SHA-1 해쉬값 확인방법(Autopsy에서)

똑같은 버젼인데 Export FIle hash가 활성화가 안되는데 이유가 뭔지모르겠네요

안녕하세요 mmshk1님!

말씀하시는 부분이 문제에서 'Sha-1 해시값이 *********인 파일을 찾고, 그 파일의 특정정보를 기술하라' 이런 형태의 문제를 해결해야하는 경우를 말씀하시는거죠?

우선 말씀하신 것처럼 Autopsy에서는 MD5와 SHA-256 2개의 해시값을 보여주고 있습니다. 저도 조금 찾아보기는 했는데 SHA-1값은 보여주지 않는 것 같습니다.(4.20.0 버전 기준이며, 예전버전에서는 나왔는지는 모르겠네요) 조금 더 알아보고 방법이 있다면 따로 다시 말씀드리겠습니다.

그와 별개로 우선 시험을 보셔야하니, 다른 방법을 알려드릴게요. 조금 귀찮으실수도 있는데,

1. 문제가 Sha-1 hash값을 주고 그 파일을 찾아라 라는 내용일 경우

   1) FTK Imager에서 해당 이미지(e01 또는 복구를 했다면 001 파일)를 불러온 후

    

   2) 한 개의 파티션을 선택 하여 마우스 오른쪽 > 'Export File Hash List' 클릭

   ※ 파티션이 여러개인경우 파티션별로 반복

   

    

   3) hash 리스트 파일이 저장될 위치와 파일명 설정 후 저장(.csv 로 저장됩니다)

   

    

   4) 생성된 .csv파일을 열면 아래와 같은 화면을 보실수 있으며, 우선 Sha-1 Hash값이 주어졌으니

   엑셀에서 필터를 활성화 시키고 정렬한뒤에 (혹은 직접 검색하셔도 됩니다) 주어진 해시값을 찾고

   그 해시값을 갖는 파일의 파일명과 저장위치, MD5 hash값을 확인하신 다음에

   

    

   5) Autopsy에서 해당 파일을 찾아서(파일검색 또는 MD5 해시값으로 검색, 저장위치로 바로 가서 찾기 등)

   MD5값이 엑셀에서 봤던 값과 동일한지 최종 확인한 후 그 파일에 대해서 필요한 내용들을 기술하시면 됩니다.

   

    

   6) 보고서상에 캡처파일과 찾는 과정 등을 쓰실경우에는 'autopsy에서는 Sha-1 Hash값을 확인할 수 없어서 FTK Imager로 해시값을 산출 후에 Sha-1 해시값이 *******인 파일을 확인할 수 있었다.' 라는 내용과 .csv 파일에서 해당 파일을 찾은 내용을 캡처해서 붙여주시면 더 좋겠죠.

    

2. 문제가 '특정 파일에 대해서 Sha-1 해시값을 구해라'일 경우

   • 이런 문제는 거의 없을것 같긴한데, 혹시나 해서 말씀드립니다.

     autopsy에서 특정파일이 있는데 그 파일의 Sha-1 해시값을 구하라고 했을경우라면

     앞에서 생성했던것처럼 FTK Imager에서 찾고자 하는 파일이 저장된 파티션의 해시리스트를 만드신 후에, autopsy에서 확인한 그 파일의 MD5 해시값을 엑셀에서 검색한 뒤, sha-1 hash값을 확인하시면 될 것 같습니다.

귀찮지 않습니다! 궁금하신게 있으시면 언제든지 부담 갖지 말고 질문 주세요~ :)