NSRL + Fuzzy Hashes

Com o objetivo de melhorar a rotina de trabalho dos profissionais de Computação Forense, sobretudo das forças mantenedoras da lei, o NIST criou um repositório de software chamado de National Software Reference Library (NSRL).

Neste repositório é mantida atualizada uma base de message digests (hashes) de arquivos de sistemas disponíveis no mercado, tais como sistemas operacionais, aplicativos e outros softwares (veja lista completa). Dessa forma, ao iniciar uma análise, os peritos podem comparar os hashes de arquivos do disco analisado com a base do NSRL, o que proporciona rapidez na detecção de arquivos conhecidos.

Anteriormente, a biblioteca somente era disponibilizada com base nos algoritmos de hashing comuns, como o MD5. Com as implementações de fuzzy hashing disponíveis ao público, como é o caso do ssdeep (vide post anterior: Fuzzy Hashing na prática), tornou-se possível criar a mesma biblioteca com base nessa tecnologia.

Mais informações para download da biblioteca podem ser encontradas aqui.