Por lo general, coloco los hashes uno al lado del otro, debería ser fácil detectar las diferencias rápidamente. Probablemente solo demore unos segundos más en comprobarlo.
Es más fácil generar hashes en órdenes de magnitudes que tienen un aspecto similar, por ejemplo, Los primeros 5 y los últimos 5 caracteres iguales. Sin embargo, el adversario debe tener en cuenta que alguien puede verificar todo el hash y, cuando se encuentra un error, se activa la alarma. Por lo tanto, ha "quemado" un posible vector de ataque ya que el propietario del servidor será notificado y parchará el sistema para evitar que el adversario acceda al servidor en el futuro.
La otra cosa a tener en cuenta es que, si bien la obtención de una colisión de hash completa puede no ser muy difícil. El archivo resultante obtenido debe ser ejecutable, contener el código malicioso previsto y tener un tamaño razonable. No tiene sentido reemplazar un ISO de 2GB con un archivo de 5TB que contenga errores y no se pueda montar como un ISO.