注冊用戶即可下載全站資源 關注Java幫幫微信公眾號
 

如何識別文件的真假

11
發表時間:2019-12-03 17:14

日本韩国三级aⅴ在线观看每個人都下載文件,大家有沒有想過,文件可能是假的,尤其來自網盤或專門的下載站。

本文就來談談如何的真假。

一、XcodeGhost 事件

日本韩国三级aⅴ在线观看我們從一件真實的事件說起。

2015年9月,蘋果手機的一些 App 被發現向可疑網站發送數據。進一步調查確認,可疑代碼是 Xcode 打包時植入的。也就是說,開發者的編程工具 Xcode 被動過手腳了。

騰訊的安全團隊公布調查報告,應用商店的前 5000 名應用有76個被感染。360 應用商店檢查后發現,共有1076個 App 被感染,包括微信、網易云音樂、滴滴打車、高德地圖、12306、同花順等熱門應用。蘋果公司將所有被感染的版本,都從官方軟件商店下架了。這個事件就稱為 XcodeGhost 事件。

日本韩国三级aⅴ在线观看國家互聯網應急中心專門發出了預警通知。

日本韩国三级aⅴ在线观看追查下去,那些動過手腳的 Xcode 都不是從官方渠道下載的,而是來自網盤或下載站。一個網名”coderfun”的人,在各種 iOS 開發者論壇或者微博留言,引誘其他開發者下載修改過的 Xcode,版本從 Xcode 6.1 到 6.4。

事后,這位 coderfun 發出致歉公告,表示這只是自己的一次實驗,沒有惡意。但是,這個事件足以引起警惕,任何下載的文件都不一定安全,很可能被修改過或植入惡意代碼。

二、軟件的防偽措施

為了防止來源不明的軟件,很多平臺都有簽名機制。軟件發布必須由認證過的開發商,使用平臺的密鑰簽名。如果用戶安裝未簽名的軟件,平臺會彈出警告,阻止安裝。下面就是 MacOS 的警告。

但是,不可能所有開發者都去認證,尤其是認證要收費。而且,用戶對這種警告不在乎,一般都會忽略或手動關閉。所以,這種做法的效果不明顯。

日本韩国三级aⅴ在线观看目前的常用做法是,軟件發布時,同時給出哈希碼和簽名文件。前者保證沒有被第三方修改,后者保證確實出自原始作者。

舉例來說,Linux 的發行版 Manjaro 除了提供原始的 iso 文件,還提供另外三個文件:sha1 哈希文件、sha 256 哈希文件和 sig 簽名文件。 它們保證了軟件的真實性。

三、哈希碼驗證

哈希碼指的是,文件內容經過哈希函數的計算,會返回一個獨一無二的字符串。哪怕原始內容只改動一個字節,哈希碼也會完全不同。用戶下載軟件后,只要計算一下哈希碼,再跟作者給出的哈希碼比較一下,就會知道軟件有沒有被改動。

目前,常用的三種哈希函數是 MD5、SHA1 和 SHA256。其中,SHA256 最安全,SHA1 次之,MD5 墊底。一般來說,軟件至少會提供其中一種哈希碼。

下面是哈希碼的驗證方法。

(1)Linux 系統

Linux 系統直接用md5sumsha1sumsha256sum日本韩国三级aⅴ在线观看這三個命令,計算哈希碼。

$ md5sum foo.zip$ sha1sum foo.zip$ sha256sum foo.zip

上面命令返回文件foo.zip日本韩国三级aⅴ在线观看的三種哈希碼。用戶再跟作者給出的哈希碼比對。如果不一致,文件就是被改動了,或者沒有完整下載。

有時,就像前面 Manjaro 的例子,哈希碼不是寫在網頁上,而是作為一個單獨的文本文件下載。這時可以使用-c參數。

$ md5sum -c foo.zip.md5file$ sha1sum -c foo.zip.sha1file$ sha256sum -c foo.zip.sha256file

