2024. 3. 14. 21:15ㆍInformation Security 정보보안/Malicious Code Analysis 악성 코드 분석
배울내용:
hashdeep
md5sum
hashdeep 옵션
WinMD5
해쉬값 충돌
리눅스 해쉬값
정적 파일 분석도구
automatic analysis
Malicious Code Analysis
WindMD5.exe
는 MD5 해시 값을 계산하는 프로그램이다. MD5는 메시지 다이제스트 5로, 주어진 데이터나 파일을 고정된 길이의 해시 값으로 변환하는 해시 함수입니다. 이를 통해 데이터의 무결성을 확인하거나 비교하는 등의 용도로 사용된다.
여기에다가 파일을 올리면 그 파일에대한 해쉬값이 나온다
그럼 먼저 메모장을 만들어서 값을 1234 만 넣어주고 저장한다
1234 의 해쉬값은 뒤에값이 ..ed055 이다
그럼만약 12345 로 수정후에 넣으면 어떻게 될까 ?
완전히 달라지게 된다
즉 , 1비트라도 정확히 일치하는 파일이 있으면 똑같은 해쉬값이 나온다
만약 이 파일의 원래의 해쉬값과 비교했을때의 해쉬값이 다르면 "변조" 됐다고 볼수있는 것이다.
또는 , 이는 무결성 정검도구로 쓰이는 것이라고도 볼수도 있다 .
참조 :
https://sarimus.tistory.com/103
Malicious Code Analysis DAY_001 악성코드 란?, Malware, 바이러스와 악성코드, 악성코드 유형, 악성코드 분
배울내용: 악성코드 란? Malware 바이러스와 악성코드 악성코드 유형 악성코드 분석규칙 자동화 분석 automatic analysis 오용탐지와 이상탐지 정적 분석 개요 해쉬값 악성코드분석 Malicious Code Analysis Ma
sarimus.tistory.com
Kali 에서는
pass.txt 에다가 아무글써주고 md5sum 한 값은
맨끝값이 b56 이라고하면
vim 을이용해서 글자 1개만추가해줘도
맨끝값말고도 전부다 바뀐걸 볼수있다
그대신 안에 내용이 같으면 똑같은 해쉬값이 나온다
이를 해쉬함수의 충돌성이다
그래서 해쉬함수가 SHA 256 , SHA512 처럼 충돌을 방지하기위해서 점점늘어난것이다
이렇듯이 해쉬함수를 비교하거나 출력하기위해서 아래와 같은 방법들이 쓰이게 된다
> MD5 값 출력할때
#hashdeep test.txt
> MD5 해시값만 출력할때
#hashdeep -r -c md5 test.txt
> SHA -256 해시값만 출력할 때
#hashdeep -r -c sha256 test.txt
> gzip으로 압축 전 해시값
43,be04cef9449a481de701df329fc1da0d,/home/sarimus.sum
> gzip으로 압축 후 해시값 (헤더값이 붙기떄문에 압축값이 틀려짐)
71,8eddb1e4bf0dfe073739cfdf334a6667,/home/ sarimus .sum.gz
> gunzip 으로 압축해제후 해시값 (압축했다가 깨질수있음 그래서 함부로 압축하는것 아님 )
43,be04cef9449a481de701df329fc1da0d,/home/ sarimus .sum
해시값 생성 및 검증
> hashdeep -r -c md5 sarimus .txt > sarimus .sum
비교하기
> hashdeep -a -r -k sarimus .sum sarimus .txt
hashdeep: Audit passed
<옵션>
-a : 검증
-c : 해시 종류
-k : 해쉬값
-r : 파일 읽기
위에 제공된 명령어들은 주어진 파일이나 디렉터리의 해시 값을 생성하고 검증하는 데 사용된다.
각 명령어의 역할은 다음과 같다.
