您当前的位置:首页 > 解决方案

X-Ways Forensics 数据真实性验证:校验和、哈希值、摘要验证

时间:2024-05-29 13:28:51

天津鸿萌科贸发展有限公司从事数据安全业务20余年,在数据恢复、数据取证、数据备份等领域有丰富的案例经验、专业技术及良好的行业口碑。同时,公司面向取证机构及数据恢复公司,提供数据恢复实验室建设方案,包含数据恢复硬件设备及数据恢复软件产品。

 

校验和是一个字符数字,用于对数据的真实性进行验证。两个具有相同校验和的文件,在很大程度上可能是两个完全相同的文件(逐个字节比对)。在可能不太精确的文件传送过程前后,对文件的校验和进行比对,则可能检测出传送过程中发生的错误。如果校验和未发生改变,则(极有可能)表明文件未被改变。但是,一个文件可以被蓄意地在不改变校验和的情况下进行篡改。针对这种可能,可以采用摘要验证方法取代校验和比对法,从而发现对原始数据进行的恶意(而非随意)篡改。

 

X-Ways Forensics 是数据取证领域的重要工具,支持以只读模式对磁盘、镜像文件、虚拟内存和物理内存进行分析,并生成取证报告。使用 X-Ways Forensics 的工具菜单命令,可以计算校验和。

标准的校验和是利用8位、16位、32位或64位累加器,对文件中所有字节进行简单的求和计算。CRC 码(循环冗余校验码)基于更复杂的算法,也更安全。

 

例如:在传输过程中,文件发生了两个字节的变化,但是变化相互抵消了(比如字节一+1,字节二-1),最后标准校验和仍保持不变,但 CRC 循环冗余码却发生了变化。

 

摘要认证与校验和类似,利用一个字符数字对数据的真实性做验证。除此之外,摘要认证还是一个强大的单向哈希值。

 

利用计算机,可以在不改变校验和的前提下,对任何数据进行操纵。在这种情况下,通过校验和来进行验证,则可能会得出数据未被更改的结论,虽然事实上发生了更改。因此,为了检测原始数据是否被恶意(而非无意)篡改,需要使用摘要验证法。即便是利用计算机,也无法找到两个拥有相同摘要值的数据。

 

当然,通过摘要验证法也可以发现那些随机性的变更,比如非精确的传输所导致的变更。但是,如果仅针对这个用途,使用校验和方法就足够了,而且因为它的计算速度更快,所以在这个用途方面功能更强。

X-Ways Forensics 可以计算下列摘要值:

MD4、MD5、SHA-1、SHA-256、RipeMD-128、RipeMD-160、Tiger128、Tiger160、Tiger192 以及 TTH (Tiger Tree Hash) 和 ed2k。