Hash aplicado na Forense Computacional - Prática
Vamos agora partir para exemplos práticos de uso do hash. Para facilitar, vou fazer referência aos exemplos já citados no post anterior (Parte II).
O primeiro passo é obter um utilitário que faça o cálculo do hash. Existem alguns disponíveis, tanto para o algoritmo MD5 quanto para o SHA-1.
Usaremos o MD5Sum.exe, que pode ser baixado aqui
Esse programa tem um uso muito simples:
c:>md5sum arquivo.txt
763430d9cf670bb98094c15f9288ca75 *arquivo.txt
O arquivo.txt é qualquer arquivo, com qualquer conteúdo. Fotos, mp3, executáveis, enfim, qualquer informação pode existir nos arquivos.
Primeiro exemplo - Integridade de Arquivos transmitidos:
- João calcula o hash MD5 de um arquivo
c:>md5sum relacao.xls
3f39881820bdd7bdb842af37224daedc *relacao.xls
- e envia o arquivo por e-mail para José.
- Logo em seguida, liga para ele e dita o resultado (3f39881820bdd7bdb842af37224daedc).
- Assim que José recebe o e-mail, ele computa o hash MD5 novamente e confere com o valor anotado. Se for igual, o arquivo está integro.
Segundo exemplo - Integridade de arquivos baixados de um site:
- João visita o site da e-fense para fazer o download da imagem-iso do Helix. Após o download, ele computa o hash do arquivo e verifica se o valor é o mesmo do indicado no website
Terceiro exemplo - Comprovando a integridade das ferramentas:
O CD do Helix traz a relação de hashes MD5 para cada ferramenta usada. No caso de usar as ferramentas a partir de um CD, obviamente que um código malicioso não conseguiria alterá-las. Porém, imaginando que tenhamos um pen drive com as ferramentas, essa alteração pode acontecer.
Para detectar qualquer alteração indevida nas ferramentas, é interessante antes do uso aplicar o MD5Sum no diretório das ferramentas e comparar os resultados com a lista criada anteriormente:
e:/tools>md5sum *
ce338fe6899778aacfc28414f2d9498b *rrr.exe
ce338fe6899778aacfc28414f2d9498b *qqq.bat
3f39881820bdd7bdb842af37224daedc *www.EXE
3f39881820bdd7bdb842af37224daedc *yyy.EXE
1c17da341aa184c96a5f305cca04871f *xxx.exe
Na próxima, continuarei com os exemplos de integridade da imagem de um HD.
Até o próximo post !
Nenhum comentário:
Postar um comentário