segunda-feira, 23 de julho de 2007

Nosso Amigo Hash - Parte III

Hash aplicado na Forense Computacional - Prática

Vamos agora partir para exemplos práticos de uso do hash. Para facilitar, vou fazer referência aos exemplos já citados no post anterior (Parte II).

O primeiro passo é obter um utilitário que faça o cálculo do hash. Existem alguns disponíveis, tanto para o algoritmo MD5 quanto para o SHA-1.

Usaremos o MD5Sum.exe, que pode ser baixado aqui

Esse programa tem um uso muito simples:

c:>md5sum arquivo.txt
763430d9cf670bb98094c15f9288ca75 *arquivo.txt

O arquivo.txt é qualquer arquivo, com qualquer conteúdo. Fotos, mp3, executáveis, enfim, qualquer informação pode existir nos arquivos.

Primeiro exemplo - Integridade de Arquivos transmitidos:

- João calcula o hash MD5 de um arquivo

c:>md5sum relacao.xls
3f39881820bdd7bdb842af37224daedc *relacao.xls

- e envia o arquivo por e-mail para José.

- Logo em seguida, liga para ele e dita o resultado (3f39881820bdd7bdb842af37224daedc).

- Assim que José recebe o e-mail, ele computa o hash MD5 novamente e confere com o valor anotado. Se for igual, o arquivo está integro.

Segundo exemplo - Integridade de arquivos baixados de um site:

- João visita o site da e-fense para fazer o download da imagem-iso do Helix. Após o download, ele computa o hash do arquivo e verifica se o valor é o mesmo do indicado no website

Terceiro exemplo - Comprovando a integridade das ferramentas:

O CD do Helix traz a relação de hashes MD5 para cada ferramenta usada. No caso de usar as ferramentas a partir de um CD, obviamente que um código malicioso não conseguiria alterá-las. Porém, imaginando que tenhamos um pen drive com as ferramentas, essa alteração pode acontecer.

Para detectar qualquer alteração indevida nas ferramentas, é interessante antes do uso aplicar o MD5Sum no diretório das ferramentas e comparar os resultados com a lista criada anteriormente:

e:/tools>md5sum *
ce338fe6899778aacfc28414f2d9498b *rrr.exe
ce338fe6899778aacfc28414f2d9498b *qqq.bat
3f39881820bdd7bdb842af37224daedc *www.EXE
3f39881820bdd7bdb842af37224daedc *yyy.EXE
1c17da341aa184c96a5f305cca04871f *xxx.exe

Na próxima, continuarei com os exemplos de integridade da imagem de um HD.

Até o próximo post !
Postado por às
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)