Windows Forensic Analysis Toolkit This page intentionally left blank Windows Forensic Analysis Toolkit Advanced Analysis Techniques for Windows 7 Harlan Carvey Technical Editor Jennifer Kolde AMSTERDAM • BOSTON • HEIDELBERG • LONDON NEW YORK • OXFORD • PARIS • SAN DIEGO SAN FRANCISCO • SINGAPORE • SYDNEY • TOKYO Syngress is an imprint of Elsevier Acquiring Editor: Chris Katsaropoulos Development Editor: Heather Scherer Project Manager: Jessica Vaughan Designer: Alisa Andreola Syngress is an imprint of Elsevier 225 Wyman Street, Waltham, MA 02451, USA Copyright © 2012 Elsevier Inc. All rights reserved No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or any information storage and retrieval system, without permission in writing from the Publisher. Details on how to seek permission, further information about the Publisher’s permissions policies, and our arrangements with organizations such as the Copyright Clearance Center and the Copyright Licensing Agency, can be found at our website: www.elsevier.com/permissions. This book and the individual contributions contained in it are protected under copyright by the Publisher (other than as may be noted herein). Notices Knowledge and best practice in this field are constantly changing. As new research and experience broaden our understanding, changes in research methods or professional practices may become necessary. Practitioners and researchers must always rely on their own experience and knowledge in evaluating and using any information or methods described herein. In using such information or methods they should be mindful of their own safety and the safety of others, including parties for whom they have a professional responsibility. To the fullest extent of the law, neither the Publisher nor the authors, contributors, or editors assume any liability for any injury and/or damage to persons or property as a matter of products liability, negligence or otherwise, or from any use or operation of any methods, products, instructions, or ideas contained in the material herein. Library of Congress Cataloging-in-Publication Data Carvey, Harlan A. Windows forensic analysis toolkit advanced analysis techniques for Windows 7 / by Harlan Carvey. p. cm. Includes bibliographical references. ISBN 978-1-59749-727-5 1. Computer crimes—Investigation—United States—Methodology. 2. Microsoft Windows (Computer file)—Security measures. 3. Computer networks—Security measures. 4. Internet— Security measures. 5. Computer security. I. Title. HV8079.C65C3726 2012 363.259968—dc23 2011043150 British Library Cataloguing-in-Publication Data A catalogue record for this book is available from the British Library ISBN: 978-1-59749-727-5 Printed in the United States of America 11 12 13 14 15 10 9 8 7 6 5 4 3 2 1 For information on all Syngress publications, visit our website at www.syngress.com. To Terri and Kylie—you are my light and my foundation. This page intentionally left blank Contents Preface �����������������������������������������������������������������������������������������������������������������������xi Acknowledgments ��������������������������������������������������������������������������������������������������xvii About the Author �����������������������������������������������������������������������������������������������������xix About the Technical Editor �������������������������������������������������������������������������������������xxi CHAPTER 1 Analysis Concepts ...................................................1 Introduction ��������������������������������������������������������������������������������������������������������1 Analysis Concepts ����������������������������������������������������������������������������������������������3 Windows Versions �����������������������������������������������������������������������������������������4 Analysis Principles ����������������������������������������������������������������������������������������6 Documentation ��������������������������������������������������������������������������������������������15 Convergence ������������������������������������������������������������������������������������������������16 Virtualization �����������������������������������������������������������������������������������������������17 Setting Up an Analysis System ������������������������������������������������������������������������19 Summary ����������������������������������������������������������������������������������������������������������22 CHAPTER 2 Immediate Response .............................................23 Introduction ������������������������������������������������������������������������������������������������������23 Being Prepared to Respond ������������������������������������������������������������������������������24 Questions �����������������������������������������������������������������������������������������������������25 The Importance of Preparation��������������������������������������������������������������������28 Logs �������������������������������������������������������������������������������������������������������������31 Data Collection ������������������������������������������������������������������������������������������������36 Training �������������������������������������������������������������������������������������������������������39 Summary ����������������������������������������������������������������������������������������������������������40 CHAPTER 3 Volume Shadow Copies .........................................43 Introduction ������������������������������������������������������������������������������������������������������43 What Are “Volume Shadow Copies”?��������������������������������������������������������������44 Registry Keys ����������������������������������������������������������������������������������������������45 Live Systems ����������������������������������������������������������������������������������������������������46 ProDiscover �������������������������������������������������������������������������������������������������49 F-Response ��������������������������������������������������������������������������������������������������50 Acquired Images ����������������������������������������������������������������������������������������������52 VHD Method �����������������������������������������������������������������������������������������������54 vii viii Contents VMWare Method�����������������������������������������������������������������������������������������58 Automating VSC Access �����������������������������������������������������������������������������62 ProDiscover �������������������������������������������������������������������������������������������������64 Summary ����������������������������������������������������������������������������������������������������������67 Reference ���������������������������������������������������������������������������������������������������������67 CHAPTER 4 File Analysis .........................................................69 Introduction ������������������������������������������������������������������������������������������������������70 