hashdeep с sha1 и sha1sum создает разные результаты
Я вычислил sha1-хэш файла '/ etc / mtab' с hashdeep на Ubuntu 16.04. Затем я вычислил хэш sha1 того же файла с sha1sum.
При вычислении хэшей для других файлов обе программы, похоже, создают один и тот же хеш. Наконец, я скопировал файл на другой компьютер и запустил там две программы. На втором компьютере они вычислили один и тот же хэш, который был вычислен на первом компьютере с помощью sha1sum. Наконец, я проверил файл «/ etc / mtab» на втором компьютере, а не на скопированном, с hashdeep и sha1sum, и я снова получил разные результаты.
То же самое касается sha256 при использовании hashdeep и sha256sum.
Я звоню hashdeep -c sha256 /etc/mtab и sha256sum /etc/mtab
Кто-нибудь знает, как это может случиться? Есть ли реализация кэширования для hashdeep, поэтому хранятся старые хэши?
3 ответа
Я просто запустил это в своей системе, и все прошло хорошо, это мои результаты:
Ran: hashdeep -c sha256 Xwrapper.config
%%%% HASHDEEP-1.0
%%%% size,sha256,filename
## Invoked from: /home/george/Documents/askubuntu
## $ hashdeep -c sha256 Xwrapper.config
##
630,c53eb030a8f9a2f7c08dd04e3611c9470f840d90d1261ef3e6643b1d1aff8608,/home/george/Documents/askubuntu/Xwrapper.config
Ran: sha256sum Xwrapper.config
c53eb030a8f9a2f7c08dd04e3611c9470f840d90d1261ef3e6643b1d1aff8608 Xwrapper.config
Хорошо, объясните как можно лучше, после проверки нескольких вещей я вижу кое-что о том, как hashdeep и sha256sum смотрят symbolic links. Когда я делаю stat /etc/mtab, я вижу, что размер 19, но когда я запускаю (с опцией l, ссылка):
hashdeep -o l /etc/mtab
Он ничего не возвращает, но если я это делаю:
hashdeep -o f /atc/mtab
Он возвращает хэш ниже, но заметьте, что размер 0 отличается от того, что было ранее stat /ec/mtab:
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: /etc
## $ hashdeep -o lf /etc/mtab
## 0,d41d8cd98f00b204e9800998ecf8427e,e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855,/etc/mtab
Он видит файл как обычный файл, так как я использовал параметр f и, следовательно, сообщает или вычисляет sha256 из пустого файла, тогда как sha256sum видит его как symbolic link и размера 19.
Обратите внимание, что этот файл является ссылкой на proc/self/mounts, который hashdeep все еще видит как 0 ] по размеру, но вид stat как 19, поэтому hashdeep выполняет эту ссылку, но, похоже, не может читать содержимое или видеть содержимое этого файла. Однако он видит /etc/vtrgb как непустой файл, поэтому я предполагаю, что ссылка /etc/mtab на /proc/self/mounts имеет значение.
Это даже становится более интересным и подтверждает мое подозрение в отношении ссылки /etc/mtab на /proc/self/mounts, когда я запустил это на другой ссылке hashdeep /etc/vtrgb:
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: /etc
## $ hashdeep /etc/vtrgb
## 158,1fb3c13c4fcfa8cc4131aba905df559e,684cd905549f78e025870dd5c8a3835e49f79f2bb08952eb7424537f6df5fa13,/etc/vtrgb
Как вы заметите, обычный файл не равен нулю, как в случае с /etc/mtab, и работает:
sha256sum /etc/vtrgb
Возвращает ту же checksum:
684cd905549f78e025870dd5c8a3835e49f79f2bb08952eb7424537f6df5fa13 /etc/vtrgb
Дальнейшее исследование показывает, что hashdeep возвращает тот же hash
0,d41d8cd98f00b204e9800998ecf8427e,e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
для всех файлов и каталогов в /proc/, который на самом деле является pseudo filesystem, поэтому их информация хранится в памяти не на диске. В то время как sha256sum не возвращает разные checksum для этих же файлов.
-
1Не могли бы вы запустить его на '/ etc / mtab'? – server 16 September 2017 в 20:19
-
2Хорошая работа, спасибо. – server 16 September 2017 в 22:05
Я просто запустил это в своей системе, и все прошло хорошо, это мои результаты:
Ran: hashdeep -c sha256 Xwrapper.config
%%%% HASHDEEP-1.0
%%%% size,sha256,filename
## Invoked from: /home/george/Documents/askubuntu
## $ hashdeep -c sha256 Xwrapper.config
##
630,c53eb030a8f9a2f7c08dd04e3611c9470f840d90d1261ef3e6643b1d1aff8608,/home/george/Documents/askubuntu/Xwrapper.config
Ran: sha256sum Xwrapper.config
c53eb030a8f9a2f7c08dd04e3611c9470f840d90d1261ef3e6643b1d1aff8608 Xwrapper.config
Хорошо, объясните как можно лучше, после проверки нескольких вещей я вижу кое-что о том, как hashdeep и sha256sum смотрят symbolic links. Когда я делаю stat /etc/mtab, я вижу, что размер 19, но когда я запускаю (с опцией l, ссылка):
hashdeep -o l /etc/mtab
Он ничего не возвращает, но если я это делаю:
hashdeep -o f /atc/mtab
Он возвращает хэш ниже, но заметьте, что размер 0 отличается от того, что было ранее stat /ec/mtab:
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: /etc
## $ hashdeep -o lf /etc/mtab
## 0,d41d8cd98f00b204e9800998ecf8427e,e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855,/etc/mtab
Он видит файл как обычный файл, так как я использовал параметр f и, следовательно, сообщает или вычисляет sha256 из пустого файла, тогда как sha256sum видит его как symbolic link и размера 19.
