Este é o comando hashdeep que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador Windows online ou emulador MAC OS online
PROGRAMA:
NOME
hashdeep - Compute, compare ou audite vários resumos de mensagens
SINOPSE
profundo -V | -h
profundo [-c [, ]] [-k ] [-eu ] [-f ] [-o ]
[-amxwMXreEspblvv] [-F ] [-j ] [ARQUIVOS]
DESCRIÇÃO
Calcula vários hashes, ou resumos de mensagens, para qualquer número de arquivos, enquanto opcionalmente
vasculhando recursivamente a estrutura do diretório. Por padrão, o programa calcula MD5
e hashes SHA-256, equivalente a -c md5, sha256. Também pode pegar uma lista de hashes conhecidos e
exibir os nomes dos arquivos de entrada cujos hashes correspondem ou não correspondem a nenhum dos
hashes conhecidos. Também pode usar uma lista de hashes conhecidos para auditar um conjunto de ARQUIVOS. Erros são
reportado ao erro padrão. Se nenhum arquivo for especificado, lê a entrada padrão.
-c [, ...]
Modo de computação. Compute hashes de FILES usando os algoritmos especificados. Jurídico
os valores são md5, sha1, sha256, tiger e whirlpool.
-k Carregue um arquivo de hashes conhecidos. Este sinalizador é necessário ao usar qualquer um dos
ou modos de auditoria (ou seja, -m, -x, -M, -X ou -a) Este sinalizador pode ser usado mais de uma vez para
adicione vários conjuntos de hashes conhecidos.
Carregar conjuntos com diferentes algoritmos de hash às vezes pode gerar hash espúrio
colisões. Por exemplo, digamos que temos dois conjuntos de hash, A e B, que têm alguns
arquivos sobrepostos. Por exemplo, o arquivo / usr / bin / bad está em ambos os conjuntos. Em A nós
gravou o MD5 e SHA-256. Em B, gravamos o MD5, SHA-1 e SHA-256.
Como esses dois registros são diferentes, ambos serão carregados. Quando o programa
calcula todos os três hashes e os compara ao conjunto de conhecidos, obteremos um
correspondência exata do registro em B e uma colisão do registro em A.
-a Modo de auditoria. Cada arquivo de entrada é comparado com o conjunto de conhecidos. Uma auditoria é
dito para passar se cada arquivo de entrada for correspondido com exatamente um arquivo no conjunto de
conhecidos. Quaisquer colisões, novos arquivos ou arquivos ausentes farão com que a auditoria falhe. Usando
este sinalizador sozinho produz uma mensagem, "Auditoria aprovada" ou "Auditoria falhada". Usar
os modos detalhados, -v, para obter mais detalhes. Usando -v imprime o número de arquivos em
cada categoria. Usar -va pela segunda vez imprime quaisquer discrepâncias. Usando -va third
time imprime os resultados de cada arquivo examinado e de cada arquivo conhecido.
Devido às limitações do programa, qualquer nome de arquivo com caracteres Unicode irá
parecem ter se movido durante uma auditoria. Consulte a seção "SUPORTE A UNICODE" abaixo.
-m Correspondência positiva, requer pelo menos um uso do sinalizador -k. Os arquivos de entrada são
examinou um de cada vez, e apenas os arquivos que correspondem à lista de hashes conhecidos
são produzidos. O único formato aceitável para hashes conhecidos é a saída do anterior
hashdeep é executado.
Se a entrada padrão for usada com o sinalizador -m, exibe "stdin" se a entrada corresponder
um dos hashes na lista de hashes conhecidos. Se o hash não corresponder, o
o programa não exibe nenhuma saída.
Este sinalizador não pode ser usado em conjunto com os sinalizadores -x, -X ou -a. Veja o
seção "APOIO UNICODE" abaixo.
-x Correspondência negativa. Igual ao sinalizador -m acima, mas com correspondência negativa. Isso é,
apenas os arquivos que NÃO estão na lista de hashes conhecidos são exibidos.
Este sinalizador não pode ser usado em conjunto com os sinalizadores -m, -M ou -a. Veja o
seção "APOIO UNICODE" abaixo.
-f
Obtém uma lista de arquivos a serem hash do arquivo especificado. Cada linha é assumida como
ser um nome de arquivo. Este sinalizador só pode ser usado uma vez por invocação. Se for usado um
na segunda vez, a segunda instância derrotará a primeira.
Observe que você ainda pode usar outros sinalizadores, como os modos -m ou -x, e enviar
ARQUIVOS adicionais na linha de comando.
-w Quando usado com modos de correspondência positiva (-m, -M) exibe o nome do arquivo do conhecido
hash que correspondeu ao arquivo de entrada. Consulte a seção "SUPORTE A UNICODE" abaixo.
-M e -X
O mesmo que -m e -x acima, mas exibe o hash para cada arquivo que faz (ou faz
não) correspondem à lista de hashes conhecidos.
-r Ativa o modo recursivo. Todos os subdiretórios são percorridos. Por favor, note que
o modo recursivo não pode ser usado para examinar todos os arquivos de uma determinada extensão. Para
exemplo, chamar hashdeep -r * .txt examinará todos os arquivos em diretórios aquele fim
em .txt.
-e Exibe um indicador de progresso e estimativa do tempo restante para cada arquivo sendo
processado. As estimativas de tempo para arquivos maiores que 4 GB não estão disponíveis no Windows.
