1. 개요
수집된 디지털 증거물을 분석할때 시스템 내의 파일의 변경 유무 및 잘 알려진 파일의 존재 여부를 조사한 후 변경된 파일을 우선순위로 분석하는 것이 가장 효율적이다. 또한 수집된 사본 이미지나 파일에 대한 무결성을 확보해야 한다. 데이터 무결성을 확인하는 방법은 네트워크를 통해 전송되는 데이터 에러체크에 사용되는 체크섬(Checksum, CRC), 해쉬 알고리즘, 디지털 서명(Digital Signature) 등이 있다. 데이터 무결성을 체크하는 도구들은 종류와 특성 다양하고 장·단점이 존재하기 때문에 분석 목적에 따라 무결성 체크(검증) 도구들을 다르게 적용되어야 한다. 증거분석에 필요한 사본이미지나 파일에 대한 무결성 검증에 주로 사용되고 있는 것은 MD5, SHA-1등의 해시(Hash) 알고리즘이다.
md5deep는 무결성 체크 도구로서, 입력 받은 파일에 대한 해시(Hash) 값을 출력해준다. md5unm과 비슷한 성격을 띠고 있지만, 아래와 같은 추가 기능을 가지고 있다.
반복 작업 (Recursive operation) : md5deep는 지정한 디렉토리의 모든 파일과 지정한 디렉토리 하단의 모든 파일에 대해서 MD5 계산 비교 모드 (Comparison mode) : md5deep는 알려진 해시 목록을 확인하고, 지정한 파일과 비교 시간 추정 (Time estimation) : md5deep가 매우 큰 파일을 처리해야하는 경우 완료시간을 추정해서 보여준다. 구분적 해싱 (Piecewise hashing) : 지정한 파일을 임의의 크기의 블록으로 해시 |
md5deep는 Windows (7, Vista, XP, 2000, 2003), Linux, FreeBSD, OpenBSD, Mac OS X, OpenSolaris, HP/UX에서 사용할 수 있다.
[Network Sniffers] Netsniff-NG Tool Kit (1) On Kali Linux (0) | 2013.06.26 |
---|---|
[Web Vulnerability Scanners] W3AF On Kail Linux - (1.개념) (0) | 2013.06.10 |
[Network Forensics Tools] p0f On Kali Linux (0) | 2013.05.28 |
[Network Scanner] Dnmap on Kali Linux (0) | 2013.05.23 |
Kali bleeding edge (0) | 2013.05.09 |