Seguridad Informatica > Forense
Comprobación hash durante un analisis forense
Kaotiko:
Buenas, esta hilo lo abro para ver como comprobais vosotros antes y después del análisis forense la consistencia de los ficheros y la integridad de estos. Yo personalmente uso md5sum, antes del análisis, guardo el resultado en formado *.md5, y al final del análisis forense, vuelvo a hacer md5sum y guardo otro *.md5, y posteriormente les hago un diff.
Que métodos usáis vosotros?
z0mw33d:
buenas!
cuando hablas de la comprobación ¿te refieres a dar un md5 a cada fichero al instalar el sistema y despues en caso de intrusión comprobar el md5? o ¿una vez la intrusión esta dentro realizar el md5 para verificar las pruebas?. No estoy muy puesto en este tema y me gustaria saber como lo hacen otros.
saludos
coco:
Cuando si ento que algo anda mal en mi ordenador y siento que he sido comprometido y quiero comparar los hash MD5
uso esta herramienta llamada Rootkit escáner les dejo este enlase donde comente sobre esta herramienta junto con un video de como se maneja esta tool http://foro.hackxcrack.net/forum/index.php?topic=12417.0
saludos.
Kaotiko:
Me refiero al hacer un informe pericial, una vez clonamos el disco duro a analizar, yo lo haria haciendo un md5sum a la imagen de todo el disco y lo mismo al original, y luego comprobar que ambos son iguales con diff. Y en el caso que fuese un único archivo, pues como lo he puesto antes. Esto hacerlo nada más clonar el disco, y al final del análisis. Cómo lo hacéis los demás?
coco:
Hay una herramienta que estaba probando llamada WinMD5 aqui te dejo la informacion
WinMD5Free
WinMD5Free es una utilidad pequeña y rápida para calcular el valor hash MD5 de los archivos. Funciona con Microsoft Windows 98, Me, 2000, XP, 2003, Vista y Windows 7.
Como un estándar de Internet (RFC 1321), MD5 se ha usado en una amplia variedad de aplicaciones de seguridad, y también se utiliza comúnmente para comprobar la integridad del archivo y compruebe descarga. WinMD5 es una herramienta pequeña y fácil de calcular la suma de comprobación o hash md5 de archivos diferentes (incluyendo archivos de más de 4 GB).
Características:
Compatible con casi todas las plataformas de Windows, incluyendo Microsoft Windows 95, 98, 2000, Me, XP, 2003, Vista y Windows 7.
Rápido y multi-threaded. Se puede calcular un archivo de 2 GB menos de 1 minuto.
Soporta archivos de gran tamaño de más de 4 GB.
Escasa utilización de recursos. Se utiliza menos de 5 MB de RAM.
No se requiere. NET instalado. Es un archivo EXE independiente y la puesta en marcha es rápida. Existen herramientas MD5 para Windows en el mercado, pero la mayoría de ellos requiere. NET y pueden tardar varios segundos en comenzar. Esta es también la razón por la que escribió el programa.
Soporta "arrastrar y soltar". Usted puede seleccionar un archivo, o arrastrar y soltar un archivo en la ventana del programa para obtener el valor hash MD5.
Soporta verificación del valor original de MD5 y MD5 valor actual.
Lo más importante, es GRATIS. Sin spyware o adware paquete.
Tamaño pequeño, una herramienta eficaz y minúscula para seguridad de datos.
link de descarga http://www.winmd5.com/
para probarlo podriamos descargar un iso de ubuntu y conprobar los hashes de cada iso que tambien te dejare en link de los haches de los isos de ubuntu https://help.ubuntu.com/community/UbuntuHashes saludos.
Navegación
[#] Página Siguiente
Ir a la versión completa