Em investigações de computação forense, um dos maiores desafios é filtrar a imensa quantidade de arquivos presentes em discos, pendrives, imagens de memória ou servidores. Entre milhões de arquivos coletados, muitos são arquivos de sistema, bibliotecas, softwares legítimos e dados comuns que não interessam à investigação. Para tornar a análise mais eficiente, existe um processo chamado deNISTing — um passo essencial para qualquer analista forense.

1. Contexto: o problema do “ruído digital”

Quando um perito copia a mídia alvo para análise (imagem forense), ele precisa identificar quais arquivos são relevantes. Porém, sistemas operacionais e programas trazem milhares de arquivos padrão (DLLs, EXEs, arquivos de ajuda, bibliotecas, drivers, etc.).

Exemplo: um computador com Windows pode ter centenas de milhares de arquivos legítimos. Analisá-los manualmente é inviável e gera ruído que atrasa a investigação.

É aqui que entra o deNISTing.

2. O que é deNISTing

O termo vem de NIST (National Institute of Standards and Technology), órgão norte-americano que mantém uma base de dados chamada NSRL — National Software Reference Library. Essa biblioteca contém hashes (MD5, SHA-1, SHA-256) de milhões de arquivos conhecidos e legítimos, como sistemas operacionais, softwares comerciais, drivers e bibliotecas.

deNISTing é o processo de comparar os hashes de todos os arquivos coletados com a base do NIST para identificar e remover da análise aqueles que são conhecidos e não suspeitos.

• Função: reduzir ruído e focar apenas em arquivos potencialmente relevantes ou desconhecidos.

• Onde atua: no início da triagem de evidências digitais.

• Benefícios: acelera a análise, reduz esforço humano e melhora a precisão de investigações.

3. Como funciona o deNISTing

O processo pode ser dividido em etapas:

1. Cálculo de hash dos arquivos coletados:
   A ferramenta forense gera hashes (MD5, SHA-1 ou SHA-256) para todos os arquivos encontrados na imagem.

2. Comparação com a base NSRL:
   Os hashes são confrontados com os existentes na biblioteca do NIST, que contém milhões de assinaturas de softwares legítimos.

3. Filtragem:
   Arquivos que têm hash conhecido são marcados como “não interessantes” ou removidos da lista de análise manual.

4. Lista final:
   O perito foca nos arquivos não identificados ou customizados, que têm maior chance de conter evidências.

4. Ferramentas que suportam deNISTing

• Autopsy / Sleuth Kit – Integra nativamente a base NSRL e permite filtrar rapidamente.

• EnCase – Ferramenta comercial que suporta deNISTing e uso de listas personalizadas.

• X-Ways Forensics – Permite uso de bases NIST e também criar listas próprias.

• FTK (AccessData) – Suporta deNISTing com base NSRL e listas customizadas.

• IPED (Investigador de Polícia Federal) – Ferramenta brasileira que também pode usar bases de hashes para filtragem.

5. Limitações e cuidados

• Bases desatualizadas: é importante usar a versão mais recente da NSRL para evitar falsos negativos.

• Softwares customizados: arquivos internos de empresas não estarão na base NIST.

• Ataques que alteram binários: malwares podem infectar executáveis legítimos, alterando seu hash e escapando da filtragem.

• Armazenamento seguro da base: garantir a integridade da lista de referência é fundamental para evitar manipulações.

6. Importância para Blue Team e Perícia Digital

• Blue Team: entender o deNISTing ajuda a criar processos de higienização e triagem de logs e arquivos, focando apenas no que é suspeito durante resposta a incidentes.

• Perícia Digital: economiza tempo e esforço, permitindo que o analista se concentre em arquivos únicos, documentos de usuário, scripts maliciosos e evidências de ataque.

Exemplo prático: após coletar 2 milhões de arquivos de um servidor comprometido, o deNISTing pode reduzir o conjunto para apenas 30 mil arquivos únicos — tornando a análise viável.

7. Boas práticas

• Atualize frequentemente a base NSRL.

• Crie listas de hash internas: para softwares usados apenas na sua organização.

• Documente o processo: para validade legal da perícia.

• Combine com outras técnicas: análise de timeline, triagem de metadados e busca por indicadores de comprometimento (IOCs).

O deNISTing é um processo crítico para tornar viáveis as análises forenses em grandes volumes de dados. Ele reduz o “ruído digital” ao remover arquivos conhecidos e legítimos, permitindo que o perito foque nos itens realmente relevantes para a investigação. Para equipes de blue team, compreender e aplicar essa técnica ajuda a priorizar ameaças e agilizar respostas a incidentes.