我们在网络上下载文件,有时常常会看到文件的作者会附加程序的md5值。其目的是让用户对下载的文件进行md5值对比。若你下载的文件的MD5值与原作者提供的不符,则说明文件被他人修改过。如果是程序,则有可能被他人加入了恶意后门。
计算机为任意数量的文件使用多个哈希或消息摘要。同时可以选择以递归方式挖掘目录结构。默认情况下,程序计算 MD5 和 SHA-256 哈希,等效于 -c md5,sha256。它还可以使用已知哈希列表来审核一组文件。错误将报告为标准错误。如果未指定任何文件,则从标准输入读取。
使用
hashdeep 文件名
将文件修改后,再看md5值
可以发现,由b29d0b8948ed59333490babc1f85442b,040e81279652e493b4ab629446bda08181125a61fbec94997187dc892844a239改变成为了02fd2f0ba1c6d6911c9b7eb7c443629b,c2912e30e8eb731c0373d83af1046ca21d79acc452bb1a986844b26424d93b69
其他参数
-c :模式。使用指定的算法计算文件的哈希。支持 md5、sha1、sha256、tiger 和 whirlpool。
-r :启用递归模式。遍历所有子目录。请注意,递归模式不能用于检查给定文件扩展名的所有文件。例如,调用 hashdeep -r *.txt 将检查以.txt结尾的目录中的所有文件。
-v :启用详细模式。再次使用以使程序更详细。
Kali笔记