Recherche de site Web

Hashdeep : un outil pour l'intégrité des fichiers et la criminalistique

En tant qu'utilisateur Linux chevronné avec plus d'une décennie d'expérience, j'ai découvert de nombreux outils utiles dans divers aspects de l'administration système, de la sécurité et de l'investigation.

Un de ces outils que je trouve particulièrement utile est hashdeep, qui est un puissant utilitaire de ligne de commande utilisé principalement pour vérifier l'intégrité des fichiers et vérifier les hachages cryptographiques.

Dans cet article, je vais fournir une compréhension détaillée de ce qu'est hashdeep, de son fonctionnement et de la façon dont vous pouvez l'utiliser efficacement dans les environnements Linux.

Qu'est-ce que le hachage profond ?

hashdeep est un outil utilisé pour calculer, comparer et vérifier les hachages de fichiers, qui sont des identifiants uniques créés en appliquant une fonction de hachage (comme SHA-256 ou MD5). au contenu d'un fichier. Ces hachages servent d'« empreintes digitales » pour les fichiers. Lorsque deux fichiers ont le même hachage, cela signifie que leur contenu est identique.

hashdeep prend en charge plusieurs algorithmes de hachage tels que MD5, SHA-1 et SHA-256, ce qui le rend flexible pour divers cas d'utilisation.

Il est le plus couramment utilisé dans :

  • Vérification de l'intégrité des fichiers : garantir que les fichiers n'ont pas été falsifiés ou corrompus au fil du temps.
  • Digital Forensics : vérification de l'intégrité des fichiers dans le cadre d'enquêtes médico-légales.
  • Sauvegarde et restauration : vérification de l'intégrité des fichiers de sauvegarde et garantie de la cohérence des données pendant les processus de récupération.

Installer hashdeep sous Linux

Avant de plonger dans son utilisation, commençons par installer hashdeep sur votre système Linux, qui est disponible dans la plupart des référentiels de packages de distribution, afin que l'installation soit facile.

sudo apt install hashdeep         [On Debian, Ubuntu and Mint]
sudo yum install hashdeep         [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a sys-apps/hashdeep  [On Gentoo Linux]
sudo apk add hashdeep             [On Alpine Linux]
sudo pacman -S hashdeep           [On Arch Linux]
sudo zypper install hashdeep      [On OpenSUSE]    
sudo pkg install hashdeep         [On FreeBSD]

Une fois installé, vous pouvez commencer à utiliser hashdeep pour calculer et vérifier les hachages de fichiers.

Vous trouverez ci-dessous quelques-uns des cas d'utilisation les plus courants.

1. Calcul des hachages de fichiers

L'utilisation la plus basique de hashdeep consiste à calculer le hachage d'un seul fichier ou de plusieurs fichiers.

hashdeep -c sha256 myqr.png

Dans cette commande :

  • -c sha256 spécifie l'algorithme de hachage (SHA-256 dans ce cas).
  • myqr.png est le fichier que vous souhaitez hacher.

Vous pouvez remplacer sha256 par md5, sha1 ou d'autres algorithmes pris en charge selon vos préférences.

2. Hachage récursif de fichiers dans un répertoire

Vous pouvez également hacher tous les fichiers d'un répertoire, y compris les sous-répertoires, en utilisant l'indicateur -r (récursif) :

hashdeep -c sha256 -r /path/to/your/directory

3. Enregistrer les hachages dans un fichier

Si vous souhaitez enregistrer les hachages calculés dans un fichier pour une comparaison ultérieure, vous pouvez utiliser l'option -o pour spécifier un fichier de sortie :

hashdeep -r ravi > hashes.txt
cat hashes.txt

4. Vérification de l'intégrité des fichiers

L’une des utilisations les plus importantes de hashdeep consiste à vérifier l’intégrité des fichiers. Si vous disposez déjà d'une liste de hachages connus (par exemple, issus d'une session précédente), vous pouvez comparer les hachages de fichiers actuels à ces valeurs connues pour voir si des fichiers ont été modifiés.

Pour ce faire, utilisez la commande suivante pour vérifier les fichiers :

hashdeep -a -k hashes.txt -r /home/ravi/ravi

Cette commande vérifiera de manière récursive tous les fichiers du répertoire « ravi » par rapport aux hachages répertoriés dans hashes.txt, vous permettant de vérifier correctement leur intégrité.

5. Générer plusieurs hachages simultanément

Pour calculer plusieurs types de hachages (par exemple, MD5, SHA-1 et SHA-256) à la fois, vous pouvez spécifier plusieurs algorithmes avec l'indicateur -c :

hashdeep -c md5,sha1,sha256 -r /path/to/your/directory

Conclusion

hashdeep est un outil polyvalent et puissant pour la vérification de l'intégrité des fichiers et l'investigation numérique. Sa prise en charge de plusieurs algorithmes de hachage, du hachage récursif de répertoires et de la comparaison de fichiers en fait un utilitaire indispensable pour toute personne travaillant dans les domaines de la sécurité, de la médecine légale ou de l'administration système.

Articles connexes: