unbekannter ADS -> RDS : NSRL Reference Data Set? Einstellungen

[Gast_Beobachter_*]

Hallo Leute,

Ich habe heut bei meinem Windows7 System einen verdächtigen ADS entdeckt, der an "c:Windows" angehängt war. Bei upload bei Virustotal
ergab als Hinweis dies

MD5 : 529917fa550eea5a8cc0db00ca803e2b
SHA1 : 0588a5c17d46c2b67fd4708adf9ad675cef15c71
SHA256: 1f783b232a5e1890dde9855defd2f58096b53dac28b3eac6cf588cd04c8f174f
TrID : File type identification
Unknown!
ssdeep: 3:ol2Rvlt/:VJv
PEiD : -
RDS : NSRL Reference Data Set

weitere Recherchen brachten mich zu dieser Seite

http://www.nsrl.nist.gov/

kann mir jemand das mal erklären bitte? Ansonsten bin ich ganz schnell wieder bei XP.

mfg Beobachter

Der Beitrag wurde von Manu bearbeitet: 02.01.2010, 01:59

[Gast_Beobachter_*]

hier noch was...

http://www.thefreelibrary.com/NIST+release.......-a093988319

http://www.tecchannel.de/sicherheit/news/2...etzt_microsoft/

da kann man ja gleich den ganzen Rechner offenlegen und zum FBI Beamten sagen bitteschön


Kann bitte mal jemand auf seinem Win7 gegenprüfen, ob er diesen ADS auch hat???

Der Beitrag wurde von Beobachter bearbeitet: 30.12.2009, 13:32

[Gast_ahora2010_*]

ist das nicht sowas wie dieses relevant knowledge, was teilweise auch als spyware bemängelt wird ???

[KHL64]

Hallo Beobachter,
gib mal bitten den genauen Pfad an.

KHL64



-----------
System: Dell XPS 8000,Prozessor: Intel i7 860 2,80 GHz,Grafik: Nvidia GeForce GTS 240(1024 MB),RAM:Samsung 4096 MB DDR3 Festplatte:Western Digital 320 GB,TFT: AOC 2230 (22")

[Gast_Beobachter_*]

Dieser ADS hängt direkt an meinem Systemverzeichnis

also -> "C:\Windows"

mfG Beobachter

[Ford Prefect]

Habe nur kurz mit Dir /r geschaut - da kann ich unter win7X86 nichts finden.

[Gast_Joerg_*]

Windows 7 32bit Home Premium: Kein ADS an C:\windows (lt. "Streams" von Sysinternals).

[Gast_Beobachter_*]

@Ford Perfekt zeigt der Dir Befehl den überhaupt ADS an?

mfg Beobachter

[Ford Prefect]

@Ford Perfekt zeigt der Dir Befehl den überhaupt ADS an?

mfg Beobachter

Jo - sollte er ab vista aufwärts zumindest.

Gruß
Ford

[Julian]

Bei mir unter Seven x64 ebenfalls nichts (*Überraschung*).

OT:
Sorry, aber müssen Überschriften auf Bild-Niveau sein?

[dragonmale]

Hallo Beobachter,
jetzt mal abgesehen davon, woher dieser ADS stammt (bei mir gibt es nichts dergleichen), scheinst Du bei dem VirusTotal-Ergebnis

[...]
da kann man ja gleich den ganzen Rechner offenlegen und zum FBI Beamten sagen bitteschön

wohl etwas falsch zu interpretieren -> sende einfach mal eine andere Datei zu VirusTotal und dann such' mal spaßeshalber, in dem neuen Ergebnis, nach folgender

RDS : NSRL Reference Data Set

Zeile ... ich denke mal, dass Du dann ebenso fündig werden wirst

[Gast_Beobachter_*]

@All

ich habe hier etwas dazu gefunden, und das beunruhigt mich noch mehr. Klar ist das kein Trojaner/Malware. Darum geht es auch gar nicht, mich interessiert viel mehr wie und mit welchen Mitteln
dieser Hash auf meinem System generiert wurde. Das ist doch der eigentliche Knackpunkt. Wenn ich dann noch lese, das dieses Hashing unter anderem dazu dient, die Aufmerksamkeit von Ermittlungsbehörden auf die unbekannten Files eines Systems zu lenken, in dem es bekannte Software/Files mit einem Hash und gekoppelter Datenbank dazu versieht...

