FingerPrint gebruiken om malware te vinden
vrijdag, augustus 13th, 2010FingerPrint is één van mijn favorieten tooltjes om mijn windows installatie te controleren op malware.
Het is geen virus scanner en ook geen antispyware programma maar een hash programma.
Een hash is een stukje tekst genereert door een speciaal algoritme dat een stuk data beschrijft en als er ook maar 1 bit veranderd in de data waarover de hash gemaakt wordt dan wordt er een totaal andere hash gegenereerd. Hashes worden vaak gebruikt om te controleren of een bestand goed gedownload is.
Met fingerPrint kun je hashes generen van alle bestanden in een map. Dit resultaat samen met de bestandsgrootte en AMC (access, modify, change) tijden wordt dan opgeslagen en later kun je nog een keer een de hashes van de bestanden in die map laten generen en dan precies zien welk bestand gewijzigd is. Wat goed hieraan is dat je precies kunt zien welk bestand gewijzigd is. Natuurlijk zal bij de meeste een Windows updates een aantal belangrijke Windows bestanden aangepast worden. Maar als je geen windows update hebt gedaan en er zijn een aantal belangrijke Windows systeem bestanden aangepast dan weetje dat er mogelijk iets mis is.
Bij fingerprint creëer je eerst een profiel. In dit profiel kun je de map aan geven maar je kunt ook opgeven welke bestanden je geen hash van wilt hebben. Als je
bijvoorbeeld de hele map System32 gaat hashen dan wil je geen hash hebben van logfiles. Dus je kunt opgeven in je profiel om *.log bestanden niet te hashen.
Ook kan FingerPrint om een bepaalde tijd geplant automatische een vergelijking gaan doen. Het programma is al wat ouder, maar voor de paranoia een aanrader.
FingerPrint is o.a. van snapfiles te downloaden.