Miss Identify

Jesse Kornblum (Autor von ssdeep und md5deep) hat eine neues hilfreiches Forensik-Werkzeug veröffentlicht. Mit Miss Identify kann ein Ermittler in einem gemounteten Image schnell und einfach ausführbare Dateien anhand der PE-Header identifzieren. Dies ist z.B. hilfreich, um versteckte ausführbare Dateien zu aufzufinden.

Beispieloutput:

C:\> missidentify -ar c:\windows\system32
...
C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\System32\ntoskrnl.exe
C:\WINDOWS\System32\NEVER-GONNA-CATCH-ME.EXE
C:\WINDOWS\System32\ntver.dll
...

Download

2 thoughts on “Miss Identify”

  1. Klar, sollten die „klassischen“ Forensik-Tools dies auch können. Die Vergangenheit zeigte aber, dass sich diese auch überrumpeln lassen. Lange Zeit wurde z.B. nur die Dateiendung für die Identifikation des Dateityps benutzt.
    Miss Identify ist kein Ersatz für die anderen Forensik-Tools, sondern kann zusätzlich und unkompliziert eingesetzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.