NSRLJP

NSRL RDS

NSRL(National Software Reference Library)はアメリカ国立標準技術研究所(NIST: National Institute of Standards and Technology)主導のプロジェクトです。様々なソフトウェアのハッシュ値で構成される参照用データセット(RDS: Reference Data Set)を作成し、調査対象のファイルと照合することにより調査の信頼性、効率の向上を実現しています。

RDSのフォーマットについては、2021年にVersion 3(v3)が発表されましたが、それまで長い間Version 2(v2)で運用されていたこともあり、2024年現在でも多くのフォレンジックツールはRDSv2形式を想定しており、RDSv3をv2に変換して利用しています。

本ページでは初めにv2のフォーマット、構成を簡単に説明し、その後v3での変更点を紹介します。

タグ

NSRLJP Script

RDS準拠のデータセットを生成する方法として、NSRL KnoppixというブートCDがNISTで提供されています。

NSRL Knoppix
http://www.nsrl.nist.gov/NARA/NSRL_Knoppix.iso

このブートCDを使えば、取得対象のファイルを含むディスクを接続した状態でperlで実装されたnara.plを実行することにより、NSRLFile.txtを生成することができます。利点はzip, tar, gz, cab, rpm, debなどの圧縮系のファイルは展開した状態でのハッシュも取得できる点です。一方、欠点として以下が挙げられます。

タグ

Import NSRLJP into Autopsy

以下はAutopsy 3.xでNSRLJPを使うための手順です。

ツール - オプションのメニューを開いて、Hash DatabaseタブのImport Databa...のボタンをクリックします。

NSRLJP Autopsy 01

Browseの項目でNSRLJPのNSRLFile.txtを指定します。Select the type of databaseの項目はNSRLを選択してEnable for ingestにもチェックを入れてOKを押します。

タグ