Hashing von Programmdateien

BinHash von Chris Rohls berechnet die üblichen Prüfsummen wie MD5 und SHA-1 von Programmdateien in den Formaten ELF (Unix) und PE (Microsoft Windows). Im Gegensatz zu anderen Tools werden die Summen jedoch nicht über die ganze Datei, sondern für jeden Abschnitt gesondert berechnet und angezeigt. Der Autor nutzt es für den Vergleich von Schadsoftware, ich hatte derartiges für Zwecke der Speicheranalyse vorgeschlagen. 14.12.2011: Eine Kopie des Beitrags gibt es im Web Archiv.
Zumindest für die Speicheranalyse wäre es allerdings noch hilfreicher, die Hashes je Speicherseite zu berechnen. So könnte dann selbst noch das Artefakt einer einzelnen Seite einen Hinweis auf den ausgeführten Code geben. AAron Walters und Volatile Systems arbeiten nach eigener Aussage bereits mit dem US-amerikanischen Institute of Standards and Technology (NIST) zusammen, um die bekannte National Software Reference Library (NSRL) um feingranulare Hashes zu erweitern. Ein Problem bei dieser Erweiterung dürfte das um mehrere Größenordnungen steigende Datenvolumen sein. Ein Vorschlag von Harlan Carvey verspricht hier zumindest etwas Linderung: Für den angesprochenen Zweck reicht es nämlich aus, nur für die nicht als beschreibbar markierten Abschnitte der Programmdatei feingranulare Hashes zu erstellen. Bei den beschreibbaren Abschnitten wie dem Datensegment ist ohnehin davon auszugehen, dass sich ihr Inhalt im Arbeitsspeicher binnen kürzester Zeit ändert.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.