Daily Blog #99: Sunday Funday 9/29/13 Winner!

Hello Reader,
        Another challenge has found a victor! Congratulations to Steve M who provided this weeks best answer and really did a good job going into depth.  Next week get ready for a full forensic image challenge and read what Steve M has to say today and next year when it appears in print in Hacking Exposed: Computer Forensic 3rd Edition!

The Challenge:
Your suspect has a Windows XP system and you evidence from the User Assist records that he ran CCleaner a month ago, but the count shows it has been run multiple times before. Write out what your methodology would be to determine:

• If system cleaning took place
• If wiping took place
• What is now missing

The Winning Answer:

From Steve M
The UserAssist key on the suspected system indicates CCleaner was run one month ago, but the count indicates it has been run more than once.  Here is how I would answer the questions outlined in the contest:

1) If system cleaning took place

System Cleaning, by default, will remove files from  several locations including browser specific Temporary Internet Files, Cookies, and histories.  The date of last execution specified in the UserAssist registry key can be considered a checkpoint, for which we can investigate if the system activity only appears to happen after the date.  For example, if the suspect system only has cookies being created after the date CCleaner was last run, it would serve as a strong indicator that system cleaning took place.

To determine the options enabled when CCleaner was last run, I would look at "HKCU\Software\Piriform\CCleaner" for the user who last used the software.  Each option has a registry key that enables/disables the checkbox in the GUI, and would be a good indicator of what options were run the last time the application was used.  It is completely possible the suspect modified the settings for the last run or enabled/disabled settings without actually performing a clean, so these should not be considered hard evidence.

To determine if the user had run system cleaning based on disk contents, I would look for the presence (and contents) of the following files:

Internet Explorer:
C:\Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\index.dat & subdirectories
C:\Documents and Settings\\Cookies
C:\Documents and Settings\\Local Settings\History\History.IE5

Chrome:
C:\Documents and Settings\\Local Settings\Application Data\Google\Chrome\User Data\

FireFox:
C:\Documents and Settings\\Local Settings\Application Data\Mozilla\Firefox\Profiles\\cookies.sqlite
C:\Documents and Settings\\Local Settings\Application Data\Mozilla\Firefox\Profiles\\downloads.sqlite
C:\Documents and Settings\\Local Settings\Application Data\Mozilla\Firefox\Profiles\\places.sqlite
C:\Documents and Settings\\Local Settings\Application Data\Mozilla\Firefox\Profiles\\search.sqlite

These artifacts can be investigated using commercial products (Internet Evidence Finder, ChromeAnalysis Plus, Encase) or free tools (Redline, Galleta, Pasco).  Presence only of files created after the CCleaner execution date would indicate the system cleaning took place.  Lack of files or directories would warrant further investigation to determine if the system is commonly used for web browsing.

Additionally, by default CCleaner will clear certain Windows logs as well.  Specifically, logs in C:\Windows\system32\wbem\logs can be inspected to see the earliest entries.  If the earliest entries all appear after the last execution time of CCleaner, it is likely these logs were wiped via the system cleaning process as well.

2) If wiping took place

CCleaner offers a free space wiping utility as well, which will identify all unallocated clusters and fill them with "0"'s (nulls).  To identify this has been performed, a low level disk analysis tool can be used (Encase, dd, etc).  Specifically, viewing the a hex dump of the contents of any unallocated clusters will show them as containing null characters instead of miscellaneous undeleted data.  While some of the wiped clusters may now have data from activity after the running of the CCleaner tool, it is unlikely the majority of them will given today's large capacity disks.  Therefore, viewing several unallocated clusters at random should give a good indication if they have been zero'd out or not.

Additionally, CCleaner appears to store the settings used upon last execution in "HKCU\Software\Piriform\CCleaner", so the investigator could extract the suspect user's registry hive and search for "(App)Wipe Free Space" to see if the checkbox is checked or not (it is "False" by default, meaning "wipe free space" is disabled).  Also, the investigator could potentially launch the CCleaner.exe executable on a mirror copy of the drive as the user who last executed it and determine if "Wipe Free Space" was checked (it is not by default).  This would provide good confidence if the data agreed, but itself would not be substantial to say that wiping had been performed since you don't need to complete the action for the preference to persist.

