Contents xvii
Dr. Watson Logs . . . . . . . . . . . . . . . . . . . . . . . . . . .219
Crash Dump Files . . . . . . . . . . . . . . . . . . . . . . . . . .220
Recycle Bin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221
System Restore Points . . . . . . . . . . . . . . . . . . . . . . . . .224
Rp.log Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224
Change.log.x Files . . . . . . . . . . . . . . . . . . . . . . . . .225
Prefetch Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .226
Shortcut Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
File Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230
Word Documents . . . . . . . . . . . . . . . . . . . . . . . . . . . .232
PDF Documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
Image Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
File Signature Analysis . . . . . . . . . . . . . . . . . . . . . . . . .240
NTFS Alternate Data Streams . . . . . . . . . . . . . . . . . . .241
Creating ADSes . . . . . . . . . . . . . . . . . . . . . . . . . . .243
Enumerating ADSes . . . . . . . . . . . . . . . . . . . . . . . .244
Using ADSes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Removing ADSes . . . . . . . . . . . . . . . . . . . . . . . . . .249
ADS Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . .250
Alternative Methods of Analysis . . . . . . . . . . . . . . . . . . . . .250
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .258
Chapter 6 Executable File Analysis . . . . . . . . . . . . . . . . . 261
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262
Static Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262
Documenting the File . . . . . . . . . . . . . . . . . . . . . . . . .263
Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265
The PE Header . . . . . . . . . . . . . . . . . . . . . . . . . . .268
Import Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
Export Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
Dynamic Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .287
Testing Environment . . . . . . . . . . . . . . . . . . . . . . . . . .288
Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
423_Win_Foren_TOC.qxd 3/26/07 1:05 PM Page xvii