Jesse Kornblum (Autor von ssdeep und md5deep) hat eine neues hilfreiches Forensik-Werkzeug veröffentlicht. Mit Miss Identify kann ein Ermittler in einem gemounteten Image schnell und einfach ausführbare Dateien anhand der PE-Header identifzieren. Dies ist z.B. hilfreich, um versteckte ausführbare Dateien zu aufzufinden.
Beispieloutput:
C:\> missidentify -ar c:\windows\system32 ... C:\WINDOWS\System32\ntdll.dll C:\WINDOWS\System32\ntoskrnl.exe C:\WINDOWS\System32\NEVER-GONNA-CATCH-ME.EXE C:\WINDOWS\System32\ntver.dll ...
Loading ...
Machen alle forensiche Software (FTK, X-Ways, ILook, nCase) nicht desselbe? Was für Sinn mach das?
Klar, sollten die “klassischen” Forensik-Tools dies auch können. Die Vergangenheit zeigte aber, dass sich diese auch überrumpeln lassen. Lange Zeit wurde z.B. nur die Dateiendung für die Identifikation des Dateityps benutzt.
Miss Identify ist kein Ersatz für die anderen Forensik-Tools, sondern kann zusätzlich und unkompliziert eingesetzt werden.