Die National Software Reference Library wurde zunächst entwickelt, um zu helfen computer-Forensik-Experten bei der Ermittlung von Straftaten beinhalten Computern.
Es besteht aus einer Liste von fast 40 Millionen Dateien und hashes, die verwendet werden, zu lindern, den Prozess der Ermittlung von Beweismitteln durch den Ausschluss von Dateien aus der Untersuchung, die auf der Liste gefunden. Es ist eine whitelist, so zu sprechen, in der “gut” – Dateien, die nicht analysiert werden müssen, die für forensische Beweise.
Die Datenbank war zunächst nicht zugänglich, online. Nur CDs mit den Daten-sets angeboten wurden, auf der Webseite des Projekts. Dies machte es für undurchführbar für alle, die wollten, um eine einzelne Datei oder hash.
Das Internet Storm Center (ISC) konvertiert hat, den vollen Satz von hashes in eine online-Anwendung, die überprüft werden kann, auf der neuen Find-Ein-Hash-beta-Test-website.
Update: Das Projekt ist umgezogen, Sie finden es auf Github jetzt. Sie können den Quellcode herunterladen oder binary für Windows.
Die Datenbank von nicht-böswillige software-Programme und Dateien aus 39,944,023 Proben. Unterstützt werden die Suche nach Dateinamen und die SHA1-oder MD5-hashes.
Wir sind mit der version 2.27 (Dezember 2009). Sie können suchen, SHA1-oder MD5-hashes. Es gibt keine Windows 7-hashes noch nicht. NIST bietet eine Knoppix bootfähige CD, die verwendet werden können, zu sammeln hashes. Wir sind daran interessiert, hinzufügen von mehr Quellen von hashes und wäre daran interessiert, Ihre hash-Sammlung, wenn Sie haben eine zu bieten. Hinweis: Die NIST NSRL-Datenbank enthält nur hashes von Dateien aus dem original-Installationsmedium. Derzeit ist keine gepatchten Versionen enthalten sind. Als Ergebnis, Ihrer hash unterscheiden kann, wenn die betreffende Datei wurde gepatcht nach dem ursprünglichen release.
Neben der NIST-Datenbank, führen wir auch einen test gegen das Team Cymru Hash-Registrierung. Es deckt malware. Wenn eine übereinstimmung gefunden wird, veröffentlichen wir einen link zu der jeweiligen Seite an Threatexpert.com (nur für MD5-hashes jetzt).
Die Konzentration auf die ursprünglichen Installationsmedien und nur ungepatchte Dateien wird die Datenbank nicht praktikabel für viele Verwendungen, aber der Entwickler bittet hash Beiträge zur Verbesserung der Datenbank.
Die neueste version für Endbenutzer ist eine Befehlszeile-Anwendung. Verwenden Sie den Befehl nsrllookup /? um begonnen zu erhalten. Es zeigt die Liste der verfügbaren Parameter. Sie können das Programm auch verwenden in Verbindung mit software wie hashdeep wie bereits auf der website des Projekts.
Es ist wahrscheinlich nicht etwas, das meisten computer-Nutzer haben eine Verwendung für. Allerdings, wenn Sie haben zu analysieren, ein Verzeichnis voller Dateien oder sogar die gesamte computer-system, finden Sie möglicherweise die Funktionalität, die es bietet für diesen nützlichen.