Loại băm nào được DISM / SFC sử dụng?

0

Loại băm nào được trình bày dưới đây?

Ví dụ 1: 0h + p0j3 / Y9s1ly0mqtU741bzLjqz12mDQGKtVScMeKg =

Ví dụ 2: uNryI5MYSV5U5O1NuFPGYexSxm2nLFrRXVqga + nQjw4 =

Các giá trị băm này đến từ tệp CBS.log sau khi chạy tiện ích DISM của Window. Đây là dòng đầy đủ: 

2017-03-11 20:46:08, Info                  CSI    00000005 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-c...appxmain.resources_31bf3856ad364e35_10.0.14393.206_sr-..-cs_8caf1c5c152c5f9f\resources.sr-Latn-CS.pri do not match actual file [l:24]'resources.sr-Latn-CS.pri' :
  Found: {l:32 0h+p0j3/Y9s1ly0mqtU741bzLjqz12mDQGKtVScMeKg=} Expected: {l:32 uNryI5MYSV5U5O1NuFPGYexSxm2nLFrRXVqga+nQjw4=}

Nó tương tự Base64 nhưng không thể như vậy, vì hàm băm luôn có cùng độ dài với các tệp kích thước khác nhau. Tôi cũng nghĩ có lẽ đó không phải là hàm băm, mà là Base64 của một cái gì đó như MD5 hoặc SHA, nhưng giải mã Base64 chuỗi này cũng không giúp được gì.

Cảm ơn bạn.

windows  hashing  dism  sfc  winsxs 
Telmo Marques
nguồn
Base64 chỉ là một cách biểu diễn nhị phân tùy ý dưới dạng văn bản, ở dạng gọn hơn so với đánh vần các byte dưới dạng hex. Bạn không thể "giải mã" nó thành bất cứ điều gì có thể nhận ra được vì không có "chuỗi" để giải mã; bạn chỉ cần lấy dữ liệu thô của hàm băm trở lại. Nếu bạn Base64 giải mã nó thành dữ liệu thô và sau đó mã hóa dữ liệu dưới dạng ký tự hex, bạn sẽ nhận được biểu diễn 'điển hình' của hàm băm mà bạn có thể quen thuộc.
Bob

Câu trả lời:

2

Windows sử dụng SHA256 để băm các tệp trong WinSxS: 

<dsig:DigestMethod xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Algorithm="http://www.w3.org/2000/09/xmldsig#sha256" />

Đây là nội dung cho FlashUtil_ActiveX.dll: 

<file name="FlashUtil_ActiveX.dll" destinationPath="$(runtime.system32)\Macromed\Flash\" sourceName="FlashUtil_ActiveX.dll" sourcePath=".\" importPath="$(build.nttree)\adobe\flash\">
    <securityDescriptor name="WRP_FILE_DEFAULT_SDDL" />
    <asmv2:hash xmlns:asmv2="urn:schemas-microsoft-com:asm.v2">
      <dsig:Transforms xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
        <dsig:Transform Algorithm="urn:schemas-microsoft-com:HashTransforms.Identity" />
      </dsig:Transforms>
      <dsig:DigestMethod xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Algorithm="http://www.w3.org/2000/09/xmldsig#sha256" />
      <dsig:DigestValue xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">22R1ba1WE7oyGXwA0vGwywUOw/Hw/27MqRmwHJpL04g=</dsig:DigestValue>
    </asmv2:hash>
  </file>

Dưới dsig:DigestValue bạn thấy hàm băm dự kiến. Nếu Windows quét các tệp, nó sẽ tạo ra hàm băm cho tệp thực và so sánh nó với hàm băm này trong các tệp kê khai trong WinSxS.

magicandre1981
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.