3) What is now missing

Assuming CCleaner was run to perform system cleaning and wipe free space on the sole physical disk drive, important artifcacts regarding browsing history, system restore points, and deleted but not overwritten files may now be unrecoverable.  Therefore, it may be much more dificult for an investigator to find the information they are looking for (as per the product's intentions).  However, some of these artifacts may be recovered by examining the system's pagefile (stored in memory during the execution of CCleaner, then flushed to disk), slack space on the disk (not overwritten by "wipe free space"), off-device backups to either a network storage device or external media, and proxy solutions which are typically deployed in an enterprise.  The analysis will be harder, but not necessarily impossible.

this morning i found $3 on my desk which meant i was destine to go to starbucks and get coffee....when i got into my car i heard this song for the first time and thought how sweet is that....i decided that it was going to be a good day....hope y'all have a great start to the week.

Sejumlah Tempat Wisata di Solo yang Direkomendasikan

Kota Solo atau yang dikenal juga dengan nama Surakarta merupakan sebuah kota asri yang terletak di proponsi Jawa Tengah dan seringkali dijadikan sebagai daerah tujuan wisata oleh beberapa orang yang ingin menghabiskan waktu liburan mereka. Tak ayal jika beberapa tempat wisata di Solo penuh sesak oleh pengunjung di setiap minggunya. Kebanyakan dari wisatawan yang memilih untuk berlibur ke Solo merupakan wisatawan yang mempertimbangkan kenyamanan selama berlibur mengingat Solo adalah kota yang begitu tenang dan sudah dilengkapi dengan berbagai kuliner yang ekonomis dan bisa memanjakan lidah. Selain itu, akomodasi penginapan di kota ini terbukti lebih terjangkau daripada kota lainnya di Jawa Tengah.

Beberapa Tempat Wisata Di Solo Yang Indah Nan Asri

Bagi anda para wisatawan yang bingung akan menghabiskan waktu liburan kemana, mungkin harus mencoba untuk berlibur ke kota yang satu ini. Ya, kota Solo memang terbilang merupakan tempat wisata primadona yang bisa memberikan efek relaksasi bagi anda yang sudah penat dengan lingkungan kota besar. Jika anda berminat untuk berwisata ke tempat ini, ada baiknya jika anda membekali diri terlebih dahulu dengan seputar pengetahuan tentang berbagai lokasi tempat wisatanya.

Adapun beberapa tempat wisata di Solo yang bisa anda kunjungi selama disana antara lain:

Tawangmangu 

Daerah wisata yang pertama ini terletak di kaki gunung Lawu. Beberapa keunikan yang ditawarkan oleh Tawangmangu tidak lain adalah udara yang masih dingin dan segar, apalagi jika anda merasakannya di malam hari, maka anda akan merasakan sensasi udara khas desa yang jauh berbeda dengan suhu udara di kota-kota besar. Selain itu, mata anda akan dimanjakan dengan berbagai panorama indah yang akan terasa lebih lengkap dengan pemandangan bukit, ladang, dan sejumlah aktivitas petani yang membuat tempat ini sangat cocok sebagai sarana pelepas penat bagi anda. Kita bisa melihat berbagai pertanian dan jika anda sedang beruntung anda akan melihat suasana panen berbagai komoditas pertanian seperti wortel, sawi, lobak dan strawberry.

Di Tawangmangu ada ikon wisata yang sangat terkenal yaitu Grojogan Sewu. Grojogan sewu artinya air terjun seribu yang memiliki keindahan alam yang eksotis. Di Grojogan Sewu Anda bisa menikmati pemandangan air terjun yang mengucur dari ketinggian 81 meter. Hawa sejuk dari air terjun dan suara gemuruh air benar-benar membuat hati merasa menyatu dengan alam. Di daerah ini juga disediakan berbagai sarana penunjang lain seperti flying fox, outbond, arung jeram mini, pemancingan, playground dan lain-lain.

Pandawa Water World Solo Baru

Tempat wisata di Solo yang satu ini bisa dikatakan sebagai tempat wisata kelas dunia yang terletak di wilayah Solo Baru, Sukoharjo. Objek wisata yang pembangunannya menelan budget yang tidak sedikit ini menyuguhkan keindahan taman dunia air yang lebih condong pada wisata outdoor yang penuh petualangan. Saat memasuki pintu masuknya saja, anda akan merasakan atmosfer Indonesia yang sangat kental dengan adanya dunia perwayangan berukuran jumbo serta patung pandawa lima yang berdiri megah.

