20/11/2023 19:33 Autopsy User Documentation: Hash Database Lookup Module

Module de recherche de base de données de hachage

Qu'est ce que ça fait

Le module de recherche de base de données de hachage calcule les valeurs de hachage MD5 pour les fichiers et recherche les valeurs de
hachage dans une base de données pour déterminer si le fichier est connu comme étant mauvais, connu (en général) ou inconnu.

Configuration
La fenêtre Gestion de la base de données de hachage vous permet de définir et de mettre à jour les informations de votre base de données
de hachage. Les bases de données de hachage sont utilisées pour identifier les fichiers « connus ».

Les bons fichiers connus sont ceux qui peuvent être ignorés en toute sécurité. Cet ensemble de fichiers comprend fréquemment des
fichiers de système d'exploitation et d'application standard. Ignorer ces fichiers sans intérêt pour l’enquêteur peut réduire
considérablement le temps d’analyse des images.
Les fichiers connus mauvais (également appelés notables) sont ceux qui devraient attirer l’attention. Cet ensemble varie en fonction du
type d’enquête, mais les exemples courants incluent les images de contrebande et les logiciels malveillants.

Mauvais hashsets notables/connus

L'autopsie permet de définir plusieurs bases de données de hachage incorrectes connues. Autopsy prend en charge les formats suivants :

EnCase : un fichier de hachage EnCase.

MD5sum : résultat de l'exécution du programme md5, md5sum ou md5deep sur un ensemble de fichiers.
NSRL : Le format de la base de données NSRL.
HashKeeper : fichier Hashset conforme au standard HashKeeper.

Ajout de jeux de hachage

L'autopsie a besoin d'un index du hashset pour utiliser réellement une base de données de hachage. Il peut créer l'index si vous importez
uniquement le hashset. Lorsque vous sélectionnez la base de données dans cette fenêtre, elle vous indiquera si l'index doit être créé.
Autopsy utilise le système de gestion de base de données de hachage de The Sleuth Kit. Vous pouvez créer manuellement un index à l'aide
de l'outil de ligne de commande 'hfind' ou vous pouvez utiliser Autopsy. Si vous essayez de procéder sans indexer une base de données,
Autopsy vous proposera de produire automatiquement un index pour vous. Vous pouvez également spécifier uniquement le fichier d'index et
ne pas utiliser le hashset complet : le fichier d'index est suffisant pour identifier les fichiers connus. Cela peut économiser de l'espace. Pour ce
faire, spécifiez le fichier .idx dans la fenêtre Hash Database Management.

Utiliser des jeux de hachage

Il existe un module d'ingestion qui hachera les fichiers et les recherchera dans les jeux de hachage. Il signalera les fichiers qui se trouvaient
dans le hashset notable et ces résultats seront affichés dans l'arborescence des résultats de Tree Viewer . D'autres modules d'ingestion sont
capables d'utiliser l'état connu d'un fichier pour décider s'ils doivent ignorer le fichier ou le traiter. Vous pouvez également voir les résultats
dans la fenêtre Recherche de fichiers . Il existe une option pour choisir le « statut connu ». À partir de là, vous pouvez effectuer une
recherche pour voir tous les fichiers « défectueux connus ». À partir de là, vous pouvez également choisir d'ignorer tous les fichiers « connus
» trouvés dans le NSRL. Vous pouvez également voir l'état du fichier dans une colonne lorsque le fichier est répertorié.

NIST NSRL
Autopsy can use the NIST NSRL to detect 'known files'. The NSRL contains hashes of 'known files' that may be good or bad depending on
your perspective and investigation type. For example, the existence of a piece of financial software may be interesting to your investigation
and that software could be in the NSRL. Therefore, Autopsy treats files that are found in the NSRL as simply 'known' and does not specify
good or bad. Ingest modules have the option of ignoring files that were found in the NSRL.

To use the NSRL, you may download a pre-made index from http://sourceforge.net/projects/autopsy/files/NSRL. Download the NSRL-XYZm-
autopsy.zip (where 'XYZ' is the version number. As of this writing, it is 247) and unzip the file. Use the "Tools", "Options" menu and select the
"Hash Database" tab. Click "Import Database" and browse to the location of the unzipped NSRL file. You can change the Hash Set Name if
desired. Select the type of database desired, choosing "Send ingest inbox message for each hit" if desired, and then click "OK".

https://sleuthkit.org/autopsy/docs/user-docs/4.3/hash_db_page.html 1/4
20/11/2023 19:33 Autopsy User Documentation: Hash Database Lookup Module

The screenshot below shows an imported NSRL.

https://sleuthkit.org/autopsy/docs/user-docs/4.3/hash_db_page.html 2/4
20/11/2023 19:33 Autopsy User Documentation: Hash Database Lookup Module

Using the Module

Ingest Settings
When hashsets are configured, the user can select the hashsets to use during the ingest process.

https://sleuthkit.org/autopsy/docs/user-docs/4.3/hash_db_page.html 3/4
20/11/2023 19:33 Autopsy User Documentation: Hash Database Lookup Module

Seeing Results
Results show up in the tree as "Hashset Hits", grouped by the name of the hash set.

Copyright © 2012-2016 Basis Technology. Generated on Mon Apr 24 2017

This work is licensed under a Creative Commons Attribution-Share Alike 3.0 United States License.

https://sleuthkit.org/autopsy/docs/user-docs/4.3/hash_db_page.html 4/4