hashdeep – Online in der Cloud

PROGRAMM:

NAME/FUNKTION

hashdeep - Berechnen, vergleichen oder prüfen Sie mehrere Nachrichtenauszüge

ZUSAMMENFASSUNG

hashtief -V | -H
hashtief [-C [, ]] [-k ] [-ich ] [-F ] [-Ö ]
[-amxwMXreEspblvv] [-F ] [-J ] [DATEIEN]

BESCHREIBUNG

Berechnet mehrere Hashes oder Nachrichtenauszüge für eine beliebige Anzahl von Dateien, während optional
rekursiv durch die Verzeichnisstruktur wühlen. Standardmäßig berechnet das Programm MD5
und SHA-256-Hashes, äquivalent zu -c md5,sha256. Kann auch eine Liste bekannter Hashes nehmen und
Zeigen Sie die Dateinamen von Eingabedateien an, deren Hashes entweder mit einem der
bekannte Hashes. Kann auch eine Liste bekannter Hashes verwenden, um einen Satz von DATEIEN zu prüfen. Fehler sind
Standardfehler gemeldet. Wenn keine FILES angegeben sind, wird von der Standardeingabe gelesen.

-c [, ...]
Berechnungsmodus. Berechnen Sie Hashes von FILES mit den angegebenen Algorithmen. Rechtliches
Werte sind md5, sha1, sha256, tiger und whirlpool.

-k Laden Sie eine Datei mit bekannten Hashes. Dieses Flag ist erforderlich, wenn eines der übereinstimmenden verwendet wird
oder Audit-Modi (dh -m, -x, -M, -X oder -a) Dieses Flag kann mehr als einmal verwendet werden, um
Fügen Sie mehrere Sätze bekannter Hashes hinzu.

Das Laden von Sets mit unterschiedlichen Hash-Algorithmen kann manchmal zu falschem Hash führen
Kollisionen. Nehmen wir zum Beispiel an, wir haben zwei Hash-Sets, A und B, die einige haben
überlappende Dateien. Zum Beispiel ist die Datei /usr/bin/bad in beiden Sets enthalten. In A haben wir
aufgezeichnet die MD5 und SHA-256. In B haben wir MD5, SHA-1 und SHA-256 aufgenommen.
Da diese beiden Datensätze unterschiedlich sind, werden sie beide geladen. Wenn das Programm
berechnet alle drei Hashes und vergleicht sie mit der Menge der Bekannten, wir erhalten ein
genaue Übereinstimmung mit dem Datensatz in B und eine Kollision mit dem Datensatz in A.

-a Audit-Modus. Jede Eingabedatei wird mit der Menge der Bekannten verglichen. Eine Prüfung ist
gilt als bestanden, wenn jede Eingabedatei mit genau einer Datei im Satz von übereinstimmt
bekannt. Bei Kollisionen, neuen Dateien oder fehlenden Dateien schlägt die Prüfung fehl. Verwenden von
allein dieses Flag erzeugt eine Meldung, entweder "Audit bestanden" oder "Audit fehlgeschlagen". Verwenden
die ausführlichen Modi -v für weitere Details. Mit -v wird die Anzahl der Dateien in ausgegeben
jede Kategorie. Wenn Sie -va ein zweites Mal verwenden, werden alle Diskrepanzen ausgegeben. Verwenden von -va Third
time druckt die Ergebnisse für jede untersuchte und jede bekannte Datei aus.
Aufgrund von Einschränkungen im Programm werden alle Dateinamen mit Unicode-Zeichen
scheinen während einer Prüfung umgezogen zu sein. Siehe den Abschnitt "UNICODE-UNTERSTÜTZUNG" unten.

-m Positive Übereinstimmung, erfordert mindestens eine Verwendung des Flags -k. Die Eingabedateien sind
einzeln geprüft und nur die Dateien, die mit der Liste der bekannten Hashes übereinstimmen
ausgegeben werden. Das einzig akzeptable Format für bekannte Hashes ist die Ausgabe von vorherigen
hashdeep läuft.
Wenn die Standardeingabe mit dem Flag -m verwendet wird, wird "stdin" angezeigt, wenn die Eingabe übereinstimmt
einer der Hashes in der Liste der bekannten Hashes. Wenn der Hash nicht übereinstimmt, wird der
Programm zeigt keine Ausgabe an.
Dieses Flag darf nicht in Verbindung mit den Flags -x, -X oder -a verwendet werden. Siehe die
Abschnitt "UNICODE-UNTERSTÜTZUNG" unten.

