NSRLJP

RDS準拠のデータセットを生成する方法として、NSRL KnoppixというブートCDがNISTで提供されています。

NSRL Knoppix
http://www.nsrl.nist.gov/NARA/NSRL_Knoppix.iso

このブートCDを使えば、取得対象のファイルを含むディスクを接続した状態でperlで実装されたnara.plを実行することにより、NSRLFile.txtを生成することができます。利点はzip, tar, gz, cab, rpm, debなどの圧縮系のファイルは展開した状態でのハッシュも取得できる点です。一方、欠点として以下が挙げられます。

NSRL(National Software Reference Library)はアメリカ国立標準技術研究所(NIST: National Institute of Standards and Technology)主導のプロジェクトです。様々なソフトウェアのハッシュ値で構成される参照用データセット(RDS: Reference Data Set)を作成し、調査対象のファイルと照合することにより調査の信頼性、効率の向上を実現しています。

RDSのフォーマットは下記のホワイトペーパーで解説されています。

Data Formats of the NSRL Reference Data Set (RDS) Distribution
http://www.nsrl.nist.gov/Documents/Data-Formats-of-the-NSRL-Reference-Data-Set-16.pdf

以下はAutopsy 3.xでNSRLJPを使うための手順です。

ツール - オプションのメニューを開いて、Hash DatabaseタブのImport Databa...のボタンをクリックします。

Browseの項目でNSRLJPのNSRLFile.txtを指定します。Select the type of databaseの項目はNSRLを選択してEnable for ingestにもチェックを入れてOKを押します。