문제 상황
윈도우 디지털 포렌식 툴(Autopsy)에서 이미지 조사 시 Hash Lookup Module이 있어도 해시 필드가 비어 있음.
파일별 MD5, SHA-256 해시 값을 표시하고 싶지만, 이미지를 불러와도 해시 값이 나타나지 않음.
동일 사례 찾기 어려웠음. 공식 문서, AI 딥서치 등 확인했으나 명확한 답변 없음.
공식 문서
https://sleuthkit.org/autopsy/docs/user-docs/4.22.0/hash_db_page.html
Orphan Files: FAT 파일 시스템에서 "Ignore orphan files"가 기본 설정일 경우, Autopsy의 중앙 저장소 수집 모듈이 고아 파일을 처리하지 않아 해시 값을 저장/비교하지 않을 가능성.
하지만 Orphan Files 체크 유무와 상관없이 Hash는 그대로 안 뜨는 상태.
해결 방법: 해시 값 계산 프로그램 설치
http://implbits.com/products/hashtab/
Autopsy가 HashTab의 데이터를 감지해 해시 값을 출력하는 것으로 보인다 (추측)
결과
해시 값 정상적으로 표시됨
