Aceasta este comanda hashdeep care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
hashdeep - Calculați, comparați sau auditați mai multe rezumate de mesaje
REZUMAT
hashdeep -V | -h
hashdeep [-c [, ]] [-k ] [-i ] [-f ] [-o ]
[-amxwMXreEspblvv] [-F ] [-j ] [DOSARE]
DESCRIERE
Calculează mai multe hash-uri sau rezumate de mesaje pentru orice număr de fișiere, în timp ce opțional
săpat recursiv prin structura de directoare. Implicit programul calculează MD5
și SHA-256 hash, echivalent cu -c md5,sha256. Poate lua, de asemenea, o listă de hashe-uri cunoscute și
afișează numele fișierelor de intrare ale căror hashuri fie corespund sau nu se potrivesc cu oricare dintre
hashuri cunoscute. Poate utiliza, de asemenea, o listă de hash-uri cunoscute pentru a audita un set de FIȘIERE. Erorile sunt
raportat la eroare standard. Dacă nu sunt specificate FIȘIERE, se citește din intrarea standard.
-c [, ...]
Modul de calcul. Calculați hash-urile FIȘIERE folosind algoritmii specificați. Legal
valorile sunt md5, sha1, sha256, tiger și whirlpool.
-k Încărcați un fișier cu hashuri cunoscute. Acest steag este necesar atunci când utilizați oricare dintre potriviri
sau modurile de audit (adică -m, -x, -M, -X sau -a) Acest indicator poate fi folosit de mai multe ori pentru a
adăugați mai multe seturi de hashuri cunoscute.
Încărcarea seturilor cu diferiți algoritmi de hash poate genera uneori hash fals
ciocniri. De exemplu, să presupunem că avem două seturi hash, A și B, care au unele
fișiere suprapuse. De exemplu, fișierul /usr/bin/bad este în ambele seturi. În A avem
a înregistrat MD5 și SHA-256. În B am înregistrat MD5, SHA-1 și SHA-256.
Deoarece aceste două înregistrări sunt diferite, ambele vor fi încărcate. Când programul
calculează toate cele trei hashe-uri și le compară cu setul de cunoscute, vom obține un
potrivire exactă din înregistrarea din B și o coliziune din înregistrarea din A.
-a Modul de audit. Fiecare fișier de intrare este comparat cu setul de cunoscute. Un audit este
se spune că trece dacă fiecare fișier de intrare este potrivit cu exact un fișier din set de
cunoscute. Orice coliziuni, fișiere noi sau fișiere lipsă vor face ca auditul să eșueze. Folosind
Numai acest steag produce un mesaj, fie „Audit trecut” fie „Audit eșuat”. Utilizare
modurile verbose, -v, pentru mai multe detalii. Folosind -v se tipărește numărul de fișiere din
fiecare categorie. Utilizarea -va a doua oară afișează orice discrepanțe. Folosind -va al treilea
time tipărește rezultatele pentru fiecare fișier examinat și pentru fiecare fișier cunoscut.
Datorită limitărilor din program, orice nume de fișiere cu caractere Unicode vor fi
par să se fi mutat în timpul unui audit. Consultați secțiunea „SUPORT UNICODE” de mai jos.
-m Potrivirea pozitivă, necesită cel puțin o utilizare a steagului -k. Fișierele de intrare sunt
examinate pe rând și numai acele fișiere care se potrivesc cu lista de hashuri cunoscute
sunt ieșite. Singurul format acceptabil pentru hashurile cunoscute este rezultatul precedent
alergări hashdeep.
Dacă intrarea standard este utilizată cu indicatorul -m, afișează „stdin” dacă intrarea se potrivește
unul dintre hashurile din lista hashurilor cunoscute. Dacă hash-ul nu se potrivește,
programul nu afișează nicio ieșire.
Acest flag nu poate fi folosit împreună cu -x, -X sau -a. Vezi
secțiunea „SUPORT UNICODE” de mai jos.
-x Potrivire negativă. La fel ca și steag-ul -m de mai sus, dar face potrivire negativă. Acesta este,
sunt afișate doar acele fișiere care NU se află în lista hashurilor cunoscute.
Acest steag nu poate fi folosit împreună cu steagurile -m, -M sau -a. Vezi
secțiunea „SUPORT UNICODE” de mai jos.
-f
Preia o listă de fișiere care urmează să fie hashing din fișierul specificat. Se presupune că fiecare linie
fi un nume de fișier. Acest steag poate fi folosit o singură dată per invocare. Dacă este folosit a
a doua oară, a doua instanță o va distruge pe prima.
Rețineți că puteți utiliza în continuare alte indicatoare, cum ar fi modurile -m sau -x, și puteți trimite
FIȘIERE suplimentare pe linia de comandă.
-w Când este utilizat cu moduri de potrivire pozitivă (-m,-M) afișează numele fișierului cunoscut
hash care se potrivea cu fișierul de intrare. Consultați secțiunea „SUPORT UNICODE” de mai jos.
-M și -X
La fel ca -m și -x de mai sus, dar afișează hash-ul pentru fiecare fișier care face (sau face
nu) potriviți cu lista de hashe-uri cunoscute.
-r Activează modul recursiv. Toate subdirectoarele sunt parcurse. Vă rugăm să rețineți că
modul recursiv nu poate fi folosit pentru a examina toate fișierele cu o anumită extensie de fișier. Pentru
de exemplu, apelarea hashdeep -r *.txt va examina toate fișierele din directoare acel capăt
în .txt.
-e Afișează un indicator de progres și o estimare a timpului rămas pentru fiecare fișier aflat în curs
prelucrate. Estimările de timp pentru fișierele mai mari de 4 GB nu sunt disponibile pe Windows.
