更好地利用 .inf 文件和 NSRL 数据库

当您查看大量干净文件的存储库时，总有机会找到有趣的东西。例如，可以在合法软件安装包中找到的取证工件的前体列表。安装前和安装后。

为什么这些可能会派上用场？

好吧，虽然这永远不会是一个 100% 可靠的解决方案，但这些可能有助于至少自动化一些数字取证分类 processdx。我的意思是 f.ex。通过文件名或其集群（与哈希相反）排除。

Filelighting idea 专注于查找驻留在已安装程序文件夹中的文件引用的文件名。我们也可以将其扩展为预安装目录——无论是临时创建的文件夹、手动解压的驱动程序还是软件包安装文件夹等。虽然其中一些不再那么重要——毕竟发生了越来越多的更新和安装在后台，通常没有用户的知识，通过应用商店等，坦率地说，现在人们可能比 10 年前直接下载的软件越来越少，嗯……它仍然经常发生，如果我们能帮助一些自动化......为什么不呢？

关于软件包的最有趣的信息来源之一是老式的 .inf 文件。另一个是好的 ol' NSRL 数据库。是的，后者主要关注post-install，但我们应该使用任何可用的东西。

.inf 文件引用了要安装的所有内容，通常在许多配置中，它们提供了创建/修改的文件、目录的列表，还有——注册表项、服务名称——你可以命名。这是一个“好的”Windows 软件外观信息的金矿。NSRL 数据库有点相似，是所有东西的超集，但它显然也仅限于转储中可用的数据。

我们来看一下。

.inf 文件的顶部通常包含 [Version] 部分。您可以在其他地方找到 .inf 文件的描述，在这里，我们只关注统计信息。我必须在这里指出，解析 .inf 文件并不像看起来那么容易，因为它们严重依赖自引用，多个 .inf 文件可以合并在一起，并且还有一种字符串替换（令牌）机制在起作用。有很多怪癖需要处理。

本节中出现次数最多的字段如下：

• 班级
• 驱动程序版本
• 提供者
• 目录文件
• 签名
• 类指南

梳理 .inf 文件，例如... CatalogFile字段可以为我们提供所有合法 .cat 文件的列表（有一个明显的警告，该列表与我们的“好文件”存储库一样好）。不过，这对于基于文件名的排除可能会派上用场。当然，那里有一把双刃剑——如果你是一个坏人，知道合法软件包中有哪些好的文件名将很好地服务于你的邪恶目的，因为你肯定会为你的有效负载选择一个文件名从列表中...... 那好吧…

NSRL 数据库是众所周知的，所以不需要任何介绍。该集合的有趣之处在于一个经常被遗忘的ProductCode字段。这是文件/哈希/元组来自何处的指示符。如果您按ProductCode对集合进行聚类，您最终可能会得到属于特定产品的文件名聚类。例如，如果我们看一下产品代码196184，我们会得到这个结果。附带说明一下，一些文件名似乎是可执行文件的部分名称，因此 NSRL 人员使用的向下钻取似乎非常深入。

所以……你有它……解析你的好 .inf 文件，通过从 NSRL 集中提取的文件名集群来丰富它，你可以生成一个很好的基于集群的排除列表！快乐的文件照明！

奖金：

好吧，并非一切都是美好的。这是我在本练习中收集的 .cat 文件名列表。其中很多。我认为它们只能在软件安装包（提示：带有 .inf 文件的那个）或NSRL 中的ProductCode的上下文中才有意义。