一、鉴定要求
1.检材软件与样本软件的相似性。
二、工具
文件哈希校验工具:HashMyFiles v2.42
Python解释器:python3.11
Python工具:Pycharm2023.2.4(Professional Edition)
数据库:mysql 8.0.31
数据库连接工具:DBeaver Enterprise 22.0.0
SQLite数据库工具:DB Browser for SQLite 版本3.12.2
EXE查壳工具:Detect It Easy v3.05
文本内容对比工具:Beyond Compare 4.1.3
压缩工具:7-Zip 22.01 (x64)
三、答案及过程
1.检材软件与样本软件的相似性。
答案:
①文件目录及文件名比对结果:
“样本.zip”和“检材.zip”中文件总数均为31个;
检材与样本相同存放路径及文件名总数24个,占样本目录下文件总数(31个)的比例约为77.42%;
不同存放路径及文件名总数7个,占样本目录下文件总数(31个)的比例约为22.58%。
②文件校验值比对结果:
检材与样本文件相同SHA1校验值记录总数(24条)占样本文件记录总数(31条)的百分比为: 77.42%;
不相同SHA1校验值记录总数(7条)占样本文件记录总数(31条)的百分比为: 22.58%。
③文件比对结果:
“检材.zip”中的“samples.db”与“样本.zip”中的“samples.db”两个数据库的数据库表名,列名,类型一致;索引名称,索引表,索引列,索引写法一致;
“检材.zip”中“Nest-pro1.2.345.exe”和“样本.zip”中“Nest.exe”的属性,两个执行程序图标一致,文件名相似;原始文件名一致均为CypNest.ext,合法商标一致均为CypNc(TM),产品名称一致均为CypNest,产品版本一致均为6.3。
“检材.zip”中“Nest-pro1.2.345.exe”的版权为“Copyright ? 2007-2020 Friendess, Inc.”,“样本.zip”中“Nest.exe”的版权为“Copyright © 2007-2019 Friendess, Inc.”,两个版权相似。
“检材.zip”中“Nest-pro1.2.345.exe”的文件版本为6.3.782.5,“样本.zip”中“Nest.exe”的文件版本为6.3.772.0,两个版本相似。
“检材.zip”中的“taskxpot.dll”与“样本.zip”中的“taskxpot.dll”数据库文件进行比对,两个文件名相同。版本信息公司名称(CompanyName)均为“Friendess, Inc.”,文件描述(FileDescription)均为Task Export,文件版本(FileVersion)均为1.0.0.0,内部名称(InternalName)均为Reports.dll,法律版权(LegalCopyright)均为Copyright (C) Friendess, Inc. 2007-2017,产品名称(ProductName)均为CypCut,产品版本(ProductVersion)均为6.3.701.7,翻译(Translation)均为03a80804,合法商标(LegalTrademarks),原始文件名(OriginalFilename)均为空,均存在版本信息评论(Comments)
“检材.zip”中的“121种零件.nsd”与“样本.zip”中的“高利用率.nsd”、“手动排样+阵列.nsd”、“镶嵌阵列.nsd”文件进行比对, xml 版本(xml version)一致均为1.0,编码(encoding)一致均为utf-8,App名称(AppName)一致均为CypNest,App版本(AppVer)一致均为6.3,产品名称(ProductName)一致均为CypNest,产品版本(ProductVersionStr)一致均为6.3.751.4。
过程
· 使用压缩工具解压拷贝至本地目录的检材备份文件“样本.zip”和“检材.zip”,“样本.zip”解压后得到目录“样本”,“检材.zip” 解压后得到目录“检材”
1.1文件目录及文件名比对
· 使用“Python工具”编写脚本,分别将样本目录和检材目录下的文件名及路径提取至excel表“样本文件路径.xlsx”和“检材文件路径.xlsx”,手动处理路径,只保留样本、检材目录后的路径及文件名,如:“ScriptShapes\不同边角开口的矩形.js”,“样本.zip”和“检材.zip”中文件总数均为31个
· 使用“Python工具”编写脚本,统计“样本文件路径.xlsx”和“检材文件路径.xlsx”样本目录下文件总数,检材与样本相同存放路径及文件名总数,占样本目录下文件总数的比例,不同存放路径及文件名总数,占样本目录下文件总数的比例。经分析,样本目录下文件总数31个,检材与样本相同存放路径及文件名总数24个,占样本目录下文件总数的比例约为77.42%;
不同存放路径及文件名总数7个,占样本目录下文件总数的比例约为22.58%。
1.2文件校验值比对
· 使用“Python工具”编写脚本,分别计算样本目录和检材目录下的文件MD5和SHA1校验值,并提取至excel表“样本哈希值.xlsx”和“检材哈希值.xlsx”
· 使用“鉴定专用工作站”开始“数据库”服务,并创建临时库,将“样本哈希值.xlsx”和“检材哈希值.xlsx”分别导入至临时库表“样本哈希值”、“检材哈希值”
· 使用DBeaver连接临时库,使用SQL语句SELECT a.文件名 as 检材文件名,b.文件名 as 样本文件名, a.MD5校验值, a.SHA1校验值 FROM `2023相似性能力验证`.检材哈希值 a LEFT JOIN `2023相似性能力验证`.样本哈希值 b ON a.SHA1校验值 = b.SHA1校验值 WHERE a.SHA1校验值 IN (SELECT SHA1校验值 FROM `2023相似性能力验证`.样本哈希值);查询出SHA1校验值相同的记录24条,将结果提取至excel表“SHA1相同的文件及校验值.xlsx”。