Water park ini  menyuguhkan berbagai wahana basah-basahan yang sangat layak untuk dicoba. Wahana tersebut diantaranya, perosotan black hole yaitu perosotan air yang ada area dimana anda tidak bisa melihat apapun di depan anda. Sangat cocok untuk memacu adrenalin Anda. Jika anda ingin mencoba yang lebih ringan cari perosotan biasa saja dan disarankan untuk pemula memakai ban untuk keamanan ketika mendarat di kolam renang. Anda juga bisa menikmati aliran sungai pandawa yaitu anda berada di atas ban mengelilingi area wisata Pandawa dengan mengikuti aliran air sungai. Ada juga gelombang buatan yang sesekali muncul seperti halnya di laut dan ada juga air yang muncul dari dalam tanah. Selain itu ada juga kolam kecil yang mengeluarkan gelembung-gelembung kecil yang bisa digunakan untuk merilekskan badan seperti di spa.

Komplek Makam Astana Giri Bangun

Jika anda menginginkan wisata sejarah, kota Solo juga menyediakannya. Tempat tersebut tidak lain yakni komplek pemakaman keluarga presiden penguasa Orde Baru, Soeharto. Lokasi pemakaman mewah nan luas ini berada di lereng Gunung Lawu sebelah barat, tepatnya di daerah Karangbangun, Matesih, Karanganyar. Tepat si bawah komplek pemakaman para petinggi Pura Mangkunegaran Surakarta yang diberi nama Astana Mangadeg.

Sekian ulasan tentang beberapa tempat wisata di Solo, semoga bermanfaat

Negara-negara Komunis yang pernah ada di Asia

     Sekarang di asia hanya tersisa 4 negara komunis yaitu China, Laos, Vietnam, dan Korea utara, namun dahulu ada lebih banyak lagi negara-negara komunis yang sekarang telah berubah haluan politiknya, berikut diantaranya..

1. Republik Rakyat Mongolia (RRM)

     Republik Rakyat Mongolia adalah negara komunis di Asia Tengah yang eksis dari tahun 1924 sampai tahun 1992. Negara ini dikuasai oleh Partai Revolusionalis Rakyat Mongolia dan tetap setia pada sekutu Sovietnya sepanjang sejarah Republik Rakyat Mongolia.

2. Yaman Selatan

    Merupakan sebuah negara yang didirikan pada tahun 1967 di tempat yang kini adalah wilayah selatan negara Yaman. Yaman Selatan adalah satu-satunya negara komunis di Timur Tengah. Yaman Selatan bersatu dengan Yaman Utara pada 22 Mei 1990 untuk membentuk Republik Yaman.

3. Republik Demokratik Kamboja

     Republik ini eksis pada tahun 1975 sampai 1979 , ketika Kamboja dikuasai pemerintahan kediktatoran totaliter komunis dibawah pimpinan Pol Pot dan Partai Komunis Kamboja . Pemerintahannya dimulai dengan jatuhnya Republik Khmer dan rezim Lon Nol , dan berakhir dengan Invasi Vietnam ke Kamboja yang menghasilkan kemenangan Vietnam yang menbuat jatuhnya rezim Pol Pot dan digantikan dengan Republik Rakyat Kamboja.

4. Republik Demokratik Afganistan

     Republik Demokratik Afganistan merupakan sebuah pemerintahan komunis yang berkuasa di Afganistan dari tahun 1978 sampai tahun 1992. Republik ini baik secara ideologi dekat dan secara ekonomi bergantung kepada Uni Soviet, yang juga merupakan prontagonis dalam Perang Saudara Afganistan. Pada April 1992, Kabul jatuh ketangan mujahidin dan pemerintahan komunis runtuh.

Sumber: http://id.wikipedia.org/

Resep terbaru Memasak Bayam tetap Sehat

Resep
terbaru memasak bayam tentu harus tepat menjaga nutrisi dan kandungan gizi yang
ada dalam syaruran tersebut. Perlu anda ketahui bahwa Bayam adalah jenis
sayuran yang memiliki kandungan Serat, Vitamin E Dan C, Zat Besi, Flavonoid,
Mangan, Zinc, dan kandungan gizi yang lain. Sayur Bayam juga bermanfaat untuk
percernaan, mencegah sembelit dan menjaga kadar gula dalam darah tetap stabil.