Dosyaların Hash’lerini Görüntüleme

Windows’da bulunan dosyaların hash’lerini görüntülemek için aşağıdaki powershell komutu kullanılır. Aşağıdaki örnekte path olarak C:\Windows\System32 klasöründe bulunan dosyaların hash’lerini listeleyeceğim. Bu işlemi yapmanın amaçlarından en önemlisi, kritik/önemli dosyalarda herhangi bir değişiklik olup olmadığının kontrolüdür. Forensic analizi yapılacağı zaman bir dosyanın ilk halinin hash’inin olması çok önemlidir. Çünkü X zamanındaki hash ile ilk anda alınan hash karşılaştırıldığında farklılıklar görüntülenebilir.

Not: Aşağıdaki örnekte MD5 ve SHA256 algoritmaları kullanılmıştır.

Get-FileHash -Algorithm SHA256 -Path “C:\Windows\System32\*.*” | FL

Get-FileHash -Algorithm MD5 -Path “C:\Windows\System32\*.*” | FL