NSRLJP
NSRLJPはNSRL(http://www.nsrl.nist.gov/)を補完することを目的としたハッシュデータセット(ハッシュライブラリ)です。
ダウンロード
NSRLJP_202104.7z (SHA-256: ccf8cba3b4dbfd7c1252dbaaccbb661861794b205ad3a1d7884e785e12ca5d4d)
(ハッシュ数: 4,142,267, ファイルサイズ: 253,337,631バイト)
免責およびライセンス
個人、商用を問わず自由に利用することができます。ただし、本データセットの利用により生じた問題については責任を負いかねます。
説明
NSRLは数千万規模のハッシュが提供されていて定期的にアップデートされていますが、日本語環境には最適といえません。NSRLJPは、NSRLのフォーマット(RDS)準拠の日本語関連のソフトウェアを中心とするハッシュデータセットを提供します。NSRLの概要、フォーマットについてはNSRL RDSを参照してください。
データセット (NSRLJP_202104)
現在のNSRLJPに含まれるOS, アプリケーションのリストとハッシュ数です。不定期で更新します。
| No. | Name | ハッシュ数 | 備考(バージョン等) |
| 1 | Windows XP x64 | 10820 | |
| 2 | Windows XP x86 | 16080 | SP3 |
| 3 | Windows 2003 R2 x64 | 16593 | SP2 |
| 4 | Windows 2003 R2 x86 | 14562 | SP1 |
| 5 | Windows Vista x64 | 22242 | SP2 |
| 6 | Windows Vista x86 | 15437 | SP2 |
| 7 | Windows 7 x64 | 40687 | SP1 |
| 8 | Windows 7 x86 | 15687 | SP1 |
| 9 | Windows 2008 x64 | 41249 | SP2 |
| 10 | Windows 2008 R2 x64 | 9335 | SP1 |
| 11 | Windows 8 x64 | 16145 | |
| 12 | Windows 8 x86 | 13000 | |
| 13 | Windows 8.1 x64 | 22199 | Update |
| 14 | Windows 8.1 x86 | 19690 | Update |
| 15 | Windows 2012 x64 | 45842 | |
| 16 | Windows 2012 R2 x64 | 56929 | Update |
| 17 | Windows 2016 | 64060 | |
| 18 | Windows 10 x64 | 382617 | 1511, 1607, 1703, 1709, 1803, 1809, 1903, 1909, 2004, 20H2 |
| 19 | Windows 10 x86 | 240783 | 1511, 1607, 1703, 1709, 1803, 1809, 1903, 1909, 2004, 20H2 |
| 20 | Windows 2019 | 47623 | アップデート(2019/03) 含む |
| 21 | Office XP | 4468 | SP3 |
| 22 | Office 2003 | 2210 | SP1 |
| 23 | Office 2007 | 2736 | SP2 |
| 24 | Office 2010 | 13680 | SP2 |
| 25 | Office 2013 | 11757 | SP1 |
| 26 | Office 2019 | 4036 | |
| 27 | .NET Framework 2.x | 491 | v2.0 |
| 28 | .NET Framework 3.x | 872 | v3.0, 3.5 |
| 29 | .NET Framework 4.x | 61429 | v4.0, 4.5-4.5.2, 4.6-4.6.2, 4.7-4.7.2, 4.8 |
| 30 | .NET5.x | 1896 | |
| 31 | Windows Update 2006 | 8765 | |
| 32 | Windows Update 2007 | 17145 | 2007年3月分を除く |
| 33 | Windows Update 2008 | 19329 | 2008年3月分を除く |
| 34 | Windows Update 2009 | 36100 | 2009年5月分を除く |
| 35 | Windows Update 2010 | 59359 | 2010年11月分を除く |
| 36 | Windows Update 2011 | 68074 | |
| 37 | Windows Update 2012 | 78872 | 2012年9月分を除く |
| 38 | Windows Update 2013 | 128707 | |
| 39 | Windows Update 2014 | 425330 | |
| 40 | Windows Update 2015 | 430520 | |
| 41 | Windows Update 2016 | 174312 | 1-8月分 |
| 42 | Google Chrome | 3489 | 73.0.3683.103-88.0.4324.104 |
| 43 | Firefox | 70894 | 0.8-87.0 |
| 44 | Thunderbird | 49973 | 0.4-78.9.1 |
| 45 | Opera | 5117 | 6.01-12.17 |
| 46 | Adobe Reader | 176609 | 6.x-11.0.23, 2015(-1500630527), DC(-2001320064), 2017(-1701130180), 2020(-2000130010) |
| 47 | Explzh | 1105 | 6.06, 7.01-7.78, 8.17.4, 8.30-8.39 |
| 48 | Lhaz | 153 | 1.36, 2.1.3, 2.2.4, 2.4.0, 2.5.1, 3.3.0, 3.4.0, 3.5.1 |
| 49 | Forefront Client Security | 585 | |
| 50 | Hidemaru Editor | 1898 | 4.19-8.97 |
| 51 | Hidemaru Mail | 298 | 6.01-6.98 |
| 52 | Sakura Editor | 324 | 1.6.1.0-1.6.6.0, 2.0.4.0-2.2.0.1 |
| 53 | Terapad | 44 | 1.00-1.09 |
| 54 | “Lhaca” | 10 | 0.76, 0.97, 1.24 |
| 55 | “Lhaplus” | 26 | 1.71-1.74 |
| 56 | WSUS Offline | 1170074 | 2019/05/06, 2021/04/09時点 |
| Total | 4142267 |
