SSdeep Version 1.1

Jesse Kornblum hat die erste öffentliche Version seines neuen Programms SSdeep freigegeben. Mit SSdeep lassen sich basierend auf Hashwerten Ähnlichkeiten zwischen Dateien erkennen.

Üblicherweise werden Hashes im Ganzen über eine Datei gebildet. Auch geringe Unterschiede führen dabei zu einer deutlichen Änderung des Hashwertes. Hier ein Beispiel mit md5sum:

>md5sum Test-?.doc
75a8b77cb359fe86fbb8756a03c7a7c1 *Test-1.doc
0cfc87d3ac1ed8639c80c18b54e77311 *Test-2.doc

SSdeep hingegen berechnet die Hashwerte abschnittsweise:

>ssdeep -v -l Test-?.doc
ssdeep,1.0--blocksize:hash:hash,filename
48:r7NkWKwK5/CrCC6CCyFc71/49cqZx3I4oPm0LGgrwzOyAe:f20FINBqAVu0LGgrcr,"Test-1.doc"
48:r7NkWu16C5GVeCrCC6CCyFc71/49nqdRo9HI4onm0rRaqErwzOYAe:fK1voVZFINCqdiWVm0rRaqErch,"Test-2.doc"

Damit kann nun auch der Grad der Ähnlichkeit zweier Dateien bestimmt werden:

>ssdeep -v -l -p Test-?.doc
Test-1.doc matches Test-2.doc (68)

Weitere Informationen enthält der Vortrag von Jesse Kornblum auf dem DFRWS 2006. Das Programm wird auch im CyperSpeak Podcast vom 30. Juli 2006 besprochen.

15.08.2006: Der Volltext von Jesse Kornblums Aufsatz über Fuzzy Hashing ist kostenlos auf der Website des DFRWS erhältlich.

07.10.2006: Jesse Kornblum beschreibt als weitere Beispiele die Suche nach Ähnlichkeiten in Quellcodes und die Zuordnung abgeschnittener Dateien zur Originaldatei.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.