Hashes, FTK vs Quickhash

0

Me dieron una imagen E01, junto con una suma de comprobación generada por FTK (MD5 & SHA1) para asegurarme de que no se haya manipulado nada.

Instalé el canto de archivos, y el de craqueo rápido que me da un hash que no coincide con el hash generado por FTK.

  1. ¿Por qué es eso? Es una copia de bit a bit de una tarjeta de memoria

  2. ¡Si agrego el archivo E01 a Autopsia, el hash coincide! ¿Por qué?

Editado: En el archivo E01.txt hay hash computados FTK Agregando el archivo E01 a Autopsia - > Coincidencia entre el validador E01 y el hash computado FTK

Quickhash no coincide con el hash calculado. ¿Por qué es esto?

    
pregunta hvnwjxlg 23.11.2016 - 09:55
fuente

1 respuesta

1

Debido a que QuickHash hash "el archivo", mientras que FTK Imager tiene el contenido interno de un conjunto E01.

por ejemplo Si tiene 10 segmentos de imagen (E01 - E010), cada segmento es un archivo en el disco. Contiene los datos adquiridos del disco original y varios valores pertinentes a la imagen E01 como las comprobaciones de CRC y los metadatos. Cuando se le pasa a Quickhash un segmento de imagen, lee el archivo y le dice el hash. Sin embargo, cuando abre una imagen E01 en FTKi, FTKi lee todos los 10 segmentos de imagen juntos, ignora los metadatos y el material CRC y hace un hash de los datos acumulados adquiridos. El valor de hash resultante coincidirá con el hash original del disco.

El manual del usuario de QuickHash también explica esto.

    
respondido por el Gizmo_the_Great 18.02.2017 - 20:13
fuente

Lea otras preguntas en las etiquetas