-x Negative Übereinstimmung. Wie das Flag -m oben, aber negative Übereinstimmung. Das ist,
es werden nur die Dateien angezeigt, die NICHT in der Liste der bekannten Hashes enthalten sind.
Dieses Flag darf nicht in Verbindung mit den Flags -m, -M oder -a verwendet werden. Siehe die
Abschnitt "UNICODE-UNTERSTÜTZUNG" unten.

-f
Nimmt eine Liste von Dateien, die aus der angegebenen Datei gehasht werden sollen. Es wird angenommen, dass jede Zeile
ein Dateiname sein. Dieses Flag kann nur einmal pro Aufruf verwendet werden. Wenn es verwendet wird
Beim zweiten Mal wird die zweite Instanz die erste vernichten.
Beachten Sie, dass Sie weiterhin andere Flags verwenden können, z. B. die Modi -m oder -x, und senden
zusätzliche DATEIEN in der Befehlszeile.

-w Bei Verwendung mit positiven Matching-Modi (-m,-M) wird der Dateiname des bekannten
Hash, der mit der Eingabedatei übereinstimmt. Siehe den Abschnitt "UNICODE-UNTERSTÜTZUNG" unten.

-M und -X
Identisch mit -m und -x oben, zeigt jedoch den Hash für jede Datei an, die dies tut (oder tut)
nicht) mit der Liste der bekannten Hashes übereinstimmen.

-r Aktiviert den rekursiven Modus. Alle Unterverzeichnisse werden durchlaufen. Bitte beachte, dass
Der rekursive Modus kann nicht verwendet werden, um alle Dateien einer bestimmten Dateierweiterung zu untersuchen. Zum
Beispiel: Aufruf von hashdeep -r *.txt untersucht alle Dateien in Verzeichnisse das ende
in .txt-Datei.

-e Zeigt eine Fortschrittsanzeige und eine Schätzung der verbleibenden Zeit für jede Datei an, die
verarbeitet. Zeitschätzungen für Dateien, die größer als 4 GB sind, sind unter Windows nicht verfügbar.
Dieser Modus kann nicht mit dem th-p-Modus verwendet werden.

-E Führt im Überwachungsmodus den Abgleich von Dateinamen ohne Beachtung der Groß-/Kleinschreibung durch. Zum Beispiel,
\foo\bar entspricht \Foo\BAR. Dies kann auf Windows-Systemen wichtig sein, wo
Bei Dateinamen wird die Groß-/Kleinschreibung nicht beachtet.

-i
Größenschwellenmodus. Nur Hash-Dateien, die kleiner als der angegebene Schwellenwert sind. Größen
kann mit IEC-Multiplikatoren b,k,m,g,t,p und e angegeben werden.

-o
Aktiviert den Expertenmodus. Ermöglicht dem Benutzer anzugeben, welche (und nur welche) Dateitypen
verarbeitet werden. Die Verzeichnisverarbeitung wird weiterhin mit dem Flag -r gesteuert. Die
Zulässige Optionen im Expertenmodus sind:
f - Reguläre Dateien
b - Geräte blockieren
c - Zeichengeräte
p - Benannte Pipes
l - Symbolische Links
s - Steckdosen
d - Solaris-Türen
e - ausführbare Windows PE-Dateien

-s Aktiviert den lautlosen Modus. Alle Fehlermeldungen werden unterdrückt.

-p Stückweiser Modus. Zerlegt Dateien vor dem Hashing in Stücke. Chunks können angegeben werden
unter Verwendung von IEC-Multiplikatoren b,k,m,g,t,p und e. (Lassen Sie sich niemals sagen, dass der Autor
nicht vorausgeplant.)

-b Aktiviert den Bare-Modus. Entfernt alle führenden Verzeichnisinformationen aus der Anzeige
Dateinamen. Dieses Flag darf nicht zusammen mit dem Flag -l verwendet werden.

-l Aktiviert relative Dateipfade. Anstatt den absoluten Pfad für jede Datei zu drucken,
zeigt den relativen Dateipfad an, wie in der Befehlszeile angegeben. Diese Flagge darf nicht
in Verbindung mit dem Flag -b verwendet werden.