Acest mod nu poate fi utilizat cu modul th -p.
-E Când se află în modul de audit, efectuează potrivirea numelor de fișiere fără a ține seama de majuscule și minuscule. De exemplu,
\foo\bar se va potrivi cu \Foo\BAR. Acest lucru poate fi important pe sistemele Windows, unde
numele de fișiere nu țin cont de majuscule și minuscule.
-i
Modul prag de dimensiune. Numai fișierele hash mai mici decât pragul dat. Dimensiuni
poate fi specificat folosind multiplicatorii IEC b,k,m,g,t,p și e.
-o
Activează modul expert. Permite utilizatorului să specifice ce (și numai ce) tipuri de fișiere
sunt procesate. Procesarea directoarelor este încă controlată cu indicatorul -r. The
Opțiunile pentru modul expert permise sunt:
f - Fișiere obișnuite
b - Blocare dispozitive
c - Dispozitive de caractere
p - Țevi cu nume
l - Legături simbolice
s - Prize
d - Usi Solaris
e - executabile Windows PE
-s Activează modul silențios. Toate mesajele de eroare sunt suprimate.
-p Modul pe bucăți. Descompune fișierele în bucăți înainte de hashing. Pot fi specificate bucăți
folosind multiplicatorii IEC b,k,m,g,t,p și e. (Niciodată să nu se spună că autorul
nu am planificat dinainte.)
-b Activează modul Bare. Elimina orice informație de director din afișare
nume de fișiere. Acest flag nu poate fi folosit împreună cu -l.
-l Activează căile de fișiere relative. În loc să imprimați calea absolută pentru fiecare fișier,
afișează calea relativă a fișierului, așa cum este indicat pe linia de comandă. Acest steag nu poate
să fie utilizat împreună cu steag-ul -b.
-v Activează modul pronunțat. Folosiți din nou pentru a face programul mai detaliat. Asta mai ales
schimbă comportamentul modului de audit, -a.
-jnn Controlează multi-threading. În mod implicit, programul va crea un fir de producție pentru
scanați sistemul de fișiere și un fir de hashing per nucleu CPU. Cauzele multi-threading
numele fișierelor de ieșire să fie în ordine nedeterministă, ca fișiere care durează mai mult
hash va fi întârziat în timp ce sunt hash. Dacă este necesară o ordine deterministă,
specifica -j0 pentru a dezactiva multi-threading
-d Ieșire în format Digital Forensics XML (DFXML).
-u Citat de ieșire Unicode. De exemplu, omul de zăpadă este prezentat ca U+C426.
-F
Specifică modul de intrare care este utilizat pentru a citi fișierele. Valoarea implicită este -Fb (tamponată
I/O) care citește fișierele cu fopen(). Precizând -Fu va folosi I/O fără tampon și
citește fișierul cu open(). Precizând -Fm va folosi I/O mapat în memorie care va fi
mai rapid pe unele platforme, dar care (în prezent) nu va funcționa cu fișiere care
produce erori I/O.
-h Afișați un ecran de ajutor și ieșiți.
-V Afișați numărul versiunii și ieșiți.
UNICODE SUPORT
Începând cu versiunea 3.0, programul acceptă caractere Unicode în numele fișierelor pe Microsoft
Sisteme Windows pentru numele de fișiere specificate pe linia de comandă cu globbing (ex. *), pt
fișierele specificate cu -f de fișiere la hash și pentru fișierele citite din directoare folosind
il -r opțiune.
În mod implicit, toate intrările și ieșirile programului ar trebui să fie în UTF-8. Programul automat
convertește acest lucru în UTF-16 pentru deschiderea fișierelor).
Pe Unix/Linux/MacOS, ar trebui să utilizați un emulator de terminal care acceptă UTF-8 și UTF-8
caracterele din numele fișierelor vor fi afișate corect.
Pe Windows, programele nu afișează caractere Unicode pe consolă. Trebuie să vă
fie redirecționează rezultatul către un fișier și deschide fișierul cu Wordpad (care poate afișa
Unicode), sau trebuie să specificați -u opțiunea de a cita Unicode folosind standard U+XXXX
notaţie.
În prezent, numele fișierului unui fișier care conține hash-uri cunoscute poate să nu fie specificat ca a
nume de fișier unicode, dar puteți specifica numele utilizând completarea filei sau un asterisc (de ex
md5deep -m *.txt unde există un singur fișier cu extensia .txt).
A REVENI VALUE
Returnează o valoare pe biți bazată pe succesul operațiunii și pe starea oricărei
operațiuni de potrivire.
0 Succes. Rețineți că programul se consideră de succes chiar și atunci când se întâlnește
erori de citire, erori cu permisiunea refuzată sau găsește directoare atunci când nu sunt recursive
Mod.
1 Hashes neutilizate. În oricare dintre modurile de potrivire, returnează această valoare dacă unul sau mai multe
dintre hashurile cunoscute nu a fost potrivită de niciunul dintre fișierele de intrare.
2 intrări de neegalat. În oricare dintre modurile de potrivire, returnează această valoare dacă unul sau
mai multe dintre valorile de intrare nu se potriveau cu niciuna dintre hashurile cunoscute.
64 Eroare utilizator, cum ar fi încercarea de a face atât potriviri pozitive, cât și negative în același timp
timp.
128 Eroare internă, cum ar fi coruperea memoriei sau ciclul neprins. Toate erorile interne
ar trebui raportat dezvoltatorului! Consultați secțiunea „Raportarea erorilor” de mai jos.
Utilizați hashdeep online folosind serviciile onworks.net
