不安装第三方工具，如何快速检测下载的软件包是否被动过手脚？

小甲鱼的二师兄

不安装第三方工具，如何快速检测下载的软件包是否被动过手脚？

在数字世界中，下载软件包是日常工作和娱乐的一部分。但其中的安全风险也不容忽视。

软件包在传输过程中可能被恶意篡改，比如插入恶意代码，这可能导致个人数据泄露或系统安全受到威胁。


如何确保下载的文件是原厂商发布的未被篡改过的版本呢？

这里，我们将介绍一种不需要安装任何第三方工具的方法来验证软件包的完整性：MD5 哈希校验。


什么是 MD5 哈希？

MD5（Message Digest Algorithm 5）是一种广泛使用的哈希算法，它可以产生一个 128 位（16 字节）的哈希值，通常由 32 个十六进制数字表示。

它的特点是，即使是微小的文件更改，也会导致生成的 MD5 哈希值完全不同。

通常，软件开发者会在软件包旁边提供一个 MD5 哈希值，我们就可以通过对比计算得出的 MD5 值和开发者提供的值，来检查下载的软件包是否完整，未被篡改。


下面以 Python 3.12.1 为例，我们使用不同操作系统自带的工具，验证其下载包的 MD5 值：




Windows

在 Windows 中，可以使用内置的 CertUtil 工具。

打开命令提示符（CMD），并输入以下命令：

1. PS C:\Users\fishc\Desktop> CertUtil -hashfile '.\python-3.12.1-amd64.exe' MD5
   
2. MD5 的 .\python-3.12.1-amd64.exe 哈希:
   
3. 3e3b6550e58772d324f7519bfa8066dc
   
4. CertUtil: -hashfile 命令成功完成。

复制代码

macOS

在 Mac 中，打开终端（Terminal），使用内置的 md5 命令：

1. md5 path/to/your/downloaded/file

复制代码

将 path/to/your/downloaded/file 替换为下载文件的实际路径。


Linux

在 Linux 中，使用 md5sum 命令：

1. md5sum path/to/your/downloaded/file

复制代码

将 path/to/your/downloaded/file 替换为下载文件的实际路径。