Den Nationella Program Referens Bibliotek har ursprungligen utformats för att stöd csi-experter i utredningen av brott som involverar datorer.
Den består av en lista med nästan 40 miljoner filer och hashar som används för att lindra processen för att fastställa bevis genom att utesluta filer från den utredning som finns på listan. Det är en vitlista så att säga “bra” – filer som inte behöver analyseras för kriminaltekniska bevis.
Databasen var ursprungligen inte tillgänglig på nätet. Endast Cd-skivor som innehåller de uppgifter som erbjöds på projektets hemsida. Detta gjorde det omöjligt att använda för alla som ville titta upp en enda fil eller hash.
Internet Storm Center (ISC) har omvandlats full uppsättning av hash-värden i ett online-program som kan kontrolleras på nytt Hitta En Hash-beta-testning webbplats.
Uppdatering: projektet har gått, du hittar det på Github nu. Du kan ladda ner källkoden eller en binär för Windows.
Databasen av icke-skadliga program och filer består av 39,944,023 prover. Som stöds är att söka efter filnamn och SHA1 eller MD5-hashar.
Vi använder version 2.27 (December 2009). Du kan söka efter SHA1 eller MD5-hashar. Det finns ingen Windows 7-hashar ännu. NIST har en Knoppix startbar CD som kan användas för att samla in hashar. Vi är intresserade av att lägga till fler källor för hashar och skulle vara intresserade av din hash samling, om du har något att erbjuda. Obs: NIST NSRL databasen endast innehåller hashar av filer från ursprungliga installera media. För närvarande finns inga lappat versioner ingår. Som ett resultat, ditt hash kan skilja sig om att viss fil var lappat efter den ursprungliga utgåvan.
I tillägg till DNS-databasen, måste vi också köra en test mot Laget Cymru Hash-Registret. Det omfattar skadlig kod. Om en matchning hittas vi kommer att skicka en länk till respektive sida på Threatexpert.com (bara för att MD5-hashar just nu).
Koncentrationen på ursprungliga installera media och endast unpatched filer gör databasen detta inte är möjligt för många användningsområden, men för utvecklare är att be för hash-bidrag för att förbättra databasen.
Den senaste versionen för slutanvändare är ett kommando i programmet. Använd kommandot nsrllookup /? för att komma igång. Det visar listan över tillgängliga parametrar. Du kan också använda programmet i samband med program som hashdeep som pekade ut på projektets hemsida.
Det är förmodligen inte något som de flesta datoranvändare kommer att ha användning för. Dock, om du har för att analysera en katalog full av filer eller en hel dator, du kan hitta den funktionalitet som den ger användbar för detta.