現在NSRLJPを生成する際には手製の簡易スクリプト(gen_nsrljp.sh)を使ってRDS v2形式の結果を作成しています。スクリプトに圧縮系のファイルの展開を組み込む処理は実装しておらず、別のツールを使うなどして事前に展開しています。NSRLFile.txtの作成手順は以下の通りです。
$ bash gen_nsrljp.sh -p 製品コード -o OSコード 取得対象ディレクトリ > NSRLFile.txt
製品コードやOSコードを記載したNSRLMfg.txt, NSRLOS.txt, NSRLProd.txtは事前に手動で作っており、それらの製品コード、OSコードをオプションで指定してスクリプトを実行します。
NSRL(National Software Reference Library)はアメリカ国立標準技術研究所(NIST: National Institute of Standards and Technology)主導のプロジェクトです。様々なソフトウェアのハッシュ値で構成される参照用データセット(RDS: Reference Data Set)を作成し、調査対象のファイルと照合することにより調査の信頼性、効率の向上を実現しています。
RDSのフォーマットについては、2021年にVersion 3(v3)が発表されましたが、それまで長い間Version 2(v2)で運用されていたこともあり、2024年現在でも多くのフォレンジックツールはRDSv2形式を想定しており、RDSv3をv2に変換して利用しています。
本ページでは初めにv2のフォーマット、構成を簡単に説明し、その後v3での変更点を紹介します。
以下はAutopsy 3.xでNSRLJPを使うための手順です。
ツール - オプションのメニューを開いて、Hash DatabaseタブのImport Databa...のボタンをクリックします。
Browseの項目でNSRLJPのNSRLFile.txtを指定します。Select the type of databaseの項目はNSRLを選択してEnable for ingestにもチェックを入れてOKを押します。