別々のOSやアプリケーションでも、MD5, SHA-1の両方が同一であるファイルについては、これらは完全に同じファイルであるとみなしハッシュデータセット生成時にいずれか1つにのみ割り当てています。上記のハッシュ数はこの処理をかけた後の値です。
使い方
NSRLJPはNSRLのフォーマット(RDS)に準拠しているため、基本的にはNSRLのインポートに対応しているツールで使うことができます。以下のツールで動作することを確認しています。
- X-ways Forensics
- Autopsy 4.x
- Magnet AXIOM 4.x
また、動作確認まではしていませんが、OSForensics, FTK, md5deepもNSRLのインポートをサポートしているため使用可能と思われます。
NSRLとNSRLJPの比較例
デフォルト設定でインストールした各環境のイメージに対して、(1)NSRL, (2)NSRLJP, (3)NSRL+NSRLJPを適用した場合に一致するファイル数を比較しました。以下が比較結果です。
|
環境 |
全ファイル数 |
(1) NSRL |
(2) NSRLJP |
(3) NSRL+NSRLJP |
|
Windows 10 Pro (x64) JP |
140370 |
10875 |
99662 |
99924 |
|
Windows 7 Ultimate SP1 (x64) JP |
68995 |
16244 |
68059 |
68076 |
|
Windows Server 2008 Standard SP1 (x64) JP |
64805 |
12350 |
53256 |
53547 |
|
Windows XP Professional SP3 (x86) JP |
11050 |
5507 |
8170 |
8420 |
上記の環境はインストール直後に近い状態であり、NSRLJPを使うことにより大半のファイルが一致しています。ただ、NSRLにも一般的なアプリケーションのデータセットが膨大に含まれているため、実調査ではNSRLとNSRLJPを併用することにより、さらなる効果の向上が見込めます。
ハッシュ解析(ハッシュライブラリとの比較)は古くから用いられている手法ですが、ファイル数の増大状況からもわかるように、データサイズだけでなくファイル数も大幅に増加していく傾向にあるため、今後もフォレンジック分野にとって不可欠な基礎技術であるといえます。
更新履歴
2021/04/24 (NSRLJP_202104 - ハッシュ数: 4,142,267 / ファイルサイズ: 253,337,631バイト)
Windows 10 (1909, 2004, 20H2)、Windows 2019 (Update 2019/03)、Google Chromeを追加しました。その他のメジャーアプリケーションは2021/04/09時点の最新バージョンまでを含めています。
2019/05/18 (NSRLJP_201905 - ハッシュ数: 3,718,659 / ファイルサイズ: 228,100,979バイト)
Windows 10 (1803, 1809, 1903)、Windows 2019を追加しました。その他のメジャーアプリケーションは2019/05/06時点の最新バージョンまでを含めています。
2018/02/12 (NSRLJP_201802 - ハッシュ数: 2,993,931 / ファイルサイズ: 180,917,699バイト)
Windows 10 (1703, 1709)、Windows 2016を追加しました。その他のメジャーアプリケーションは2018/02/05時点の最新バージョンまでを含めています。なお、Windows UpdateのISOイメージ提供が終了したため、今回からはWSUS Offline Updateを使って取得した更新プログラムを対象に追加しています。
2016/09/20 (NSRLJP_201609 - ハッシュ数: 2,309,928 / ファイルサイズ: 158,073,246バイト)
Windows 10 (1511), Windows 10 Anniversary Update(1607)、.NET Framework 4.6.1, 4.6.2、2016年8月までのWindows Updateを新たに追加し、その他のメジャーアプリケーションは2016/09/15時点の最新バージョンまでを含めています。
2015/08/14 (NSRLJP_201508_rev2 - ハッシュ数: 1,659,348 / ファイルサイズ: 114,136,669バイト)
正しくないレコードが入っていたため、X-Ways ForensicsでMD5ハッシュのインポートをする際にエラーが発生していた点を修正しています。
2015/08/11 (NSRLJP_201508)
Windows 10, .NET Framework 4.5.2, 4.6, Lhaca, Lhaplus, 2015年7月までのWindows Updateを新たに追加し、その他のメジャーアプリケーションは2015/8/3時点の最新バージョンまでを含めています。
2014/08/10 (NSRLJP_201408 - ハッシュ数: 1,096,364 / ファイルサイズ: 75,095,909バイト)
Windows 8.1/2012R2 Update, Office 2013 SP1, Office 2010 SP2, .NET Framework 3.5, 4.0, 4.5.1, 2014年7月までのWindows Update, Forefront Client Security, 日本でシェアの高いテキストエディタ(秀丸、サクラエディタ等) を新たに追加し、その他のメジャーアプリケーションは2014/8/9時点の最新バージョンまでを含めています。
2014/01/22 (NSRLJP_201401 - ハッシュ数: 532,923 / ファイルサイズ: 38,245,480バイト)
Windows 8.1、Windows 2008 R2、Windows 2012 R2を新たに追加し、メジャーアプリケーションは2014/1時点の最新バージョンまでを含めています。また、Windows更新プログラム類は言語非依存(ENU, NEU)のプログラムも多かったため、それらもNSRLJPに含めました。
2013/08/03 (NSRLJP_201308 - ハッシュ数: 401,211 / ファイルサイズ: 28,657,266バイト)
Windows更新プログラム類(http://support.microsoft.com/kb/913086/ja)やAdobe, Firefoxなどのメジャーなアプリケーションプログラムの日本語版のハッシュライブラリを追加し、データセット一覧を更新しています。
2013/01/27 (NSRLJP_201301 - ハッシュ数: 284,419 / ファイルサイズ: 20,673,998バイト)
Windows 8/2012, Office XP/2003/2007/2010/2013, .NET 2.0/3.0/4.5の各日本語版のハッシュライブラリを追加して、NSRLJP_201301としてアップデートしました。