Den Nationale Software Reference Bibliotek har i første omgang været designet til at støtte computer forensics eksperter i efterforskningen af forbrydelser, der vedrører computere.
Det består af en liste på næsten 40 millioner filer og hashes, der bruges til at lette processen med at afgøre, beviser ved at udelukke filer fra den undersøgelse, som findes på listen. Det er en whitelist, så at tale om “gode” filer, der ikke behøver at blive analyseret for de kriminaltekniske beviser.
Databasen blev ikke i første omgang er tilgængeligt online. Kun Cd ‘ er, der indeholder de data, der blev tilbudt på projektets hjemmeside. Dette gjorde det umuligt at bruge for alle, der ønskede at se op et enkelt fil eller hash.
Internet Storm Center (ISC) har konverteret den fulde sæt af hashes i et online program, der kan kontrolleres på ny Finde En Hash beta-test website.
Opdatering: projektet er flyttet, kan du finde det på Github nu. Du kan downloade kildekoden eller en binær til Windows.
Databasen på ikke-ondsindet software programmer og filer, der består af 39,944,023 prøver. Understøttet søge efter filnavne og SHA1 eller MD5 hashes.
Vi bruger version 2.27 (December 2009). Du kan søge efter SHA1 eller MD5 hashes. Der er ingen Windows 7 hashes endnu. NIST har en Knoppix bootbar CD, der kan bruges til at indsamle hashes. Vi er interesseret i at tilføje flere kilder af hashes og ville være interesseret i dine hash-samling, hvis du har den ene at tilbyde. Bemærk: NIST NSRL database omfatter kun hashes af filer fra den oprindelige installation medier. I øjeblikket, ingen lappet versioner er inkluderet. Som et resultat, din hash kan afvige, hvis der bestemt fil blev lappet sammen efter den oprindelige udgivelse.
Ud over at NIST databasen, har vi også køre en test på baggrund af Team Cymru Hash-Registreringsdatabasen. Det dækker malware. Hvis der findes et match, vil vi lægge et link til den pågældende side på Threatexpert.com (kun for MD5 hashes lige nu).
Den koncentration, der er den oprindelige installation medier og kun uændrede filer gør databasen ikke er muligt for mange anvendelser, men udvikleren er spurgt til hash bidrag til at forbedre databasen.
Den nyeste version for slutbrugerne er et kommandolinje-program. Brug kommandoen nsrllookup /? for at komme i gang. Det viser listen over tilgængelige parametre. Du kan også bruge programmet i forbindelse med software såsom hashdeep som pegede ud på projektets hjemmeside.
Det er nok ikke noget, de fleste pc-brugere vil have brug for. Men hvis du er nødt til at analysere en mappe fuld af filer eller endda en hel computer system, du kan finde de funktioner det indeholder nyttige for det.