Questo è il comando hashdeep che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
hashdeep - Calcola, confronta o controlla più digest di messaggi
SINOSSI
hashdeep -V | -H
hashdeep [-C [, ]] [-K ] [-io ] [-F ] [-o ]
[-amxwMXreEspblvv] [-F ] [-J ] [FILE]
DESCRIZIONE
Calcola più hash, o digest di messaggi, per qualsiasi numero di file mentre facoltativamente
scavando ricorsivamente attraverso la struttura della directory. Di default il programma calcola MD5
e hash SHA-256, equivalenti a -c md5,sha256. Può anche prendere un elenco di hash conosciuti e
visualizzare i nomi dei file di input i cui hash corrispondono o non corrispondono a nessuno dei
hash conosciuti. Può anche utilizzare un elenco di hash noti per controllare un insieme di FILES. Gli errori sono
segnalato all'errore standard. Se non viene specificato alcun FILE, legge dall'input standard.
-c [, ...]
Modalità di calcolo. Calcola hash di FILES utilizzando gli algoritmi specificati. legale
i valori sono md5, sha1, sha256, tiger e vortice.
-k Carica un file di hash conosciuti. Questo flag è richiesto quando si utilizza una delle corrispondenze
o modalità di controllo (cioè -m, -x, -M, -X o -a) Questo flag può essere usato più di una volta per
aggiungere più set di hash noti.
Il caricamento di set con algoritmi di hash diversi a volte può generare hash spuri
collisioni. Ad esempio, supponiamo di avere due set di hash, A e B, che ne hanno alcuni
file sovrapposti. Ad esempio, il file /usr/bin/bad è in entrambi i set. In A abbiamo
registrato l'MD5 e SHA-256. In B abbiamo registrato MD5, SHA-1 e SHA-256.
Poiché questi due record sono diversi, verranno caricati entrambi. Quando il programma
calcola tutti e tre gli hash e li confronta con l'insieme delle note, otterremo un
corrispondenza esatta dal record in B e collisione dal record in A.
-a Modalità di controllo. Ogni file di input viene confrontato con l'insieme di note. Un audit è
si dice che passi se ogni file di input viene confrontato con esattamente un file in un insieme di
conosciuto. Eventuali collisioni, nuovi file o file mancanti faranno fallire l'audit. Usando
questo flag da solo produce un messaggio, "Audit superato" o "Audit fallito". Utilizzo
le modalità verbose, -v, per maggiori dettagli. Usando -v stampa il numero di file in
ogni categoria. L'utilizzo di -va una seconda volta stampa eventuali discrepanze. Usando -va terzo
time stampa i risultati per ogni file esaminato e per ogni file conosciuto.
A causa delle limitazioni del programma, qualsiasi nome di file con caratteri Unicode lo farà
sembrano essersi spostati durante un audit. Vedere la sezione "SUPPORTO UNICODE" di seguito.
-m La corrispondenza positiva, richiede almeno un uso del flag -k. I file di input sono
esaminati uno alla volta e solo quei file che corrispondono all'elenco degli hash noti
sono in uscita. L'unico formato accettabile per gli hash conosciuti è l'output del precedente
corse hashdeep.
Se l'input standard viene utilizzato con il flag -m, visualizza "stdin" se l'input corrisponde
uno degli hash nell'elenco degli hash conosciuti. Se l'hash non corrisponde, il
il programma non visualizza alcun output.
Questo flag non può essere utilizzato insieme ai flag -x, -X o -a. Vedi il
sezione "SUPPORTO UNICODE" di seguito.
-x Corrispondenza negativa. Uguale al flag -m sopra, ma esegue la corrispondenza negativa. Questo è,
vengono visualizzati solo quei file NON nell'elenco degli hash conosciuti.
Questo flag non può essere usato insieme ai flag -m, -M o -a. Vedi il
sezione "SUPPORTO UNICODE" di seguito.
-f
Prende un elenco di file di cui eseguire l'hashing dal file specificato. Si assume che ogni riga
essere un nome di file. Questo flag può essere utilizzato solo una volta per chiamata. Se è usato a
la seconda volta, la seconda istanza batterà la prima.
Nota che puoi ancora usare altri flag, come le modalità -m o -x, e submit
FILE aggiuntivi sulla riga di comando.
-w Se utilizzato con modalità di corrispondenza positiva (-m,-M) visualizza il nome del file conosciuto
hash che corrisponde al file di input. Vedere la sezione "SUPPORTO UNICODE" di seguito.
-M ed -X
Uguale a -m e -x sopra, ma visualizza l'hash per ogni file che lo fa (o lo fa)
not) corrispondono all'elenco degli hash noti.
-r Abilita la modalità ricorsiva. Vengono attraversate tutte le sottodirectory. Si prega di notare che
la modalità ricorsiva non può essere utilizzata per esaminare tutti i file con una determinata estensione di file. Per
esempio, chiamando hashdeep -r *.txt verranno esaminati tutti i file in directory che fine
nel file .txt.
-e Visualizza un indicatore di avanzamento e una stima del tempo rimanente per ogni file in corso
elaborato. Le stime di tempo per i file più grandi di 4 GB non sono disponibili su Windows.
Questa modalità non può essere utilizzata con la modalità th -p.
