Que tipo de hash é usado pelo DISM/SFC?

tag-icon tag-icon windows hashing dism sfc winsxs
Que tipo de hash é usado pelo DISM/SFC?

Que tipo de hash é representado abaixo?

Exemplo 1: 0h+p0j3/Y9s1ly0mqtU741bzLjqz12mDQGKtVScMeKg=

Exemplo 2: uNryI5MYSV5U5O1NuFPGYexSxm2nLFrRXVqga+nQjw4=

Esses hashes vieram do arquivo CBS.log após executar o utilitário DISM do Windows. Aqui está a linha completa:

2017-03-11 20:46:08, Info                  CSI    00000005 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-c...appxmain.resources_31bf3856ad364e35_10.0.14393.206_sr-..-cs_8caf1c5c152c5f9f\resources.sr-Latn-CS.pri do not match actual file [l:24]'resources.sr-Latn-CS.pri' :
  Found: {l:32 0h+p0j3/Y9s1ly0mqtU741bzLjqz12mDQGKtVScMeKg=} Expected: {l:32 uNryI5MYSV5U5O1NuFPGYexSxm2nLFrRXVqga+nQjw4=}

Assemelha-se ao Base64, mas não pode ser isso, porque o hash tem sempre o mesmo comprimento com arquivos de tamanhos diferentes. Também pensei que talvez não fosse o hash em si, mas o Base64 de algo como MD5 ou SHA, mas a decodificação em Base64 dessa string também não ajuda.

Obrigado.

Responder1

O Windows usa SHA256 para hash de arquivos no WinSxS:

<dsig:DigestMethod xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Algorithm="http://www.w3.org/2000/09/xmldsig#sha256" />

Aqui está o conteúdo para FlashUtil_ActiveX.dll:

<file name="FlashUtil_ActiveX.dll" destinationPath="$(runtime.system32)\Macromed\Flash\" sourceName="FlashUtil_ActiveX.dll" sourcePath=".\" importPath="$(build.nttree)\adobe\flash\">
    <securityDescriptor name="WRP_FILE_DEFAULT_SDDL" />
    <asmv2:hash xmlns:asmv2="urn:schemas-microsoft-com:asm.v2">
      <dsig:Transforms xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
        <dsig:Transform Algorithm="urn:schemas-microsoft-com:HashTransforms.Identity" />
      </dsig:Transforms>
      <dsig:DigestMethod xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Algorithm="http://www.w3.org/2000/09/xmldsig#sha256" />
      <dsig:DigestValue xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">22R1ba1WE7oyGXwA0vGwywUOw/Hw/27MqRmwHJpL04g=</dsig:DigestValue>
    </asmv2:hash>
  </file>

Abaixo dsig:DigestValuevocê vê o hash esperado. Se o Windows verificar os arquivos, ele criará o hash para o arquivo real e o comparará com esse hash nos arquivos de manifesto no WinSxS.

informação relacionada