Este modo não pode ser usado com o modo -p.
-E Quando no modo de auditoria, executa a correspondência sem distinção entre maiúsculas e minúsculas de nomes de arquivos. Por exemplo,
\ foo \ bar corresponderá a \ Foo \ BAR. Isso pode ser importante em sistemas Windows, onde
nomes de arquivos não diferenciam maiúsculas de minúsculas.
-i
Modo de limite de tamanho. Apenas arquivos hash menores do que o limite fornecido. Tamanhos
pode ser especificado usando os multiplicadores IEC b, k, m, g, t, p e e.
-o
Ativa o modo especialista. Permite que o usuário especifique quais (e apenas quais) tipos de arquivos
são processados. O processamento do diretório ainda é controlado com o sinalizador -r. o
as opções do modo especialista permitidas são:
f - Arquivos regulares
b - Dispositivos de bloco
c - Dispositivos de personagem
p - Pipes Nomeados
l - Links Simbólicos
s - soquetes
d - Portas Solaris
e - executáveis do Windows PE
-s Ativa o modo silencioso. Todas as mensagens de erro são suprimidas.
-p Modo por partes. Divide os arquivos em pedaços antes de fazer o hash. Pedaços podem ser especificados
usando os multiplicadores IEC b, k, m, g, t, p e e. (Nunca deixe ser dito que o autor
não planejei com antecedência.)
-b Ativa o modo simples. Retira qualquer informação do diretório principal exibida
nomes de arquivos. Este sinalizador não pode ser usado em conjunto com o sinalizador -l.
-l Ativa caminhos de arquivo relativos. Em vez de imprimir o caminho absoluto para cada arquivo,
exibe o caminho relativo do arquivo conforme indicado na linha de comando. Esta bandeira não pode
ser usado em conjunto com o sinalizador -b.
-v Ativa o modo detalhado. Use novamente para tornar o programa mais detalhado. Isso principalmente
altera o comportamento do modo de auditoria, -a.
-jnn Controla o multi-threading. Por padrão, o programa irá criar um thread produtor para
verifique o sistema de arquivos e um thread de hashing por núcleo da CPU. Causas de multi-threading
os nomes dos arquivos de saída estão em uma ordem não determinística, como arquivos que demoram mais para
o hash será atrasado enquanto eles são processados. Se uma ordem determinística for necessária,
especificamos -j0 para desativar multi-threading
-d Saída em formato Digital Forensics XML (DFXML).
-u Cite a saída Unicode. Por exemplo, o boneco de neve é mostrado como U + C426.
-F
Especifica o modo de entrada usado para ler arquivos. O padrão é -Fb (armazenado em buffer
I / O) que lê arquivos com fopen (). Especificando -Fu usará E / S sem buffer e
leia o arquivo com open (). Especificando -Fm usará I / O mapeado em memória, que será
mais rápido em algumas plataformas, mas que (atualmente) não funcionará com arquivos que
produzir erros de E / S.
-h Mostra uma tela de ajuda e sai.
-V Mostre o número da versão e saia.
UNICODE SUPPORT
A partir da versão 3.0, o programa oferece suporte a caracteres Unicode em nomes de arquivos no Microsoft
Sistemas Windows para nomes de arquivos especificados na linha de comando com globbing (por exemplo, *), para
arquivos especificados com o -f de arquivos para hash e para arquivos lidos de diretórios usando
da -r opção.
Por padrão, todas as entradas e saídas do programa devem estar em UTF-8. O programa automaticamente
converte para UTF-16 para abrir arquivos).
No Unix / Linux / MacOS, você deve usar um emulador de terminal que suporte UTF-8 e UTF-8
os caracteres nos nomes dos arquivos serão exibidos corretamente.
No Windows, os programas não exibem caracteres Unicode no console. Você deve
quer redirecionar a saída para um arquivo e abrir o arquivo com o Wordpad (que pode exibir
Unicode), ou você deve especificar o -u opção de citar Unicode usando padrão U + XXXX
notação.
Atualmente, o nome de um arquivo contendo hashes conhecidos não pode ser especificado como um
nome de arquivo Unicode, mas você pode especificar o nome usando preenchimento de tabulação ou um asterisco (por exemplo
md5deep -m * .txt onde há apenas um arquivo com uma extensão .txt).
RETORNO VALOR
Retorna um valor bit a bit com base no sucesso da operação e no status de qualquer
operações de correspondência.
0 Sucesso. Observe que o programa se considera bem-sucedido mesmo quando encontra
ler erros, erros de permissão negada ou encontrar diretórios quando não em recursivo
modo.
1 hashes não utilizados. Em qualquer um dos modos de correspondência, retorna este valor se um ou mais
dos hashes conhecidos não foi correspondido por nenhum dos arquivos de entrada.
2 entradas incomparáveis. Em qualquer um dos modos de correspondência, retorna este valor se um ou
mais dos valores de entrada não corresponderam a nenhum dos hashes conhecidos.
64 Erro do usuário, como tentar fazer correspondência positiva e negativa ao mesmo tempo
tempo.
128 Erro interno, como corrupção de memória ou ciclo não detectado. Todos os erros internos
deve ser relatado ao desenvolvedor! Veja a seção "Reportando Bugs" abaixo.
Use hashdeep online usando serviços onworks.net