Digital Forensics: (Hash function) ฟังก์ชันแฮช > LAB MD5
จุดประสงค์ของ Lab MD5
1. อะไรบ้างที่ทำให้ค่า Hash เปลี่ยน
ฟังก์ชันแฮช (อังกฤษ: hash function) คือวิธีการอย่างหนึ่งซึ่งทำให้ข้อมูลส่วนหนึ่งหรือทั้งหมด ให้กลายเป็นจำนวนเล็กๆ อันหนึ่งอย่างมีปฏิสัมพันธ์ ซึ่งจำนวนดังกล่าวเปรียบได้ว่าเป็น "ลายนิ้วมือ" ของข้อมูล ขั้นตอนวิธีของฟังก์ชันแฮชส่วนใหญ่จะเป็นการแบ่งย่อยข้อมูลและการผสมข้อมูลย่อยทั้งหมดเข้าด้วยกันเพื่อให้ได้ผลลัพธ์สุดท้าย ผลลัพธ์ดังกล่าวอาจเรียกว่า ค่าแฮช (hash value)
การสร้าง Signature นั้นอาศัยการทำHash Functionซึ่งเป็นฟังก์ชันที่มีบทบาทอย่างมากต่อการรักษาความมั่นคงปลอดภัยในเครือข่าย จากคุณสมบัติที่สำคัญหลายๆประการของฟังก์ชันแฮชนั้นพบว่า ฟังก์ชันแฮชมี คุณสมบัติหลักในการตรวจสอบความคงสภาพของข้อมูล
ทำไมต้องมีฟังก์ชันแฮช?
- เพื่อใช้ตรวจสอบว่าข้อมูลมีการเปลี่ยนแปลงหรือไม่
- เพื่อใช้เก็บข้อมูลสำหรับเปรียบเทียบ โดยการเปรียบเทียบข้อมูลจะทำได้รวดเร็วขึ้น
- หากข้อมูลที่จะใช้เปรียบเทียบมีขนาดใหญ่มาก จะช่วยย่อข้อมูลให้เล็กลงได้มาก แต่ขึ้นอยู่กับวิธีของฟังก์ชันแฮช
- อื่นๆ
ชนิดของฟังก์ชันแฮช
- MD5 (128bits) คิดค้นโดย Ronald Rivests
- SHA1 (160bits) คิดค้นโดย National Security Agency : NSA
- SHA2 (SHA-224, SHA-256, SHA-384, SHA-512) คิดค้นโดย National Security Agency : NSA
- อื่นๆ
เนื่องจากมีความปลอดภัยที่สูงกว่าและแม่นยำกว่าซึ่งแก้ปัญหาการชนกันของค่าแฮช(Collision)ที่ข้อมูลสองข้อมูลมีค่าแฮชตรงกัน
ทำการ download Hash Tool Hash Tool is a utility to calculate the hash of multiple files.
1. ทำการติดตั้งโปรแกรม Hash Tool
MD5 = 4723fd6167cf3074e36981959e2b1d8e
3. ทำการ Rename ไฟล์รูป ชื่อ chain of Custody.jpg เป็น chain.jpg
run Hash MD5 = 4723fd6167cf3074e36981959e2b1d8e ค่าไม่เปลี่ยน
4. ทำการเพิ่มข้อมูลใน Properties Details (meta data) ในส่วน Title ,Subject ,Authors
run Hash MD5 = 9fd4e6c35217e30d4eaaee86a92b6939 ค่า เปลี่ยน
5. ทำการลบข้อมูลใน Properties Details (meta data) ในส่วน Title ,Subject ,Authors
run Hash MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5 ค่า เปลี่ยน
6 ทำการลบข้อมูล user Account Unknown ใน Properties Security ในส่วน (permission)
run Hash MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5 ค่าไม่เปลี่ยน
7 ทำการเพิ่มข้อมูล user Everyoneใน Properties Security ในส่วน (permission)
run Hash MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5 ค่าไม่เปลี่ยน
สรุป การทดสอบ ปัจจัยที่ทำให้ค่า Hash เปลี่ยน
1. แก้ไข content
https://www.thaicert.or.th/papers/technical/2012/pa2012te013.html
https://blog.inslash.com/%E0%B8%9F%E0%B8%B1%E0%B8%87%E0%B8%81%E0%B9%8C%E0%B8%8A%E0%B8%B1%E0%B8%99%E0%B9%81%E0%B8%AE%E0%B8%8A-hash-function-a985ed40351d
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #hash value #MD5
No comments:
Post a Comment