Digital Forensics: Hash function

Digital Forensics: (Hash function) ฟังก์ชันแฮช > LAB MD5

  จุดประสงค์ของ Lab MD5

   1. อะไรบ้างที่ทำให้ค่า  Hash เปลี่ยน

 ฟังก์ชันแฮช (อังกฤษ: hash function) คือวิธีการอย่างหนึ่งซึ่งทำให้ข้อมูลส่วนหนึ่งหรือทั้งหมด ให้กลายเป็นจำนวนเล็กๆ อันหนึ่งอย่างมีปฏิสัมพันธ์ ซึ่งจำนวนดังกล่าวเปรียบได้ว่าเป็น "ลายนิ้วมือ" ของข้อมูล ขั้นตอนวิธีของฟังก์ชันแฮชส่วนใหญ่จะเป็นการแบ่งย่อยข้อมูลและการผสมข้อมูลย่อยทั้งหมดเข้าด้วยกันเพื่อให้ได้ผลลัพธ์สุดท้าย ผลลัพธ์ดังกล่าวอาจเรียกว่า   ค่าแฮช (hash value)

         การสร้าง Signature นั้นอาศัยการทำHash Functionซึ่งเป็นฟังก์ชันที่มีบทบาทอย่างมากต่อการรักษาความมั่นคงปลอดภัยในเครือข่าย จากคุณสมบัติที่สำคัญหลายๆประการของฟังก์ชันแฮชนั้นพบว่า ฟังก์ชันแฮชมี คุณสมบัติหลักในการตรวจสอบความคงสภาพของข้อมูล

ทำไมต้องมีฟังก์ชันแฮช?

1. เพื่อใช้ตรวจสอบว่าข้อมูลมีการเปลี่ยนแปลงหรือไม่
2. เพื่อใช้เก็บข้อมูลสำหรับเปรียบเทียบ โดยการเปรียบเทียบข้อมูลจะทำได้รวดเร็วขึ้น
3. หากข้อมูลที่จะใช้เปรียบเทียบมีขนาดใหญ่มาก จะช่วยย่อข้อมูลให้เล็กลงได้มาก แต่ขึ้นอยู่กับวิธีของฟังก์ชันแฮช
4. อื่นๆ 

ชนิดของฟังก์ชันแฮช

1. MD5 (128bits) คิดค้นโดย Ronald Rivests
2. SHA1 (160bits) คิดค้นโดย National Security Agency : NSA
3. SHA2 (SHA-224, SHA-256, SHA-384, SHA-512) คิดค้นโดย National Security Agency : NSA
4. อื่นๆ

SHA-256 ย่อมาจาก Secure Hash Algorithmเป็นฟังก์ชันแฮชที่ถูกพัฒนาขึ้นหลังจาก MD5 แรกเริ่มพัฒนาเป็น SHA-1 ถัดมากลายเป็น SHA-256,และ SHA-512โดยปัจจุบันได้นำมาใช้แทน MD5
เนื่องจากมีความปลอดภัยที่สูงกว่าและแม่นยำกว่าซึ่งแก้ปัญหาการชนกันของค่าแฮช(Collision)ที่ข้อมูลสองข้อมูลมีค่าแฮชตรงกัน

ทำการ download Hash Tool  Hash Tool is a utility to calculate the hash of multiple files.
 1. ทำการติดตั้งโปรแกรม  Hash Tool

 

2. ทดสอบค่า MD5  hash กับไฟล์รูป ชื่อ chain of Custody.jpg
    MD5 = 4723fd6167cf3074e36981959e2b1d8e

3. ทำการ Rename ไฟล์รูป ชื่อ chain of Custody.jpg  เป็น chain.jpg
    run Hash  MD5 = 4723fd6167cf3074e36981959e2b1d8e   ค่าไม่เปลี่ยน

 

4. ทำการเพิ่มข้อมูลใน Properties Details (meta data) ในส่วน Title ,Subject ,Authors

  run Hash  MD5 = 9fd4e6c35217e30d4eaaee86a92b6939   ค่า เปลี่ยน

5. ทำการลบข้อมูลใน Properties Details (meta data) ในส่วน Title ,Subject ,Authors

  run Hash  MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5   ค่า เปลี่ยน

6 ทำการลบข้อมูล user  Account Unknown ใน Properties Security ในส่วน (permission)
  run Hash  MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5   ค่าไม่เปลี่ยน

7 ทำการเพิ่มข้อมูล user Everyoneใน Properties Security ในส่วน (permission)
  run Hash  MD5 = bf176eec3c4b2e29db1e29dfa3d7a9d5   ค่าไม่เปลี่ยน

สรุป  การทดสอบ ปัจจัยที่ทำให้ค่า  Hash เปลี่ยน

       1. แก้ไข content

  

 

อ้างอิง
https://www.thaicert.or.th/papers/technical/2012/pa2012te013.html
https://blog.inslash.com/%E0%B8%9F%E0%B8%B1%E0%B8%87%E0%B8%81%E0%B9%8C%E0%B8%8A%E0%B8%B1%E0%B8%99%E0%B9%81%E0%B8%AE%E0%B8%8A-hash-function-a985ed40351d

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #hash value  #MD5