Выявление манипуляций с файлами с помощью средства проверки целостности контрольной суммы файла

File Checksum Integrity Verifier — это бесплатная программа командной строки от Microsoft, которую можно использовать для создания и проверки контрольных сумм md5 файлов в определенной папке.

Программа может, например, использоваться для проверки того, были ли изменены файлы в определенном каталоге, что часто бывает, если в компьютерной системе было запущено вредоносное программное обеспечение.

Это делается путем вычисления хэшей каждого файла — или только определенных типов файлов — в выбранном каталоге с возможностью сравнения тех, которые сгенерированы в первый раз, с хэшами, которые были сгенерированы позже.

Идентичные хэши означают отсутствие манипуляций с файлами, а неидентичные хэши предполагают манипуляции с файлами. Это не обязательно означает атаку, поскольку обновления могут также заменять файлы и изменять их контрольную сумму в процессе.

Средство проверки целостности контрольной суммы файла

Средство проверки целостности контрольной суммы файла можно загрузить с домашней страницы Microsoft. Страница службы поддержки Microsoft, на которой перечислены загруженные файлы, содержит объяснение параметров командной строки программы.

После скачивания программу нужно распаковать. Рекомендуется переместить файл fciv.exe в системную папку, например в папку Windows, чтобы его можно было запускать без указания пути, но это зависит от вас.

MD5-хэши определенного каталога можно создать с помощью следующей команды:

папка fciv -r -xml output.xml
fciv c: \ windows \ -r -xml c: \ md5 \ 20100117md5.xml

Можно указать расширения файлов с помощью параметра -type, за которым следует тип файла, например *.исполняемый.

Ранее созданный XML-документ, содержащий хэши, можно проверить с помощью следующей команды

fciv -v -xml output.xml
fciv -v -xml c: \ md5 \ 20100117md5.xml

Инструмент отобразит список измененных файлов в конце сравнения. Можно переключиться на использование -sha вместо -md5. Пользователи, которые хотят регулярно проверять файлы, могут подумать о создании пакетного файла для проверок файлов.

Инструмент может быть очень полезен, если вы хотите убедиться, что важные файлы — например, файлы на веб-сервере, документы или программные файлы — не были изменены.

Обновить : Microsoft удалила программу со своих серверов, она больше не доступна. Вы можете проверить сторонние альтернативы Проверка файла MD5 или Проверка файлов ++ которые предлагают аналогичный набор функций.

Обновление 2 : И инструмент снова работает. Вы можете скачать его с сайта Microsoft, щелкнув ссылку в сводке ниже.