NSRLJPはNSRL(http://www.nsrl.nist.gov/)を補完することを目的としたハッシュデータセット(ハッシュライブラリ)です。NSRLは数千万規模のハッシュが提供されていて定期的にアップデートされていますが、日本語環境には最適といえません。NSRLJPは、NSRLのフォーマット(RDS)準拠の日本語関連のソフトウェアを中心とするハッシュデータセットを提供します。NSRLの概要、フォーマットについてはNSRL RDSを参照してください。
[ダウンロード]
NSRLJP_201109.zip (ハッシュ数: 187,430、ファイルサイズ: 13,817,931バイト、MD5: 32fd2e1f64deaaf27fdb1ece5c4e2ceb)
[免責およびライセンス]
個人、商用を問わず自由に利用することができます。ただし、本データセットの利用により生じた問題については責任を負いかねます。
[データセット構成]
現在のNSRLJPに含まれるOS, アプリケーションのリストです。不定期で更新します。
- Windows 7 Ultimate SP1 (x64/x86) JP
- Windows Server 2008 Datacenter SP2 (x64) JP
- Windows Vista Ultimate SP2 (x64/x86) JP
- Windows Server 2003 R2 Standard SP2 (x64/x86) JP
- Windows XP Professional SP3 (x86) JP
別々のOSやアプリケーションでもMD5, SHA-1の両方が同一であるファイルがある場合、これらは完全に同じファイルであるとみなしハッシュデータセット生成時には1つにまとめています。
[使い方]
NSRLJPはNSRLのフォーマット(RDS)に準拠しているため、基本的にはNSRLのインポートに対応しているツールで使うことができます。以下のツールで動作することを確認しています。
- EnCase 6.x
- X-ways Forensics
- The Sleuth Kit/Autopsy
- OSForensics
また、動作確認まではしていませんが、FTK, PyFlagもNSRLのインポートをサポートしているため使用可能と思われます。
[NSRLとNSRLJPの比較例]
デフォルト設定でインストールした各環境のイメージに対して、(1)NSRL, (2)NSRLJP, (3)NSRL+NSRLJPを適用した場合に一致するファイル数を比較しました。以下が比較結果です。
| 環境 | 全ファイル数 | (1) NSRL | (2) NSRLJP | (3) NSRL+NSRLJP |
| Windows 7 Ultimate SP1 (x64) JP | 68995 | 16244 | 68059 | 68076 |
| Windows Server 2008 Standard SP1 (x64) JP | 64805 | 12350 | 53256 | 53547 |
| Windows XP Professional SP3 (x86) JP | 11050 | 5507 | 8170 | 8420 |
上記の環境はインストール直後に近い状態であり、NSRLJPを使うことにより大半のファイルが一致しています。ただ、NSRLにも一般的なアプリケーションのデータセットが膨大に含まれているため、実調査ではNSRLとNSRLJPを併用することにより、さらなる効果の向上が見込めます。
ハッシュ解析(ハッシュライブラリとの比較)は古くから用いられている手法ですが、XPと2008/7のファイル数の比較からもわかるように、データサイズだけでなくファイル数も大幅に増加していく傾向にあるため、今後もフォレンジック分野にとって不可欠な基礎技術であると考えられます。
