說明:
前一陣子有po一篇文章,[資安鑑識]-手動尋找system32目錄中可能存在的木馬,但這個方法需要透過寫批次檔才可執行且檔案只是做個簡單的比對而已,今天介紹一個更方便的工具叫FCIV (Microsoft File Checksum Integrity Verifier)。
檔案總和檢查碼完整性檢查器 (FCIV) 是一個微軟出的命令提示字元公用程式,會計算並驗證檔案的密碼編譯雜湊值。FCIV 可以計算 MD5 或 sha-1 密碼編譯雜湊值。這些值可以在螢幕上顯示或儲存在 XML 檔案資料庫以供日後使用和查驗。
檔案總和檢查碼完整性檢查器 (FCIV) 是一個微軟出的命令提示字元公用程式,會計算並驗證檔案的密碼編譯雜湊值。FCIV 可以計算 MD5 或 sha-1 密碼編譯雜湊值。這些值可以在螢幕上顯示或儲存在 XML 檔案資料庫以供日後使用和查驗。
使用 FCIV 公用程式,您可以也計算所有的重要檔案的雜湊,並儲存為 XML 檔案資料庫中的值。如果您懷疑您的電腦可能已遭入侵,及重要檔案已經變更,您可以執行FCIV並存成 XML 資料庫,以判斷哪些檔案已被修改。
FCIV支援
MD5、SHA1雜湊演算法,預設為MD5,支援遞迴查詢,並將查詢的結果存到XML檔案
檔案下載:
使用方式
語法
fciv.exe [Commands] <Options>
FCIV 常用參數:
-r:是遞迴子目錄
-type:指定檔案類型,如-type *.exe
-exc:要排除的目錄
-wp:是去掉全路徑
-v:校驗雜湊值
-xml:後面加結果的檔案路徑
範例:
要將網站目錄c:\Inetpub\www 下的所有檔案的MD5雜湊值都計算出來
fciv c:\Inetpub\www -r -xml www.xml
如果要比對現在跟之前的MD5檔案就執行
fciv -v -xml www.xml
www.xml裡面有檔案路徑不需要在命令列在額外輸入路徑
比對過後就會列出有被修改過的檔案。如下圖:
透過檔案總和檢查碼完整性檢查器 (FCIV) 計算出網頁或檔案的雜湊值。當未來如檔案被非法異動過,完整性資訊遭到破壞,系統管理者可以自行回復乾淨的檔案程式。
0 意見:
張貼留言
如您對本文有任何建議或意見,歡迎您留下您寶貴的意見!