<HashCalc>
1. HashCalc 설치 (구글검색) 및 실행
2. 테스트 파일 생성
1) 최초 생성 (hashtest.txt)
2) 파일 복사 및 파일명 변경
복사 및 파일명 변경
: hashtest01.txt
: hashtest02.txt
3) 내용 수정
hashtest02.txt 파일의 내용 수정
3. 테스트 파일 검증
- Data Format : File
- Data : C\Users\uk0305\desktop\hashtest.txt
C\Users\uk0305\desktop\hashtest01.txt
C\Users\uk0305\desktop\hashtest02.txt
| 파일명 | MD5 | SHA1 |
| hashtest.txt | b043240f7723bca3180caa50a4d63a03 | c07961b4cb4e86d96ba23a3b93383968729c7c9a |
| hashtest01.txt | b043240f7723bca3180caa50a4d63a03 | c07961b4cb4e86d96ba23a3b93383968729c7c9a |
| hashtest02.txt (값 변경됨) | 9e0f2e81947e12607b1716485278dfb6 | 0fd271dc3888b282a74b02687583882a8c04a8f8 |
< Windows MAC 값 >
e.g) 각 상황에서 한글 파일에 대한 해쉬 값의 변화
- 원본 파일에 대한 해쉬 값
- 원본 파일을 윈도우 탐색기에서 복사/붙여넣기 한 파일의 해쉬 값
- 메일로 송수신 후 파일명을 변경하여 저장한 파일의 해쉬 값
1. 한글파일의 복사/이동 시 파일시간 변경
| 구분 | 내용 |
| 다크웹 마약류 사범 단속.hwp | 원본파일 |
| 다크웹 마약류 사범 단속 (1).hwp | 원본파일을 메일로 송수신한 후 다운로드 받은 파일 |
| 다크웹 마약류 사범 단속 - 복사본.hwp | 원본파일을 복사/붙여넣기 한 파일 |
: 메일로 송수신 한 후 다운로드 받은 파일에 대한 파일시간이 변경되어 있음을 확인
1) 다크웹 마약류 사범 단속.hwp (원본파일)
MD5 : a09e3f300ede02f29da389d4fcbe1ac1
SHA1 : 31ef061904c431310ae021a97d21c44d3f04c5ac
속성정보 :
2) 다크웹 마약류 사범 단속 (1).hwp (메일 송수신 후 다운로드한 파일)
MD5 : a09e3f300ede02f29da389d4fcbe1ac1
SHA1 : 31ef061904c431310ae021a97d21c44d3f04c5ac
--해쉬 값 동일
속성정보 : 만든 날짜와 수정한 날짜, 엑세스한 날짜 변경 (C, M, A)
3) 다크웹 마약류 사범 단속 - 복사본.hwp (원본파일 복사/붙여넣기 한 파일)
MD5 : a09e3f300ede02f29da389d4fcbe1ac1
SHA1 : 31ef061904c431310ae021a97d21c44d3f04c5ac
--해쉬 값 동일
속성정보 : 만든 날짜와 엑세스한 날짜 변경 (C, A)
'DFIR > 디지털포렌식 기초' 카테고리의 다른 글
| 디스크 포맷 및 복구 최소한 이것만 알자 (0) | 2020.12.02 |
|---|---|
| 디지털 증거의 법적 허용성 판례 (0) | 2020.08.26 |
| 쓰기 방지 설정 (0) | 2020.08.17 |
| 디지털포렌식 조사의 일반원칙 (0) | 2020.08.17 |
| 사본 이미지 생성하기 - FTK Imager (0) | 2015.06.19 |