Ayant été confronté à ce problème, j’ai pris un peu de temps pour générer les empreintes numériques MD5 des systèmes d’exploitation XP, Vista et de quelques logiciels courants qu’on trouve habituellement sur la plupart des disques durs. Elles sont disponibles en téléchargement au format X-ways forensic (MD5 plain text).

Les logiciels hashés au 27 février 2009 sont :

• Windows XP professionnel
• Windows Vista intégrale
• Adobe Acrobat reader 8
• Microsoft office 2003 professionnel
• Microsoft office 2007
• Daemon tools 4.3
• Ulead DVD movie factory
• Logiciels d’origine pour laptops toshiba
• Logiciels et pilotes ATI

Bien évidemment, ça fait très peu par rapport à l’ensemble des logiciels existants. Quoi qu’il en soit, l’exclusion de tous ces hashes lors de l’examen d’un disque dur standard m’a souvent permis de diviser par deux le nombre de fichiers à examiner. Je vous encourage donc fortement à les télécharger et à les inclure dans votre logiciel d’investigation favori. Je tâcherai d’enrichir régulièrement cette base de hashes pour y inclure des logiciels supplémentaires. Si vous avez des idées quant aux logiciels à ajouter, n’hésitez pas à le suggérer en commentaire.

Quoique plusieurs formats de bases de données soient utilisables en fonction du logiciel d’investigation employé (NSLR, hashkeeper), la plupart d’entre-eux sont capables d’importer des hashes au format texte brut. Si tel n’était pas le cas, des logiciels de conversion de format sont téléchargeables librement sur Internet.

Télécharger hashes-md5-fr-090227.zip (1Mo)