DFIR professional who is not familiar with CLI.

Now, don't think that I'm on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fence that feels that every DFIR "professional" must be well-versed in CLI tools.  Not at all.  I don't even think that it should a requirement that DFIR folks be able to program.  However, I do see something...off...about a statement that includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "professional" along with "not familiar with CLI".

I've worked with several analysts throughout my time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec field, and I've taught (and teach) a number of courses.  I have worked with analysts who have used *only* Linux, and done so at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command line...and I have engaged with paid professionals tasked with analysis work who are only able to use one commercial analysis framework.  So, while I am concerned by repeated statements in a post that seem to say, "...this doesn't work, because Homey don't play that...", I am also familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality of it.

Speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensic Summit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility blog has a new post up that is something of a different perspective on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event.  Sometimes it can be refreshing to get away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distractions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cartoons, and it's always a good idea to get different perspectives on events. 

Tools
The folks over at TZWorks have put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a number of new tools.  Their Jump List parser works for both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 *.automaticDestinations-ms Jump Lists and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 *.customDestinations-ms files, as well.  There's a Prefetch file parser, USB storage parser, and a number of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r very useful utilities freely available.  The utilities are very useful, and are available for a variety of platforms (Win32- and 64-bit, Linux, Mac OS X).

If you're not familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TZWorks.net site, take a look and bookmark it.  If you're downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools for use, be sure to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license agreement.  Remember, if you're reporting on your analysis properly, you're identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 versions) that you used, and relying on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools for commercial work may come back and bite you.

Andrew posted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ForensicsArtifacts.com site recently regarding MS Office Trust Records, which appear to be generated when a user trusts content via MS Office 2010.  Andrew, co-creator of Registry Decoder, pointed out that Mark Woan's RegExtract parses this information, and shortly after reading his post, I wrote a RegRipper plugin to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n created anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r version of that plugin to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in TLN format.  This information is very valuable, as it is an indicator of explicit user activity...when opening a document from an untrusted source, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user must click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Enable Editing" button that appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application in order to proceed with editing it.  Clearly, this requires some additional testing to determine actions that cause this artifact to be populated, etc., but for now, it clearly demonstrates user access to resources (i.e., network drives, external drives, files, etc.).  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited testing that I've done so far, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data appears to be when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document was created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, not when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user clicked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Enable Editing" button.  What I've done is downloaded a document (MS Word .docx) to my desktop via Chrome, recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date and time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file.  When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Enable Editing" button is present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warning ribbon at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document, I will wait up to an hour (sometimes more) to click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 button and record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I did so.  Once I do, I generally close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document.  I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reboot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and use FTK Imager to get a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER.DAT hive, and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin.  In every case so far, what I've seen is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key correlate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r evidenced by running "dir /tc".