批量文件哈希值生成及校验

日常使用过程中，对于文件的完整性的校验比较重要，最简单常见的方式是哈希值计算。主要使用场景：

macOS 和 Linux 都自带了相应工具，Windows 可以通过三方工具实现。

本文以 SHA256 进行演示。

对于上面在 macOS 和 Linux 中使用 find 命令的例子，原理是将 -exec 参数后面的内容作为一个命令行来执行，并使用找到结果的每一项内容替换 {} ，这会导致两个问题：

1、可能会导致构建的命令行过长，系统报错

2、为每个找到的结果都执行一次命令，可能会导致运行的进程过多

解决方法：使用 -print 参数结合 xargs 命令使用，如：

这里 xargs 命令使用 -I 参数，是因为直接执行的话，当文件名中有空格的时候，会被解释为两个参数。使用 -I 参数则可以进行替换处理，这样可以实现格式化字符串的效果。

更多详情参见 《Linux命令学习之文件查找命令——find》

SHA256 Checksum Utilities

SHA256：

MD5：

（完）

在数据取证中，通常需要验证文件的哈希值，以判断文件是否已知好文件，或者文件是否被修改过。Kali Linux提供专用工具hashdeep。该工具的早期版本名称为md5deep。该工具可以批量计算文件的哈希值，并和哈希值列表进行比对。该工具支持多种哈希算法，可以避免哈希碰撞问题。为了满足不同任务的需要，hashdeep提供多种检查模式，如审计模式、正向模式、反向模式。同时，该工具支持大小写不敏感和UTF编码， 以满足Windows文件系统分析需要。

---