コンピューターフォレンジック調査の専門家になるには、ハッシュとハッシュの計算に使用されるツールに関する十分な知識が必要です。
シナリオ
多国籍企業がネットワーク攻撃を受け、問題を調査するために科学捜査官を呼びました。調査員は、よく知られていると思われるいくつかのコードを発見したため、マルウェア データベース全体でそれらが利用可能かどうかをクロスチェックする必要があります。ここでの主な問題は、コードが巨大で大量の記憶領域を必要とするため、検索やインデックス作成が困難になることです。したがって、調査者はコードのハッシュ値を使用して、データベース内の痕跡を見つけます。
目的
ファイルやテキストなどのデータに対してハッシュが実行され、ハッシュまたはチェックサムと呼ばれる固有の固定長文字列が生成されます。生成されたハッシュは、特定のデータが整合性を維持しているかどうかを判断するのに役立ちます。
目的は、次の方法を実証することです。
◆ファイルとテキスト文字列のハッシュを計算します
◆VirusTotal のハッシュをチェックして、ファイルに悪意があるかどうかを確認します。
※ハッシュまたはハッシュ値はチェックサムとも呼ばれます。
概要
今回は、Serverさまざまなファイルのハッシュ値を決定するのに役立つツールであるHashCalcについて学びます。ファイルのハッシュ値を決定することで、調査者はファイルの整合性を確立できます。
1
HashCalcをダウンロードし、setup.exeをダブルクリックし、ウィザードによるインストール手順に従ってアプリケーションをインストールします。
2
インストールの最後のステップで、「READMEファイルを表示」オプションをオフにし、「Launch HashCalc」オプションをオンにして、「完了」をクリックします。
3
インストールが終わるとHashCalcアプリケーションのメイン ウィンドウが表示されます。
4
[データ形式]ドロップダウン リストで、データ形式として[ファイル]を選択し、[データ]フィールドに関連付けられた省略記号ボタンをクリックして[File]を選択します。
5
次に、「検索」ウィンドウが表示されます。ハッシュ値を計算する必要がある証拠ファイルを選択する必要があります。今回は、 Fan-oven.pngを選択しました。ファイルを選択したら、「開く」をクリックします。
6
選択したファイルが「データ」フィールドに表示されます。
※データのメッセージ ダイジェスト/チェックサムを計算するには、[HMAC]ボックスのチェックを外す必要があります。
7
適切な名前のボックスをチェックして計算に使用するアルゴリズムを選択し、「計算」ボタンをクリックします。
8
次のスクリーンショットに示すように、選択したファイルのハッシュ値が表示されます。
9
データのキー付きハッシュ メッセージ認証コード ( HMAC ) を計算するには、次の手順を実行します。
10
テキスト文字列の計算を実行する場合は、まず[データ形式]ドロップダウン リストから[テキスト文字列]を選択し、[ HMAC]ボックスのチェックを外してから、データにテキスト (ここでは「Hello David, how have you be? 」)を入力します。
必要なアルゴリズムにチェックを入れて計算に使用するアルゴリズムを選択し、「計算」ボタンをクリックします。
11
次のスクリーンショットに示すように、選択したアルゴリズムのハッシュ値が表示されます。
