Home Dicas Entendendo o deNISTing em Perícia Digital

Entendendo o deNISTing em Perícia Digital

por - TI Forense

Um processo importante e muito usado no processamento de evidências digitais é o deNISTing, antes de continuar vamos desmembrar a palavra. Note que quando faço uso do termo as letras N-I-S-T estão em maiúscula, isto é intencional pois o termo é uma referência direta ao NIST – National Institute of Standards and Technology órgão que como o próprio nome infere atua na definição de padrões de tecnologia. O NIST é ligado ao Departamento de Comércio do Governo Federal Americano.

Um dos projetos do NIST é a NSRL – National Software Reference Library Project que é uma extensa biblioteca que cataloga somas criptográficas ( hash ) de softwares conhecidos como arquivos de sistemas operacionais, de suítes de escritório e muitos outros.

Mas então o que é este deNISTing ?

Quando fazemos o processamento de uma mídia digital nós podemos usar esta base de hash’es para “eliminar” esses arquivos conhecidos e diminuir a malha de arquivos que precisaremos analisar. Na suíte forense que estivermos utilizando eles ficaram marcados como arquivos inócuos.

Entenda que este processo não remove todos os arquivos mas somente aqueles que estão nesta base do NSRL como por exemplo arquivos DLL e EXE que já vem com o sistema operacional Windows da Microsoft.

A comparação é feita gerando o hash de cada arquivo na imagem forense criada e comparando com o hash da base do NIST/NSRL que precisa ser incorporada a suíte forense em uso. O Autopsy por exemplo possui esta facilidade presente em Opções > Hash Database, aqui podem ser importadas bases de hash’s que você possua.

Técnica Inversa

Além de eliminar arquivos conhecidos, técnica que é muito útil você também pode ter uma base de hash’s de arquivos que são sabidamente nocivos e aí utilizar esta base para procurar arquivos idênticos na mídia analisada.

Os conceitos abordados aqui são relativamente simples, contudo, num momento oportuno vou demonstrar com o Autopsy como funcionam na prática cada uma dessas técnicas.

Artigos Similares

Deixe seu comentário