-v Aktiviert den ausführlichen Modus. Verwenden Sie erneut, um das Programm ausführlicher zu gestalten. Das meistens
ändert das Verhalten des Audit-Modus, -a.

-jnn Steuert Multithreading. Standardmäßig erstellt das Programm einen Producer-Thread, um
scannen Sie das Dateisystem und einen Hashing-Thread pro CPU-Kern. Multithreading-Ursachen
Ausgabedateinamen in nicht deterministischer Reihenfolge, da Dateien länger brauchen
Hash wird verzögert, während sie gehasht werden. Wenn eine deterministische Ordnung erforderlich ist,
angeben -j0 Multithreading deaktivieren

-d Ausgabe im Format Digital Forensics XML (DFXML).

-u Zitieren Sie die Unicode-Ausgabe. Der Schneemann wird beispielsweise als U+C426.

-F
Gibt den Eingabemodus an, der zum Lesen von Dateien verwendet wird. Die Standardeinstellung ist -Fb (gepuffert)
I/O), die Dateien mit fopen() liest. Angabe -fu verwendet ungepufferte E/A und
Lesen Sie die Datei mit open(). Angabe -FM verwendet speicherabgebildete E/A, die
auf einigen Plattformen schneller, funktioniert aber (derzeit) nicht mit Dateien, die
E/A-Fehler erzeugen.

-h Hilfebildschirm anzeigen und beenden.

-V Zeigen Sie die Versionsnummer an und beenden Sie.

UNICODE SUPPORT

Ab Version 3.0 unterstützt das Programm Unicode-Zeichen in Dateinamen auf Microsoft
Windows-Systeme für Dateinamen, die auf der Kommandozeile mit Globbing (zB *) angegeben werden, für
Dateien, die mit dem . angegeben sind -f von Dateien zum Hashen, und für Dateien, die aus Verzeichnissen gelesen werden mit
-r .

Standardmäßig sollten alle Programmeingaben und -ausgaben in UTF-8 erfolgen. Das Programm automatisch
konvertiert dies in UTF-16 zum Öffnen von Dateien).

Unter Unix/Linux/MacOS sollten Sie einen Terminalemulator verwenden, der UTF-8 und UTF-8 unterstützt
Zeichen in Dateinamen werden richtig angezeigt.

Unter Windows zeigen die Programme keine Unicode-Zeichen auf der Konsole an. Du musst
entweder die Ausgabe in eine Datei umleiten und die Datei mit Wordpad öffnen (das anzeigen kann
Unicode), oder Sie müssen die -u Option, Unicode mit Standard zu zitieren U+XXXX
Notation.

Derzeit darf der Dateiname einer Datei mit bekannten Hashes nicht als a . angegeben werden
Unicode-Dateiname, aber Sie können den Namen mit der Tabulatorvervollständigung oder einem Sternchen angeben (z
md5deep -m *.txt, wobei es nur eine Datei mit der Erweiterung .txt gibt).

RÜCKKEHR BEWERTUNG

Gibt einen bitweisen Wert basierend auf dem Erfolg der Operation und dem Status von beliebigen zurück
passenden Operationen.

0 Erfolg. Beachten Sie, dass sich das Programm selbst dann als erfolgreich betrachtet, wenn es auf
Lesefehler, Berechtigungsverweigerungsfehler oder findet Verzeichnisse, wenn sie nicht rekursiv sind
Modus arbeiten können.

1 Unbenutzte Hashes. Gibt in einem der übereinstimmenden Modi diesen Wert zurück, wenn einer oder mehrere
der bekannten Hashes wurde von keiner der Eingabedateien gefunden.

2 Unübertroffene Eingänge. Gibt in einem der übereinstimmenden Modi diesen Wert zurück, wenn einer oder
mehr der Eingabewerte stimmten mit keinem der bekannten Hashes überein.

64 Benutzerfehler, z. B. der Versuch, gleichzeitig positive und negative Übereinstimmungen durchzuführen
Zeit.

128 Interner Fehler, wie Speicherbeschädigung oder nicht abgefangener Zyklus. Alle internen Fehler
sollte dem Entwickler gemeldet werden! Siehe den Abschnitt "Fehler melden" weiter unten.

Verwenden Sie hashdeep online mit den onworks.net-Diensten