울지않는벌새 : Security, Movie & Society

파일 MD5 확인 유틸리티 HashOnClick

벌새::Software

악성코드 샘플을 다루면서 샘플 파일의 Hash 값을 빠르게 확인할 수 있는 프로그램의 필요성을 많이 느낍니다.

보통 바이러스 토탈(
https://www.virustotal.com/)에서 샘플 파일을 검사하면 그림과 같이 파일에 대한 MD5 / SHA1 값을 보실 수 있습니다.

사용자 삽입 이미지

샘플 파일의 크기가 540672 바이트로 동일한 샘플도 MD5 값이 다르다면 변종으로 취급해야 합니다.

그래서 해당 파일의 변조 등을 확인하는 방법으로 가장 많이 사용되는 것이 현재 MD5 값을 통해 확인할 수 있습니다.

그렇다면 파일의 MD5 값 등을 손쉽게 확인할 수 있는 프로그램은 없는가? 있다면 가장 편한 프로그램은 무엇이 있는지 알아보겠습니다.

무료 프로그램 중에 개인적으로 추천하는 프로그램은 HashOnClick 라는 프로그램입니다.

[HashOnClick]

버전 : 2.1.0.10

라이센스 : Freeware / Shareware

사용 가능 OS : Windows 98 SE / ME / 2000 / XP / 2003 / Vista


제작사 홈페이지 :
http://www.2brightsparks.com/downloads.html#freeware

해당 프로그램은 원래 무료 버전이지만, 최근에 상용버전으로 몇 가지 기능이 추가된 부분이 있으며, 무료버전도 계속적으로 지원하고 있습니다.

[무료 버전과 유료 버전과의 차이점]

- 무료 버전 : MD5 / SHA1 / CRC32 값 지원
- 유료 버전
  • Part of OnClick Utilities.
  • MD4 hashing.
  • RipeMD-128 hashing.
  • RipeMD-160 hashing.
  • SHA-256 hashing.
  • SHA-512 hashing.
  • Tiger hashing.

[제품 스크린샷]
사용자 삽입 이미지

제품을 설치하고 재부팅을 거치면 다음과 같은 방식으로 특정 파일의 Hash 값을 확인하실 수 있습니다.

자신이 지정한 파일에 마우스 우클릭을 하시면 그림과 같이 [Calculate Hash Value] - [MD5 / SHA1 / CRC32]를 선택하실 수 있습니다.

사용자 삽입 이미지

실제로 선택한 파일의 MD5 값을 보시면 Hash 값과 해당 파일의 이름을 보실 수 있습니다.

[Save to file] - 해당 결과값을 txt 파일로 저장하기
[Copy to clipboard] - 해당 결과값을 클립보드에 복사하기

스크린샷에 나온 값을 클립보드에 복사하기를 한 후 이번에는 다른 샘플과 함께 확인해 보겠습니다.

사용자 삽입 이미지

한 번에 여러 샘플을 확인하기 위해서는 원하시는 파일을 드래그하여 마우스 우클릭을 이용하시면 됩니다.

스크린샷과 같이 이전에 확인한 MD5 값과 동일한 샘플이 발견되면 푸른색으로 표시가 되어 유사성 여부도 확인하실 수 있습니다.

최근 어느 자료에서 읽은 기억에는 MD5 값은 이미 해커에 의해 변조가 가능한 툴이 실제적으로 이용 가능한 수준이 되었다는 글을 읽었습니다.

아마 더 높은 수준의 파일 Hash 값을 통해 샘플의 변조 여부를 확인하는 것도 좋은 방법이라고 생각합니다.