Agente já falou aqui sobre a importância de hashes para um perito digital. Um estudioso da área chamado Jesse Kornblum criou uma ferramenta bem legal. Ela se chama: ssdeep
Mas o que essa ferramenta faz? Ela calcula o índice de semelhança entre arquivos através de comparação de hashes.
Eu vou mostrar um exemplo prático de como usar esta ferramenta.
Primeiramente, eu vou criar um arquivo no OpenOffice Word Processor. O meu arquivo é uma lista de frutas que contém 5 elementos: Maçã, banana, melão, mamão e melancia. Vou chamar este arquivo de frutas.doc. Depois, eu vou criar um outro arquivo que vai se chamar frutas2.doc e que vai conter os elementos: maca, banana, melão, mamão e melancia.
OBS: Notem que a única diferença entre os 2 arquivos está no nome da primeira fruta (em frutas.doc o primeiro elemento é maçã; em frutas2.doc o primeiro elemento é maca).
O segundo passo é armazenar o hash do "frutas.doc" em um arquivo, que vou chamá-lo de hash.db. O parâmetro "-b" usa o caminho relativo, ao invés de usar o caminho absoluto (figura1).
Depois, é só confrontar o conteúdo do arquivo "hash.db" com o arquivo frutas2.doc. Desse modo, eu estou calculando o índice de semelhança dos 2 arquivos. Mas para confrontar esses dois arquivos eu preciso utilizar ainda o parâmetro -m (figura 2):
O valor entre parênteses indica o nível de semelhança entre os 2 arquivos. Neste exemplo, o ssdeep diz que o arquivo frutas2.doc se assemelha em 71% com o arquivo frutas.doc
Pra vocês entenderem melhor, eu selecionei alguns artigos sobre o assunto onde vocês podem pesquisar mais sobre o assunto:
1º artigo: http://www.forensicswiki.org/wiki/Ssdeep
2º artigo: http://foren6.wordpress.com/2009/11/27/fuzzyhashing/
3º artigo: http://computer-forensics2.sans.org/blog/2010/08/12/computer-forensics-disk-diff
4º artigo: http://forcomp.blogspot.com/2007/09/nosso-amigo-hash-parte-vi.html
Com esses 4 artigos, vocês vão entender bem o que é fuzzy hashing e como utilizar essa ferramenta muito interessante, chamada ssdeep.
Bom, é isso.
Abração!
1º artigo: http://www.forensicswiki.org/wiki/Ssdeep
2º artigo: http://foren6.wordpress.com/2009/11/27/fuzzyhashing/
3º artigo: http://computer-forensics2.sans.org/blog/2010/08/12/computer-forensics-disk-diff
4º artigo: http://forcomp.blogspot.com/2007/09/nosso-amigo-hash-parte-vi.html
Com esses 4 artigos, vocês vão entender bem o que é fuzzy hashing e como utilizar essa ferramenta muito interessante, chamada ssdeep.
Bom, é isso.
Abração!
Nenhum comentário:
Postar um comentário