So etwas wäre extrem von Vorteil, bei der Auswertung von Forensik Protokollen einer Onlinedurchsuchung. Sei es drum jeder kann davon halten was er will.

ich werden min System plattmachen und wieder XP installieren.

mfG Beobachter

[Gast_Metabolit_*]

Mach Dir doch dein System mit Windows 7 neu und schau ob das Thema noch existent ist. Zudem würde ich mir ein Programm wie Malware Defender drauf schieben und ein Hips aufziehen, damit ich sehen kann was sich innerhalb meines Systems sich gerade regt und aktiv ist. Da zieht auch kein Bundestrojaner und Co mehr. Generell kann ich Dich gut verstehen. Aber man kann das Thema "schnüffeln und Onlinedurchsuchung" schnell den Hahn abdrehen.

Und nebenbei... Auf XP laufen einige Tools der "Schnüffelbehörde und Co." besser als auf Windows Vista oder Windows 7. Einfach mal ne PM und wir "schnacken" mal drüber

Der Beitrag wurde von Metabolit bearbeitet: 30.12.2009, 22:35

[Catweazle]

Hä, was leuft noch besser für welche "schnüffel Tool´s" auf XP ?

Catweazle

[Gast_Metabolit_*]

@All
So etwas wäre extrem von Vorteil, bei der Auswertung von Forensik Protokollen einer Onlinedurchsuchung. Sei es drum jeder kann davon halten was er will.
mfG Beobachter

Solche "Tools (Onlinedurchsuchung)" die dazu fähig wären, laufen unter dem Betriebssystem XP besser als unter Vista oder gar Windows 7

Besser ausgedrückt ?

[Gast_blueX_*]

Solche "Tools (Onlinedurchsuchung)" die dazu fähig wären, laufen unter dem Betriebssystem XP besser als unter Vista oder gar Windows 7

Auf welche Quellen beruht sich deine Aussage?

[Gregor]

Bei mir ist auch nix von ADS zu sehen...

[Gast_Metabolit_*]

@BlueX

Nichts für dieses Forum Aber ich sags mal so und tue Unwissend: Einfach mal goggeln

Der Beitrag wurde von Metabolit bearbeitet: 31.12.2009, 02:28

[SLE]

Darum geht es auch gar nicht, mich interessiert viel mehr wie und mit welchen Mitteln dieser Hash auf meinem System generiert wurde. Das ist doch der eigentliche Knackpunkt.

Welche Software ist denn installiert? (z.B. ...DVD macht sowas) Von Windows 7 kommt er sicher nicht.

Wenn ich dann noch lese, das dieses Hashing unter anderem dazu dient, die Aufmerksamkeit von Ermittlungsbehörden auf die unbekannten Files eines Systems zu lenken, in dem es bekannte Software/Files mit einem Hash und gekoppelter Datenbank dazu versieht...

Dieser Zusammenhang ist mir nicht klar aber da hat dragonmale ja schon drauf hingewiesen. In die VT Bezeichnung "NSRL Reference Data Set" sollte man nicht soviel hereininterpretieren.

[Gast_Beobachter_*]

@Sebastian

ich zitiere mal

This project is supported by the U.S. Department of Justice's National Institute of Justice (NIJ), federal, state, and local law enforcement, and the National Institute of Standards and Technology (NIST) to promote efficient and effective use of computer technology in the investigation of crimes involving computers. Numerous other sponsoring organizations from law enforcement, government, and industry are providing resources to accomplish these goals, in particular the FBI who provided the major impetus for creating the NSRL out of their ACES program.

The National Software Reference Library (NSRL) is designed to collect software from various sources and incorporate file profiles computed from this software into a Reference Data Set (RDS) of information. The RDS can be used by law enforcement, government, and industry organizations to review files on a computer by matching file profiles in the RDS. This will help alleviate much of the effort involved in determining which files are important as evidence on computers or file systems that have been seized as part of criminal investigations.

The RDS is a collection of digital signatures of known, traceable software applications. There are application hash values in the hash set which may be considered malicious, i.e. steganography tools and hacking scripts. There are no hash values of illicit data, i.e. child abuse images.

mfG Beobachter