取证哈希验证
取证哈希验证 是什么?
取证哈希验证对取证镜像与原始介质计算并比对加密哈希(通常为 MD5 和 SHA-256),以证明证据完整性的实务做法。
取证哈希验证是一项基础实务做法,即对数字证据计算 MD5、SHA-1 和 SHA-256 等加密哈希,并在每个环节进行比对,以证明证据未被篡改。在采集阶段,通过硬件或软件写入封锁器,以及 FTK Imager、Guymager 或 'dd' 等工具,会同时对原始介质和生成的镜像计算哈希,两者必须一致。在工作站重新哈希、每次传输或恢复时再次哈希,均应记录在证据保管链中。NIST SP 800-86、SWGDE 最佳实践以及 ISO/IEC 27037 等标准要求双重哈希(MD5 + SHA-256),因为 MD5 已不再具备抗碰撞性。NIST NSRL 等哈希集还可用于过滤已知的良性文件。
● 示例
- 01
在证据保管链表格上记录"采集 MD5 = ...;SHA-256 = ..."并在每次恢复后核对一致。
- 02
分析前使用 'ewfverify' 对 E01 镜像重新计算哈希,以证明其未被篡改。
● 常见问题
取证哈希验证 是什么?
对取证镜像与原始介质计算并比对加密哈希(通常为 MD5 和 SHA-256),以证明证据完整性的实务做法。 它属于网络安全的 取证与应急响应 分类。
取证哈希验证 是什么意思?
对取证镜像与原始介质计算并比对加密哈希(通常为 MD5 和 SHA-256),以证明证据完整性的实务做法。
取证哈希验证 是如何工作的?
取证哈希验证是一项基础实务做法,即对数字证据计算 MD5、SHA-1 和 SHA-256 等加密哈希,并在每个环节进行比对,以证明证据未被篡改。在采集阶段,通过硬件或软件写入封锁器,以及 FTK Imager、Guymager 或 'dd' 等工具,会同时对原始介质和生成的镜像计算哈希,两者必须一致。在工作站重新哈希、每次传输或恢复时再次哈希,均应记录在证据保管链中。NIST SP 800-86、SWGDE 最佳实践以及 ISO/IEC 27037 等标准要求双重哈希(MD5 + SHA-256),因为 MD5 已不再具备抗碰撞性。NIST NSRL 等哈希集还可用于过滤已知的良性文件。
如何防御 取证哈希验证?
针对 取证哈希验证 的防御通常结合技术控制与运营实践,详见上方完整定义。
取证哈希验证 还有哪些其他名称?
常见的别称包括: 证据哈希, 镜像哈希验证, 取证哈希。
● 相关术语
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 1142
The Sleuth Kit
由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。
- forensics-ir№ 378
EnCase
EnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。
- forensics-ir№ 436
FTK
Forensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。
- forensics-ir№ 427
取证就绪
组织在发生事件或法律事项时,能够以最小干扰收集、保全并分析数字证据的预先准备能力。