Die Art, wie das Installationsskript einzelne Zeilen aus der hashdeep-Datei ausschneidet, ist sowieso ziemlich umständlich. Der Audit-Mode (-a) dient dazu, ganze Verzeichnisse zu überwachen und jede Änderung zu melden. Schließlich versteht hashdeep sich als Forensic Tool.
Um einzelne Dateien zu verifizieren, funktioniert der "positive matching mode" (-m oder -M) wahrscheinlich besser: Man benutzt die hashdeep-Datei als Datenbank und kann einzelne Dateien gegen diese Datenbank verifizieren. Da Hashdeep die überwachten Dateien anhand der Hashe unterscheidet, funktioniert das auch in Fällen, in denen der Dateiname mehrdeutig wäre.
Jede Datei, für die ein Match gefunden wurde, wird auf der Kommandozeile wieder ausgegeben. Als Test mag das genügen. Allerdings gibt hashdeep trotzdem den Fehlerwert "1" aus, wenn es in der hashdeep-Datei noch weitere überwachte Dateien gibt. Nur wenn
alle Dateien positiv getestet wurden, gibt hashdeep den Fehlerwert "0" aus.
Unter Linux sieht das dann so aus:
- Code: Select all
$ hashdeep -k ../client/md/hashes-wddefs.txt -m -b ../client/wddefs/x86-glb/mpam-fe.exe
mpam-fe.exe
$ echo $?
1
$ hashdeep -k ../client/md/hashes-wddefs.txt -m -b ../client/wddefs/x86-glb/mpam-fe.exe ../client/wddefs/x64-glb/mpam-fe.exe
mpam-fe.exe
mpam-fe.exe
$ echo $?
0