-E In modalità di controllo, esegue la corrispondenza dei nomi di file senza distinzione tra maiuscole e minuscole. Per esempio,
\foo\bar corrisponderà a \Foo\BAR. Questo può essere importante sui sistemi Windows, dove
i nomi dei file non fanno distinzione tra maiuscole e minuscole.
-i
Modalità soglia dimensione. Solo file hash più piccoli della soglia data. taglie
può essere specificato utilizzando i moltiplicatori IEC b,k,m,g,t,p ed e.
-o
Abilita la modalità esperto. Consente all'utente di specificare quali (e solo quali) tipi di file
vengono elaborati. L'elaborazione della directory è ancora controllata con il flag -r. Il
le opzioni della modalità esperto consentite sono:
f - File normali
b - Dispositivi a blocchi
c - Dispositivi di carattere
p - Pipe con nome
l - Collegamenti simbolici
s - Prese
d - Porte Solaris
e - Eseguibili di Windows PE
-s Abilita la modalità silenziosa. Tutti i messaggi di errore vengono soppressi.
-p Modalità a tratti. Suddivide i file in blocchi prima dell'hashing. I pezzi possono essere specificati
utilizzando i moltiplicatori IEC b,k,m,g,t,p ed e. (Non si dica mai che l'autore
non aveva pianificato in anticipo.)
-b Abilita la modalità nuda. Elimina tutte le informazioni principali della directory dalla visualizzazione
nomi di file. Questo flag non può essere usato insieme al flag -l.
-l Abilita i percorsi dei file relativi. Invece di stampare il percorso assoluto per ogni file,
visualizza il percorso del file relativo come indicato sulla riga di comando. Questa bandiera potrebbe non essere
essere usato insieme al flag -b.
-v Abilita la modalità dettagliata. Usa di nuovo per rendere il programma più prolisso. Questo per lo più
cambia il comportamento della modalità di audit, -a.
-jnn Controlla il multi-threading. Per impostazione predefinita, il programma creerà un thread produttore per
scansiona il file system e un thread di hashing per core della CPU. Cause multi-threading
i nomi dei file di output devono essere in ordine non deterministico, poiché i file che richiedono più tempo per
l'hash verrà ritardato mentre vengono hash. Se è richiesto un ordine deterministico,
specificare -j0 per disabilitare il multi-threading
-d Output in formato Digital Forensics XML (DFXML).
-u Quota uscita Unicode. Ad esempio, il pupazzo di neve è mostrato come U+C426.
-F
Specifica la modalità di input utilizzata per leggere i file. L'impostazione predefinita è -FB (tamponato
I/O) che legge i file con fopen(). Specificando -Fu utilizzerà I/O senza buffer e
leggi il file con open(). Specificando -FM utilizzerà l'I/O mappato in memoria che sarà
più veloce su alcune piattaforme, ma che (attualmente) non funzionerà con file che
produrre errori di I/O.
-h Mostra una schermata di aiuto ed esci.
-V Mostra il numero di versione ed esci.
UNICODE SUPPORTO
A partire dalla versione 3.0 il programma supporta i caratteri Unicode nei nomi dei file su Microsoft
Sistemi Windows per i nomi di file specificati sulla riga di comando con globbing (es. *), per
file specificati con -f di file da hash, e per i file letti dalle directory usando
, il -r opzione.
Per impostazione predefinita, tutti gli input e gli output del programma dovrebbero essere in UTF-8. Il programma automaticamente
lo converte in UTF-16 per l'apertura dei file).
Su Unix/Linux/MacOS, dovresti usare un emulatore di terminale che supporti UTF-8 e UTF-8
i caratteri nei nomi dei file verranno visualizzati correttamente.
Su Windows, i programmi non visualizzano i caratteri Unicode sulla console. Devi
reindirizzare l'output su un file e aprire il file con Wordpad (che può essere visualizzato
Unicode), oppure è necessario specificare il -u opzione per citare Unicode usando lo standard U+XXXX
notazione.
Attualmente il nome file di un file contenente hash noti potrebbe non essere specificato come a
nome file unicode, ma puoi specificare il nome usando il completamento con tabulazione o un asterisco (es
md5deep -m *.txt dove è presente un solo file con estensione .txt).
RITORNO VALORE
Restituisce un valore bit per bit in base al successo dell'operazione e allo stato di any
operazioni di corrispondenza.
0 Successo. Nota che il programma si considera di successo anche quando incontra
errori di lettura, errori di autorizzazione negata o trova le directory quando non sono ricorsive
modalità.
1 Hash non utilizzati. In una qualsiasi delle modalità di corrispondenza, restituisce questo valore se uno o più
degli hash noti non corrispondeva a nessuno dei file di input.
2 ingressi non abbinati. In una qualsiasi delle modalità di corrispondenza, restituisce questo valore se uno o
più valori di input non corrispondono a nessuno degli hash noti.
64 Errore dell'utente, ad esempio il tentativo di eseguire contemporaneamente sia la corrispondenza positiva che quella negativa
tempo.
128 Errore interno, come danneggiamento della memoria o ciclo non rilevato. Tutti gli errori interni
dovrebbe essere segnalato allo sviluppatore! Vedere la sezione "Segnalazione di bug" di seguito.
Usa hashdeep online utilizzando i servizi onworks.net