Обратите внимание, что этот файл является ссылкой на proc/self/mounts, который hashdeep все еще видит как 0 ] по размеру, но вид stat как 19, поэтому hashdeep выполняет эту ссылку, но, похоже, не может прочитать содержимое или просмотреть содержимое этого файла. Однако он видит /etc/vtrgb как непустой файл, поэтому я предполагаю, что ссылка /etc/mtab на /proc/self/mounts имеет значение.
Это даже становится более интересным и подтверждает мое подозрение в отношении ссылки /etc/mtab на /proc/self/mounts, когда я запустил это на другой ссылке hashdeep /etc/vtrgb:
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: /etc
## $ hashdeep /etc/vtrgb
## 158,1fb3c13c4fcfa8cc4131aba905df559e,684cd905549f78e025870dd5c8a3835e49f79f2bb08952eb7424537f6df5fa13,/etc/vtrgb
Как вы заметите, обычный файл не равен нулю, как в случае с /etc/mtab, и работает:
sha256sum /etc/vtrgb
Возвращает ту же checksum:
684cd905549f78e025870dd5c8a3835e49f79f2bb08952eb7424537f6df5fa13 /etc/vtrgb
Дальнейшее исследование показывает, что hashdeep возвращает тот же hash
0,d41d8cd98f00b204e9800998ecf8427e,e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
для всех файлов и каталогов в /proc/, который на самом деле является pseudo filesystem, поэтому их информация хранится в памяти не на диске. В то время как sha256sum не возвращает разные checksum для этих же файлов.
Я просто запустил это в своей системе, и все прошло хорошо, это мои результаты:
Ran: hashdeep -c sha256 Xwrapper.config
%%%% HASHDEEP-1.0
%%%% size,sha256,filename
## Invoked from: /home/george/Documents/askubuntu
## $ hashdeep -c sha256 Xwrapper.config
##
630,c53eb030a8f9a2f7c08dd04e3611c9470f840d90d1261ef3e6643b1d1aff8608,/home/george/Documents/askubuntu/Xwrapper.config
Ran: sha256sum Xwrapper.config
c53eb030a8f9a2f7c08dd04e3611c9470f840d90d1261ef3e6643b1d1aff8608 Xwrapper.config
Хорошо, объясните как можно лучше, после проверки нескольких вещей я вижу кое-что о том, как hashdeep и sha256sum смотрят symbolic links. Когда я делаю stat /etc/mtab, я вижу, что размер 19, но когда я запускаю (с опцией l, ссылка):
hashdeep -o l /etc/mtab
Он ничего не возвращает, но если я это делаю:
hashdeep -o f /atc/mtab
Он возвращает хэш ниже, но заметьте, что размер 0 отличается от того, что было ранее stat /ec/mtab:
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: /etc
## $ hashdeep -o lf /etc/mtab
## 0,d41d8cd98f00b204e9800998ecf8427e,e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855,/etc/mtab
Он видит файл как обычный файл, так как я использовал параметр f и, следовательно, сообщает или вычисляет sha256 из пустого файла, тогда как sha256sum видит его как symbolic link и размера 19.
Обратите внимание, что этот файл является ссылкой на proc/self/mounts, который hashdeep все еще видит как 0 ] по размеру, но вид stat как 19, поэтому hashdeep выполняет эту ссылку, но, похоже, не может читать содержимое или видеть содержимое этого файла. Однако он видит /etc/vtrgb как непустой файл, поэтому я предполагаю, что ссылка /etc/mtab на /proc/self/mounts имеет значение.
Это даже становится более интересным и подтверждает мое подозрение в отношении ссылки /etc/mtab на /proc/self/mounts, когда я запустил это на другой ссылке hashdeep /etc/vtrgb:
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: /etc
## $ hashdeep /etc/vtrgb
## 158,1fb3c13c4fcfa8cc4131aba905df559e,684cd905549f78e025870dd5c8a3835e49f79f2bb08952eb7424537f6df5fa13,/etc/vtrgb
Как вы заметите, обычный файл не равен нулю, как в случае с /etc/mtab, и работает:
sha256sum /etc/vtrgb
Возвращает ту же checksum:
684cd905549f78e025870dd5c8a3835e49f79f2bb08952eb7424537f6df5fa13 /etc/vtrgb
Дальнейшее исследование показывает, что hashdeep возвращает тот же hash
0,d41d8cd98f00b204e9800998ecf8427e,e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
для всех файлов и каталогов в /proc/, который на самом деле является pseudo filesystem, поэтому их информация хранится в памяти не на диске. В то время как sha256sum не возвращает разные checksum для этих же файлов.