· 使用SQL语句select count(1) from `2023相似性能力验证`.检材哈希值 a left join `2023相似性能力验证`.样本哈希值 b on a.SHA1校验值 = b.SHA1校验值 where a.SHA1校验值 in (select SHA1校验值 from `2023相似性能力验证`.样本哈希值); 查询出SHA1校验值相同的记录总数24条。
· 使用SQL语句SELECT a.文件名 as 检材文件名, a.MD5校验值, a.SHA1校验值 FROM `2023相似性能力验证`.检材哈希值 a LEFT JOIN `2023相似性能力验证`.样本哈希值 b ON a.SHA1校验值 = b.SHA1校验值 WHERE a.SHA1校验值 not IN (SELECT SHA1校验值 FROM `2023相似性能力验证`.样本哈希值);查询出SHA1校验值不相同的记录7条,将结果提取至excel表“SHA1不相同的文件及校验值.xlsx”。
· 使用SQL语句SELECT count(1) FROM `2023相似性能力验证`.检材哈希值 a LEFT JOIN `2023相似性能力验证`.样本哈希值 b ON a.SHA1校验值 = b.SHA1校验值 WHERE a.SHA1校验值 not IN (SELECT SHA1校验值 FROM `2023相似性能力验证`.样本哈希值); 查询出SHA1校验值不相同的记录总数7条
· 综上,相同SHA1校验值记录总数(24条)占样本记录总数(31条)的百分比为: 77.42%;
不相同SHA1校验值记录总数(7条)占样本记录总数(31条)的百分比为: 22.58%。
1.3文件比对
· 根据1.2获得的SHA1不相同的“检材.zip”中的文件,“检材.zip”中的“samples.db”与“样本.zip”中的“samples.db”数据库文件进行比对。
· 使用“SQLite数据库工具”分别打开“检材.zip”中的“samples.db”与“样本.zip”中的“samples.db”数据库文件。经分析,“检材.zip”中的“samples.db”与“样本.zip”中的“samples.db”两个数据库的数据库表名,列名,类型一致;索引名称,索引表,索引列,索引写法一致
· “检材.zip”中的“Nest-pro1.2.345.exe”与“样本.zip”中的“Nest.exe”文件进行比对。
使用“鉴定专用工作站”查看“检材.zip”中“Nest-pro1.2.345.exe”和“样本.zip”中“Nest.exe”的属性,两个执行程序图标一致,文件名相似。
· 使用“鉴定专用工作站”查看“检材.zip”中“Nest-pro1.2.345.exe”和“样本.zip”中“Nest.exe”的属性-详细信息。原始文件名均为CypNest.ext,合法商标均为CypNc(TM),产品名称均为CypNest,产品版本均为6.3。
“检材.zip”中“Nest-pro1.2.345.exe”的版权为“Copyright ? 2007-2020 Friendess, Inc.”,“样本.zip”中“Nest.exe”的版权为“Copyright © 2007-2019 Friendess, Inc.”,两个版权相似。
“检材.zip”中“Nest-pro1.2.345.exe”的文件版本为6.3.782.5, “样本.zip”中“Nest.exe”的文件版本为6.3.772.0,两个版本相似。
· 使用“EXE查壳工具”对“Nest-pro1.2.345.exe”与“Nest.exe”进行分析,两个执行程序均加壳
· “检材.zip”中的“taskxpot.dll”与“样本.zip”中的“taskxpot.dll”文件进行比对,两个文件名相同。
使用“EXE查壳工具”对“检材.zip”中的“taskxpot.dll”与“样本.zip”中的“taskxpot.dll”文件进行比对,经分析,公司名称(CompanyName)均为“Friendess, Inc.”,文件描述(FileDescription)均为Task Export,文件版本(FileVersion)均为1.0.0.0,内部名称(InternalName)均为Reports.dll,法律版权(LegalCopyright)均为Copyright (C) Friendess, Inc. 2007-2017,产品名称(ProductName)均为CypCut,产品版本(ProductVersion)均为6.3.701.7,翻译(Translation)均为03a80804,合法商标(LegalTrademarks),原始文件名(OriginalFilename)均为空,均存在版本信息评论(Comments)
· 使用“文本内容对比工具”对“检材.zip”中的“121种零件.nsd”与“样本.zip”中的“高利用率.nsd”、“手动排样+阵列.nsd”、“镶嵌阵列.nsd”文件进行比对, xml 版本(xml version)一致均为1.0,编码(encoding)一致均为utf-8,App名称(AppName)一致均为CypNest,App版本(AppVer)一致均为6.3,产品名称(ProductName)一致均为CypNest,产品版本(ProductVersionStr)一致均为6.3.751.4
· 将“检材.zip”和“样本.zip”拷贝到一台测试用windows 10的虚拟机中,并对其进行解压。
分别运行“Nest.exe”和“Nest-pro1.2.345.exe”,运行“Nest.exe”提示系统错误,运行“Nest-pro1.2.345.exe”提示插入加密狗