Cuando queremos ver que un ordenador no ha sido comprometido, necesitamos alguna manera de comprobar que los ficheros que residen en el mismo son los originales, en especial aquellos que pertenecen al sistema operativo. Si calculanmos un hash del cada fichero somos capaces de ver si es original o ha sido modificado, y podremos centrar nuestro análisis forense en aquellos ficheros, que teniendo que estar en el sistema han sido modificados.
El NIST americano, a través del proyecto National Software Reference Library. tiene una base de datos de ejecutables que nos podemos encontrar en diferentes sistemas operativos. Si calculamos el hash de cualquier ejecutable, podremos verificar contra la base de datos si es correcta, si existe o si ha sido modificada. Esta base de datos se puede bajar de manera gratuita para facilitar los análisis forenses y ocupa actualmente cuatro CDROMS.
Para facilitar las consultas el ISC ha publicado una interfaz web, Find a Hash, a través de la cual podemos buscar los hash de los ficheros que introduzcamos, o bien buscar un hash para ver al fichero que corresponde. De la misma manera, no sólo consulta la base de datos del NRSL, sino que también consulta la base de datos de malware de Team Cymru, permitiendo de esta manera saber si nos encontramos ante un fichero ejecutable que puede ser un troyano o un virus.
No hay comentarios:
Publicar un comentario