Website-Suche

Hashdeep: Ein Tool für Dateiintegrität und Forensik

Als erfahrener Linux-Benutzer mit über einem Jahrzehnt Erfahrung bin ich auf viele Tools gestoßen, die bei verschiedenen Aspekten der Systemverwaltung, Sicherheit und Forensik hilfreich sind.

Ein solches Tool, das ich besonders nützlich finde, ist hashdeep, ein leistungsstarkes Befehlszeilenprogramm, das hauptsächlich zur Überprüfung der Dateiintegrität und der Verifizierung kryptografischer Hashes verwendet wird.

In diesem Artikel werde ich detailliert erklären, was hashdeep ist, wie es funktioniert und wie Sie es effektiv in Linux-Umgebungen einsetzen können.

Was ist Hashdeep?

hashdeep ist ein Tool zum Berechnen, Vergleichen und Überprüfen von Hashes von Dateien. Dabei handelt es sich um eindeutige Kennungen, die durch Anwendung einer Hash-Funktion (wie SHA-256 oder MD5) erstellt werden. auf den Inhalt einer Datei. Diese Hashes dienen als „Fingerabdrücke für Dateien. Wenn zwei Dateien den gleichen Hash haben, bedeutet das, dass ihr Inhalt identisch ist.

hashdeep unterstützt mehrere Hash-Algorithmen wie MD5, SHA-1 und SHA-256 und ist somit flexibel für verschiedene Anwendungsfälle.

Es wird am häufigsten verwendet in:

  • Dateiintegritätsprüfung: Sicherstellen, dass Dateien im Laufe der Zeit nicht manipuliert oder beschädigt wurden.
  • Digitale Forensik: Überprüfung der Integrität von Dateien bei forensischen Untersuchungen.
  • Sicherung und Wiederherstellung: Überprüfung der Integrität von Sicherungsdateien und Gewährleistung der Datenkonsistenz während Wiederherstellungsprozessen.

Hashdeep unter Linux installieren

Bevor wir uns mit seiner Verwendung befassen, installieren wir zunächst hashdeep auf Ihrem Linux-System, das in den meisten Distributionspaket-Repositorys verfügbar ist, sodass die Installation einfach ist.

sudo apt install hashdeep         [On Debian, Ubuntu and Mint]
sudo yum install hashdeep         [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a sys-apps/hashdeep  [On Gentoo Linux]
sudo apk add hashdeep             [On Alpine Linux]
sudo pacman -S hashdeep           [On Arch Linux]
sudo zypper install hashdeep      [On OpenSUSE]    
sudo pkg install hashdeep         [On FreeBSD]

Nach der Installation können Sie hashdeep verwenden, um Datei-Hashes zu berechnen und zu überprüfen.

Nachfolgend sind einige der häufigsten Anwendungsfälle aufgeführt.

1. Berechnen von Hashes von Dateien

Die grundlegendste Verwendung von hashdeep besteht darin, den Hash einer einzelnen Datei oder mehrerer Dateien zu berechnen.

hashdeep -c sha256 myqr.png

In diesem Befehl:

  • -c sha256 gibt den Hash-Algorithmus an (in diesem Fall SHA-256).
  • myqr.png ist die Datei, die Sie hashen möchten.

Sie können sha256 je nach Wunsch durch md5, sha1 oder andere unterstützte Algorithmen ersetzen.

2. Rekursives Hashing von Dateien in einem Verzeichnis

Sie können auch alle Dateien in einem Verzeichnis, einschließlich Unterverzeichnissen, hashen, indem Sie das Flag -r (rekursiv) verwenden:

hashdeep -c sha256 -r /path/to/your/directory

3. Hashes in einer Datei speichern

Wenn Sie die berechneten Hashes zum späteren Vergleich in einer Datei speichern möchten, können Sie mit der Option -o eine Ausgabedatei angeben:

hashdeep -r ravi > hashes.txt
cat hashes.txt

4. Überprüfung der Dateiintegrität

Eine der wichtigsten Anwendungen von Hashdeep ist die Überprüfung der Integrität von Dateien. Wenn Sie bereits über eine Liste bekannter Hashes verfügen (z. B. aus einer früheren Sitzung), können Sie die aktuellen Datei-Hashes mit diesen bekannten Werten vergleichen, um festzustellen, ob Dateien geändert wurden.

Verwenden Sie dazu den folgenden Befehl, um Dateien zu überprüfen:

hashdeep -a -k hashes.txt -r /home/ravi/ravi

Dieser Befehl überprüft rekursiv alle Dateien im Verzeichnis „ravi“ anhand der in hashes.txt aufgeführten Hashes, sodass Sie deren Integrität ordnungsgemäß überprüfen können.

5. Mehrere Hashes gleichzeitig generieren

Um mehrere Arten von Hashes (z. B. MD5, SHA-1 und SHA-256) gleichzeitig zu berechnen, können Sie mit dem Flag -c mehr als einen Algorithmus angeben:

hashdeep -c md5,sha1,sha256 -r /path/to/your/directory

Abschluss

hashdeep ist ein vielseitiges und leistungsstarkes Tool zur Dateiintegritätsprüfung und digitalen Forensik. Seine Unterstützung für mehrere Hash-Algorithmen, rekursives Verzeichnis-Hashing und Dateivergleich machen es zu einem unverzichtbaren Dienstprogramm für alle, die in den Bereichen Sicherheit, Forensik oder Systemadministration arbeiten.

Verwandte Artikel: