Meine geschätzter Kollege Sebastian Krause weilt gerade auf der CEIC in Las Vegas (jetzt bitte an dieser Stelle keinen Neid aufkommen lassen, bitte!). Es gibt ja bereits einige Wrap Ups der aktuellen Sessions beispeilsweise über die forensische Analyse von MAC-Rechnern – mit MAC oder ohne MAC, etwas zum Thema Vista und Bitlocker usw. Sebastian berichtet nun von einem spannenden Vortrag von Simon Key über Block based Hashes mit EnCase:
Wenn man die Hashes von bekannten Dateien in einem Hash-Set gespeichert hat, kann man mit dem EnScript im freien Speicherbereich eines Images nach teilweisen oder ganzen Übereinstimmungen suchen. Das Skript gibt dann unter anderem an, wie viele Blöcke mit dem Original übereinstimmen. Der Ansatz von ssdeep ist damit quasi in einem EnScript umgesetzt worden. Da das ganze auf den freien Speicherbereich abzielt, möchte Simon Key das aber zum Fuzzy Hashing abgrenzen, bei dem zwei existente Dateien verglichen werden. Ist natürlich super für die Suche nach Fragmenten von Bildchen geeignet, um zu belegen, ob diese jemals auf einem System gespeichert waren.
„Normale“ Hash- oder auch Signatur-Suchen werden weiterhin nötig sein. Die hier beschriebene Methode dient der Suche nach fragmentierten gelöschten Dateien, die mittels Signatursuche nicht auffindbar und recoverbar sind.
Link zum EnScript und den Folien.
…
Link zum Script und Folie unreachable 🙁
…
…
Nur noch über SSL erreichbar – benötigt aber Zugangsdaten 🙁
…