Ch a p t e r   2 1   -   H a s h   S e t s  
251 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
To locate only unique files a case (or inversely, to locate only files that are duplicates), 
it is necessary to apply a filter. For example, a ͞Text Typing filter (see 9.11.2) or a 
Folders Filter (see 9.11.4) can be used. Once the de-duplicated list is shown, the 
unique items can be checked and then subsequent operations performed on checked 
files only.   
21.6
HASH SETS 
A Hash Set is a store of hash values for a specific group of files. The hash values are a 
͞digital fingerprint͟ which can then be used to identify a file and either include or 
exclude the file from future analysis. 
Has Sets are often grouped in the forensic community into: 
Good Hash Sets: Operating System files, program installation files, etc. (these 
are also often referred to as ͞Known͟ files); and 
Bad Hash Sets: virus files, malware, Trojans, child pornography, 
steganography tools, hacking tools etc. (these are often referred to as 
͞Notable͟ files). 
Hash Sets have two essential uses: 
1.
To reduce the size of a data set and speed up an investigation: A Hash Set 
that eliminates known operating system and program installation files, allows 
the examiner to quickly focus on electronic files created by the user and 
which are likely to be the subject of the investigation. 
2.
To quickly identify specific files relevant to a case: If the investigator is 
attempting to locate the presence of a group of known files, applying their 
hash value to the case will quickly and positively identify them in the data set. 
21.6.1
SUPPORTED HASH SET FORMATS 
Forensic Explorer supports the following types of Hash Sets: 
.db3 or .edb3  The Forensic Explorer Hash Set (SQLite database format. 
The .edb3 is the extension is for an encrypted file from a 
third party supplier, e.g. www.hashsets.com); 
.hash   
EnCase 6 format (no conversion is necessary); 
Flat Hash Set   A list of hash values in a text file (a Flat Hash Set must have 
a file extension of .txt, md5, .sha1 or .sha256. See 21.8.2 
below). 
The default hash set location is: [profile]\Documents\Forensic Explorer\HashSets\    
Pdf xmp metadata editor - add, remove, update PDF metadata in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Allow C# Developers to Read, Add, Edit, Update and Delete PDF Metadata
adding metadata to pdf; edit multiple pdf metadata
Pdf xmp metadata editor - VB.NET PDF metadata library: add, remove, update PDF metadata in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Enable VB.NET Users to Read, Write, Edit, Delete and Update PDF Document Metadata
edit pdf metadata; remove metadata from pdf online
252 | Page 
Ch a p t e r   2 1   -   H a s h   S e t s    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
21.7
DOWNLOAD HASH SETS 
Hash Sets for use with Forensic Explorer are available for download from: 
http://www.forensicexplorer.com/hashsets.php. Hash sets from other trusted 
locations can also be used. 
21.8
CREATING HASH SETS 
Before creating a custom hash set, files in a case must be hashed. Follow the 
instructions in 21.5 above.  
21.8.1
FORENSIC EXPLORER HASH SET 
To create a new Forensic Explorer Hash Set: 
1.
lick the ͞ reate Hash Set͟ button in the File System module toolbar and 
select FEX Hash Set:  
Figure 197, Create Hash Set 
The following window will display: 
C# TIFF: TIFF Metadata Editor, How to Write & Read TIFF Metadata
How to Get TIFF XMP Metadata in C#.NET. Use this C# sample code to get Tiff image Xmp metadata for string. // Load your target Tiff docuemnt.
remove pdf metadata; embed metadata in pdf
XDoc.Tiff for .NET, Comprehensive .NET Tiff Imaging Features
types, including EXIF tags, IIM (IPTC), XMP data, and to read, write, delete, and update Tiff file metadata. Render and output text to text, PDF, or Word file.
remove metadata from pdf acrobat; batch pdf metadata
Ch a p t e r   2 1   -   H a s h   S e t s  
253 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
2.
Click the New Set button. Check the type of hash/s to be used in the set 
(MD5, SHA1, and SHA256). A new hash set will be added to the list; 
3.
Rename the new hash set and right click to rename the ͞Identified As͟ text. 
Click Save to save the Hash Set. The new has set is created and saved to disk 
in the current hash set location (default location is: 
͞[User]\Documents\Forensic Explorer\HashSets\͟.  
Files with the extension .db3 are hash sets created by Forensic Explorer. Files 
with the extension .edb3 are encrypted files that have been acquired from a 
third party source and provided for use with Forensic Explorer. 
4.
The new hash set is now available when the Hash Match button is pressed 
(refer to 21.9- Apply a Hash Set in a Case, below). 
21.8.2
FLAT FILE HASH SETS 
A Flat File Hash set must: 
Be a plain text file in ANSI format; 
Have an extension of .txt, md5, .sha1 or .sha256 (If the .txt extension is used 
Forensic Explorer will determine the type); 
NO blank lines. A blank line identifies the end of the list. 
C# Raster - Raster Conversion & Rendering in C#.NET
RasterEdge XImage.Raster conversion toolkit for C#.NET supports image conversion between various images, like Jpeg, Png, Bmp, Xmp and Gif, .NET Graphics
view pdf metadata in explorer; analyze pdf metadata
C# Raster - Image Process in C#.NET
Image Access and Modify. Image Information. Metadata(tag) Edit. Color VB.NET How-to, VB.NET PDF, VB.NET Word process various images, like Jpeg, Png, Bmp, Xmp
view pdf metadata; modify pdf metadata
254 | Page 
Ch a p t e r   2 1   -   H a s h   S e t s    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
The following file format can be used in order to give meaning to Forensic Explorer 
column data: 
Figure 198, Flat Hash Set format 
TO MANUALLY CREATE AND USE A FLAT HASH SET 
To manually add the Flat Hash Set file to Forensic Explorer: 
1.
