HashKeeper

HashKeeper

HashKeeper est une application de base de données ayant pour objectif premier d'aider à la criminalistique informatique (computer forensic en anglais).

Cette application a été créée en 1996 par le National Drug Intelligence Center, une composante du Département de la Justice des États-Unis.

Présentation

HashKeeper utilise l'algorithme de signature MD5 pour établir des identifiants numériques uniques (hash values) pour des fichiers "connus pour être bons" et "connus pour être mauvais".

L'application HashKeeper a été développée pour réduire le nombre d'heures nécessaires pour examiner des disques durs saisis par la justice. Il permet à un analyste d'examiner un fichier une seule fois, un processus qui prend, au mieux, une trentaine de secondes, et ne plus jamais avoir à refaire cette analyse du même fichier s'il se retrouve dans d'autres disques durs.

HashKeeper compare les valeurs Hash de fichiers "connus pour être bons" avec celles des fichiers des disques dur de l'ordinateur saisi. Quand ces valeurs sont identiques, l'analyste peut affirmer, avec une certitude statistique que ces fichiers dont déjà été examinés et ont été déclarés comme "connus pour être bons", et n'ont donc pas besoin d'être réexaminés, épargnant ainsi une trentaine de secondes. Cela peut paraître peu, mais sur un ordinateur comportant 200.000 fichiers, si la moitié sont "connus pour être bons" (fichiers systèmes, fichiers installés par des programmes, ...), cela permet d'économiser 100.000 x 30 secondes = 833 heures, soit 104 journées de travail (de 8 heures/jour).

Quand les valeurs Hash des fichiers de l'ordinateur saisi correspondent à celles de fichiers "connus pour être mauvais", l'analyste peut affirmer, encore avec une certitude statistique, que ces fichiers sont mauvais et nécessitent donc une analyse plus poussée. De plus, l'analyste sait qu'au moins une autre agence dans le monde a été en contact avec les mêmes fichiers. Ceci peut indiquer la présence d'un réseau de personnes partageant ces fichiers "connus pour être mauvais".

Ces données fournies par HashKeeper sont utilisées par des programmes d'investigation numérique légale tel qu'EnCase.

Il existe une autre source de données pour les signatures numériques de fichiers. Il s'agit de la National Software Reference Library.

Disponibilité

HashKeeper est disponible gratuitement pour les forces de l'ordre, les militaires et d'autres agences gouvernementales à travers le monde. Il est disponible pour le public aux USA en envoyant une demande de "Freedom of Information Act" au National Drug Intelligence Center américain (NDIC).


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article HashKeeper de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать курсовую

Regardez d'autres dictionnaires:

  • HashKeeper — is a database application of value primarily to those conducting forensic examinations of computers on a somewhat regular basis. Overview HashKeeper uses the MD5 file signature algorithm to establish unique numeric identifiers (hash values) for… …   Wikipedia

  • National Drug Intelligence Center — The U.S. National Drug Intelligence Center (NDIC), established in 1993, is a component of the U.S. Department of Justice and a member of the Intelligence Community. The General Counterdrug Intelligence Plan, implemented in February 2000,… …   Wikipedia

  • List of digital forensics tools — During the 1980s, most of digital forensic investigations consisted of live analysis , examining digital media directly using non specialist tools. In the 1990s several commercial and freeware tools (both hardware and software) were created to… …   Wikipedia

  • Hash function — A hash function is any well defined procedure or mathematical function for turning some kind of data into a relatively small integer, that may serve as an index into an array. The values returned by a hash function are called hash values, hash… …   Wikipedia

  • Computer forensics — Forensic science Physiological sciences …   Wikipedia

  • National Software Reference Library — Abbreviation NSRL Type GO Parent organization NIST Website …   Wikipedia

  • Fingerprint (computing) — In computer science, a fingerprinting algorithm is a procedure that maps an arbitrarily large data item (such as a computer file) to a much shorter bit string, its fingerprint, that uniquely identifies the original data for all practical… …   Wikipedia

  • Database forensics — Forensic science Physiological sciences …   Wikipedia

  • Digital forensic process — A Tableau forensic write blocker The Digital forensic process is a recognised scientific and forensic process used in digital forensics investigations.[1][2] Forensics researcher Eoghan Casey …   Wikipedia

  • Digital forensics — Forensic science Physiological sciences …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”