Hash, FTK vs Quickhash

0

Mi è stata data un'immagine E01, insieme a un checksum generato da FTK (MD5 e SHA1) per assicurarmi che nulla sia stato manomesso.

Ho installato filehash e quickhash che mi forniscono un hash che non corrisponde all'hash generato da FTK.

  1. Perché è così? È una copia bit a bit di una scheda di memoria

  2. Se aggiungo il file E01 a Autopsy, le corrispondenze hash! Perché?

A cura: Nel file E01.txt ci sono degli hash compatti FTK Aggiunta del file E01 all'autopsia - > Corrispondenza tra E01 validator e FTK hash computato

Quickhash non corrisponde all'hash calcolato. Perché è questo?

    
posta hvnwjxlg 23.11.2016 - 09:55
fonte

1 risposta

1

Poiché QuickHash hash "il file", mentre FTK Imager esegue il hashing del contenuto interno di un set E01.

es. se hai 10 segmenti di immagine (E01 - E010), ogni segmento è un file su disco. Contiene i dati acquisiti dal disco originale e vari valori pertinenti all'immagine E01 come i controlli CRC e i metadati. Quando Quickhash passa un segmento di immagine, legge il file e ti dice l'hash di esso. Tuttavia, quando apri un'immagine E01 in FTKi, FTKi legge tutti e 10 i segmenti dell'immagine, ignora i metadati, i dati CRC e i dati acquisiti cumulativi. Il valore hash risultante corrisponderà all'hash originale del disco.

Anche il manuale utente di QuickHash lo spiega.

    
risposta data 18.02.2017 - 20:13
fonte

Leggi altre domande sui tag