Windows 10: SHA256-Hash mit Bordmitteln prüfen

Aus jeder Datei lässt sich eine Art Fingerabdruck berechnen. Sind die Fingerabdrücke zweier Dateien gleich, handelt es sich – aufs Bit genau – um identische Dateien. Hierfür werden auf mathematischen Algorithmen basierende Methoden beigezogen, zum Beispiel über SHA256-Hashes.

Das Prüfen des Hash-Wertes bietet sich bei besonders grossen oder wichtigen Downloads an. So können Sie beispielsweise ein DVD-Abbild nach dem Download prüfen, bevor Sie es auf DVD brennen. Das klappt natürlich nur, wenn der Anbieter der Datei (z.B. der Linux-Hersteller, der das .iso-File zum Download anbietet) auch seinerseits den SHA256-Hash der Datei publiziert.

Ist dies der Fall, geht das mit einem Zusatztool so, wie in diesem Artikel beschrieben: MD5- und SHA256-Hashes berechnen. Das darin erwähnte Tool FSumFrontend ist zwar schon 12 Jahre alt, funktioniert aber unter Windows 10 immer noch.

Ein Beispiel: Wir haben uns beim CERT Japan dieses «Emotet-Checktool» heruntergeladen, auf das ein Nutzer im Forum aufmerksam gemacht hat. Nun möchten wir wissen, ob es während des Downloads verändert wurde – sei es durch einen Schädling, sei es durch einen fehlerhaften Download. Der Anbieter hat auf seiner GitHub-Seite den Hash für die Datei publiziert. Er hat 64 Stellen und endet auf «E4491B45E1254163».

Wenn mit unserem Exemplar der Datei alles in Ordnung ist, muss mit jeder SHA256-Prüfung der exakt gleiche Hash herauskommen. Natürlich könnten wir es mit dem oben erwähnten FSumFrontend prüfen. Oder wir könnten es auf virustotal.com hochladen (was jemand gemacht hat), denn da werden Dateien anhand ihres SHA256-Hashes identifiziert.

Wollen Sie es weder hochladen, noch mit einem Zusatztool prüfen, greifen Sie in Windows 10 zur PowerShell. Klicken Sie auf Start, tippen Sie PowerSh ein und öffnen Sie Windows PowerShell. Standardmässig öffnet sich ein Konsolenfenster, in welchem Sie im Ordner C:\Users\IhrName landen. Wenn die zu prüfende Datei im Downloads-Ordner liegt, wechseln Sie mit Eingabe von cd downloads (und Enter) in den Downloads-Ordner. Mit dem Befehl dir listen Sie den Inhalt des Ordners auf. Hier entdecken Sie die betroffene Datei. Bei uns heisst sie emocheck_x64.exe.

Benutzen Sie den folgenden Befehl, wobei Sie natürlich anstelle von «emocheck_x64.exe» den für Sie interessanten Dateinamen eingeben:
Get-Filehash emocheck_x64.exe -Algorithm SHA256

Drücken Sie Enter, steht quasi sofort der Hash da. Vergleichen Sie ihn mit jenem auf der Herstellerwebseite. Ist es derselbe, dann ist es dieselbe unveränderte Datei. (PCtipp-Forum)