Windows 2012 R2 - 使用 MD5 哈希搜索文件？

Question 1

当然。不过你可能想做一些比下面的例子更有用的事情。

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

Answer

当然。不过你可能想做一些比下面的例子更有用的事情。

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }

Question 2

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Answer

[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}

Question 3

如果您有该文件的副本，则应在整个域中激活 AppLocker，并为该文件添加哈希规则以停止其执行。这还有一个额外的好处，就是可以识别试图运行该程序的计算机，因为 AppLocker 日志默认会阻止和拒绝操作。

Answer

如果您有该文件的副本，则应在整个域中激活 AppLocker，并为该文件添加哈希规则以停止其执行。这还有一个额外的好处，就是可以识别试图运行该程序的计算机，因为 AppLocker 日志默认会阻止和拒绝操作。

Windows 2012 R2 - 使用 MD5 哈希搜索文件？

答案1

答案2

答案3

相关内容