# [SOC] Afficher l'empreinte d'un fichier

## Introduction

Dans le cadre du travail d'analyste, il peut être intéressant d'obtenir l'empreinte d'un fichier sous ses différentes formes (**MD5**, **SHA-1** ou **SHA-256**).

Ce tutoriel traitera la méthodologie à suivre sous Linux exclusivement.

[![image.png](https://wiki.neopipe.fr/uploads/images/gallery/2023-12/scaled-1680-/dfZimage.png)](https://wiki.neopipe.fr/uploads/images/gallery/2023-12/dfZimage.png)

## Manuel

#### MD5

```bash
md5sum <FILE>
```

#### SHA-1

```bash
sha1sum <FILE>
```

#### SHA-256

```bash
sha256sum <FILE>
```

## Changer l'empreinte d'un fichier

Il est possible de changer l'empreinte d'un fichier sans (presque) altérer son contenu en ajoutant un **null byte** à la fin de celui-ci :

```bash
echo -n -e "\x00" >> file.txt
```

<p class="callout info">Cette technique est très pratique pour échapper à la détection basée sur la signature mais permet aussi d'envoyer des échantillons de malware sur des plateformes publiques sans que celui-ci soit retrouvé par l'éditeur. </p>