Place the correctly formatted Flat Hash Set in the Forensic Explorer hash set 
folder: [profile]\Documents\Forensic Explorer\HashSets\; 
2.
Click on the Hash Match button in the File System module toolbar to open 
the Match Hash Files Options window; 
3.
The Flat Hash Set should appear in the list of available sets, as shown in 
Figure 199 below . 
# This is a Flat MD5 Hash Set file   
le   
This is a comment 
# Hash Set Name = My MD5 List 1   
'HashSet' column text 
# Identified As = Significant 
'HashSet Identified As' column text 
83e05311eab2c2d50c2bc6fa219e6905 
The list of hash values 
a526a95fc34e049360755d9f0450d662 
b8bca7ac76f0ade815c5c743866293e0 
A blank line = end. 
Ch a p t e r   2 1   -   H a s h   S e t s  
255 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 199, Flat Hash Set 
TO CREATE AND USE A FLAT HASH SET FROM A CASE 
To create a Flat Hash Set, select the required format, MD5, SHA1 or SHA256 from the 
Create Hash Set button drop down menu as shown in Figure 197 above (This executes 
a script which can be viewed and edited in the Scripts module). The following window 
appears: 
256 | Page 
Ch a p t e r   2 1   -   H a s h   S e t s    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
Figure 200, Create Flat File Hash Set from Case 
The Flat File Hash set is then created with the specified options and written to the 
[profile]\Documents\Forensic Explorer\HashSets\ folder. The hash set appears and is 
available for use in the Hash Set window shown in Figure 199 above. 
21.9
APPLY A HASH SET IN A CASE 
To apply a hash set in a case: 
1.
Hash individual files in your case as described in 21.5 above. 
2.
In the File System module, click the Hash Match icon. 
Figure 201, File System module, Hash Match icon 
3.
The Match Hash window will open:  
Ch a p t e r   2 1   -   H a s h   S e t s  
257 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 202, Match Hash window 
4.
Select the hash set to use  by placing a tick in its box: 
File Name: 
The name of the hash file; 
Hash Set Name:  The name given to the hash set read from the header of the 
file. If the Hash Set Name is blank, the File Name is used. 
Identified as:  Describes the classification given to the hash set when it 
was created.  
Hash Type: 
The types of hashes contained in the file are marked in the 
remaining columns using ͞Y͟. 
5.
Clear any existing hash matches: 
a.
When ͞ lear any existing hash matches͟ is checked: 
Existing has values in the ͞Hash Set͟ and ͞Hash Set Identified As͟ 
columns will be cleared before then new values are written into the 
columns. 
b.
When ͞ lear any existing hash matches͟ is not checked: 
The new values of the hash comparison will populate the ͞Hash Set͟ 
258 | Page 
Ch a p t e r   2 1   -   H a s h   S e t s    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
and ͞Hash Set Identified As͟ columns. They will overwrite any 
existing values. However, existing values in those columns which are 
not overwritten will remain.   
6.
Click OK to proceed with the hash match. 
Once a Hash Match has been run, two columns will be created in the Forensic Explorer 
File System module, ͞Hash Set͟ and ͞Hash Set Identified As͟: 
Figure 203, Running a Hash Match in a case 
An entry in the Hash Set column identifies that the file hash matches a hash in the set.
Ch a p t e r   2 2   -   F i l e   S i g n a t u r e   A n a l y s i s 
259 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Chapter 22 - File Signature Analysis 
In This Chapter 
CHAPTER 22
- FILE SIGNATURE ANALYSIS 
22.1
File signature analysis ...................................................................................................................... 260
22.2
Why run file signature analysis? ...................................................................................................... 260
22.3
Running a file signature analysis ..................................................................................................... 260
22.4
Examine the results of a file signature analysis ............................................................................... 262
260 | Page 
Ch a p t e r   2 2   -   F i l e   S i g n a t u r e   A n a l y s i s  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
22.1
FILE SIGNATURE ANALYSIS 
Signature analysis is the process of identifying a file by its header rather than by other 
means (such as the file extension). The International Organization for Standardization 
(ISO) has published standards for the structure of many file types. The standards 
include a ͞file signature͟, a recognizable header which usually precedes the file data 
and assigns a file to a specific type, e.g. a jpeg. 
For example, shown Figure 204, JPEG file signature Figure 204 below, is the beginning 
of a photo taken with a digital camera. It is identified as a JPEG by the file header 
ÿØÿà· (or in Hex: FF D8 FF E0 00). 
Figure 204, JPEG file signature 
Identifying a file by its signature is a more accurate method of classification than using 
the file extension (e.g. .jpg), as the extension can easily be altered. 
22.2
WHY RUN FILE SIGNATURE ANALYSIS? 
File signatures are an important part of the examination process because gives the 
investigator a confidence that they are seeing files for what they actually are. It is 
recommended that a File Signature analysis is one of the first steps performed by the 
investigator in each new case. 
A file signature analysis with Forensic Explorer will: 
Flag files for which the file extension does not match the file signature. These 
files may have been deliberately manipulated to hide data; 
Empower other components of Forensics Explorer, such as the Categories 
view, to see files based on file signature, rather than extension; 
22.3
RUNNING A FILE SIGNATURE ANALYSIS 
To run a file signature analysis in Forensic Explorer: 
1.
lick on the ͞Signature Analysis͟ button in the File System toolbar (shown 
below): 
Documents you may be interested
Documents you may be interested