上面命令會返回哈希碼的比對結果,直接告訴用戶是否一致。

(2)Mac 系統

MacOS 的驗證命令需要自己安裝。

$ brew install md5sha1sum

執行上面命令以后,md5sumsha1sum 就可以使用了。至于 sha256sum 要用 shasum -a256 命令代替。

(3)Windows 系統

Windows 可以下載安裝免費軟件 或者 。其中,Quick hash 是跨平臺的,還支持 Linux 和 MacOS。

四、簽名驗證

哈希碼只能保證文件內容沒有修改,但是哈希碼本身也有可能仿冒,完全可能連帶原始文件一起造假。

文件簽名能解決這個問題。軟件發布時,作者用自己的私鑰,對發布的軟件生成一個簽名文件(Manjaro 例子的 sig 文件),用戶使用作者的公鑰驗證簽名文件。

第一步,下載公鑰。

軟件的官網一般都會給出作者公鑰的下載方法。比如,Manjaro 就可以從 GitHub 倉庫下載公鑰。

$ wget github.com/manjaro/packages-core/raw/master/manjaro-keyring/manjaro.gpg

公鑰也有可能放在專門的公鑰服務器,這時可以使用gpg命令在從公鑰服務器下載。

$ gpg --keyserver hkp://eu.pool.sks-keyservers.net --search-keys [公鑰 ID]

上面命令會列出搜索結果,讓你選擇是否下載某一個公鑰。--keyserver參數指定公鑰服務器,search-keys參數給出搜索參數,可以是作者的名稱,也可以是公鑰的指紋。

gpg日本韩国三级aⅴ在线观看命令在 Linux 下可以直接使用,MacOS 和 Windows 需要安裝 。

第二步,導入公鑰。

下載得到公鑰后,將其導入操作系統。

$ gpg --import [公鑰文件]

如果有完整的公鑰指紋,gpg 命令的 --recv-key日本韩国三级aⅴ在线观看參數可以直接從服務器導入公鑰。

$ gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-key "27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09"

第三步,驗證簽名。

導入公鑰以后,就可以驗證簽名文件(后綴名為 sig的 文件)了。

# 用法一$ gpg --verify [簽名文件]# 用法二$ gpg --verify [簽名文件] [原始文件]

上面命令的兩種用法,效果是一樣的。但是,用法一要求原始文件與簽名文件同名,且在一個目錄下。比如,簽名文件是foo.iso.sig,原始文件必須是同目錄下的foo.iso

日本韩国三级aⅴ在线观看簽名文件一般包括完整的公鑰指紋,所以也可以跳過上面的第一步和第二步,直接從公鑰服務器獲取公鑰,驗證簽名。

$ gpg --keyserver-options auto-key-retrieve --verify [簽名文件]

本文由 @錘子 發布于 職涯寶 ,未經作者許可,禁止轉載,歡迎您分享文章


文章分類: Java
分享到:
支付寶贊助-Java幫幫社區
微信贊助-Java幫幫社區
Java幫幫公眾號生態

Java幫幫公眾號生態

總有一款適合你

Java幫幫-微信公眾號

Java幫幫-微信公眾號

將分享做到極致

Python幫幫-公眾號

Python幫幫-公眾號

人工智能,爬蟲,學習教程

大數據驛站-微信公眾號

大數據驛站-微信公眾號

一起在數據中成長

九點編程-公眾號

九點編程-公眾號

深夜九點學編程

程序員生活志-公眾號

程序員生活志-公眾號

互聯網,職場,程序員那些事兒

Java幫幫學習群生態

Java幫幫學習群生態

總有一款能幫到你

Java學習群

Java學習群

與大牛一起交流

大數據學習群

大數據學習群

在數據中成長

九點編程學習群

九點編程學習群

深夜九點學編程

python學習群

python學習群

人工智能,爬蟲

測試學習群

測試學習群

感受測試的魅力

Java幫幫生態承諾

Java幫幫生態承諾

一直堅守,不負重望

初心
勤儉
誠信
正義
分享
合作品牌 非盈利生態-優質內容分享傳播者
關于我們
友鏈申請
友鏈交換:加幫主QQ2524138991 留言即可 24小時內答復  
全站內容非商業用途,內容來源于網友,并遵循 許可,如有異議請聯系客服。
會員登錄
獲取驗證碼
登錄
登錄
我的資料
留言
回到頂部