MFT �����������������������������������������������������������������������������������������������������������������70 File System Tunneling ���������������������������������������������������������������������������������76 Event Logs �������������������������������������������������������������������������������������������������������78 Windows Event Log ������������������������������������������������������������������������������������82 Recycle Bin ������������������������������������������������������������������������������������������������������85 Prefetch Files ���������������������������������������������������������������������������������������������������88 Scheduled Tasks �����������������������������������������������������������������������������������������������92 Jump Lists ��������������������������������������������������������������������������������������������������������95 Hibernation Files ��������������������������������������������������������������������������������������������101 Application Files ��������������������������������������������������������������������������������������������102 Antivirus Logs �������������������������������������������������������������������������������������������103 Skype ���������������������������������������������������������������������������������������������������������104 Apple Products ������������������������������������������������������������������������������������������105 Image Files ������������������������������������������������������������������������������������������������106 Summary ��������������������������������������������������������������������������������������������������������108 References ������������������������������������������������������������������������������������������������������109 CHAPTER 5 Registry Analysis ................................................111 Introduction ����������������������������������������������������������������������������������������������������112 Registry Analysis �������������������������������������������������������������������������������������������112 Registry Nomenclature ������������������������������������������������������������������������������113 The Registry as a Log File ������������������������������������������������������������������������114 USB Device Analysis ��������������������������������������������������������������������������������115 System Hive ����������������������������������������������������������������������������������������������128 Software Hive ��������������������������������������������������������������������������������������������131 User Hives �������������������������������������������������������������������������������������������������139 Additional Sources ������������������������������������������������������������������������������������148 Tools ����������������������������������������������������������������������������������������������������������150 Summary ��������������������������������������������������������������������������������������������������������153 References ������������������������������������������������������������������������������������������������������153 Contents ix CHAPTER 6 Malware Detection ..............................................155 Introduction ����������������������������������������������������������������������������������������������������156 Malware Characteristics ���������������������������������������������������������������������������������156 Initial Infection Vector�������������������������������������������������������������������������������158 Propagation Mechanism ����������������������������������������������������������������������������160 Persistence Mechanism �����������������������������������������������������������������������������162 Artifacts �����������������������������������������������������������������������������������������������������165 Detecting Malware �����������������������������������������������������������������������������������������168 Log Analysis����������������������������������������������������������������������������������������������169 Antivirus Scans �����������������������������������������������������������������������������������������173 Digging Deeper �����������������������������������������������������������������������������������������177 Seeded Sites ����������������������������������������������������������������������������������������������191 Summary ��������������������������������������������������������������������������������������������������������193 References ������������������������������������������������������������������������������������������������������193 CHAPTER 7 Timeline Analysis ................................................195 Introduction ����������������������������������������������������������������������������������������������������196 Timelines ��������������������������������������������������������������������������������������������������������196 Data Sources����������������������������������������������������������������������������������������������198 Time Formats ��������������������������������������������������������������������������������������������199 Concepts ����������������������������������������������������������������������������������������������������200 Benefits ������������������������������������������������������������������������������������������������������202 Format �������������������������������������������������������������������������������������������������������204 Creating Timelines �����������������������������������������������������������������������������������������210 File System Metadata ��������������������������������������������������������������������������������211 Event Logs ������������������������������������������������������������������������������������������������217 Prefetch Files ���������������������������������������������������������������������������������������������221 Registry Data ���������������������������������������������������������������������������������������������222 Additional Sources ������������������������������������������������������������������������������������224 Parsing Events into a Timeline ������������������������������������������������������������������225 Thoughts on Visualization �������������������������������������������������������������������������228 Case Study �����������������������������������������������������������������������������������������������������229 Summary ��������������������������������������������������������������������������������������������������������232 CHAPTER 8 Application Analysis............................................233 Introduction ����������������������������������������������������������������������������������������������������233 Log Files ��������������������������������������������������������������������������������������������������������235 Dynamic Analysis ������������������������������������������������������������������������������������������236
Description: