Voordat je een forensische image maakt van een harddisk is het aanbevolen (of eigenlijk: het is vereist) om een hashwaarde te berekenen over de inhoud van de disk. Als je het echt goed wilt doen, dan moet je dit doen met een ander programma als waarmee je de image maakt.
Stel, je wilt een image maken met FTK Imager en je wilt deze image op een later tijdstip onderzoeken met Encase. Dan is het feitelijk niet voldoende om de hashwaarde over de drive te berekenen met FTK Imager, want dat is dezelfde tool als waarmee je de image maakt.
Ik gebruik md5deep van Jesse Kornblum. Ik heb dit programma geinstalleerd onder Cygwin. Als ik nu een harddisk aansluit op de computer waarmee ik de image wil maken, dan kan ik via Cygwin de hashwaarde over de drive berekenen via het volgende commando:
md5deep -e /dev/sdc
(hoe de schijf die je wilt hashen genoemd wordt onder Cygwin kun je hier lezen).
Als de MD5 hashwaarde die md5deep over de drive berekent nu hetzelfde blijkt te zijn als de hashwaarde die FTK Imager over de vervolgens gemaakte image heeft berekend, dan weet je dat de image precies dezelfde inhoud bevat als de oorspronkelijke drive.
Hello! I'm glad that you're having success using md5deep. I noticed that your screenshot shows an unusual time estimate for the file you were processing. I've open a bug report for this problem (https://sourceforge.net/tracker/index.php?func=detail&aid=2022302&group_id=67079&atid=516778). Would you be willing to test a beta version of the program to see if it fixes the problem? You can download the beta version from http://jessekornblum.com/tmp/
Posted by: Jesse Kornblum | July 19, 2008 at 07:49 PM