Počítačové forenzní - jak analyzovat, Úpravy, nebo odstranění metadat s ExifTool

Soubory, které ukládáme, vytvořit, a spravovat na denní bázi z našich zařízení, skryté uvnitř údaje, že většina uživatelů si neuvědomuje; Dnes se naučíme, jak je najít, jejich úpravy, nebo je odstranit pomocí nástroje ExifTool.

Tyto jsou nazývány metadata, a slouží ke správě těchto souborů v systému mimo jiné, Příkladem může být hodiny a minuty v posledním vydání, model fotoaparátu, který pořídil fotografii, geografické poloze, kde byl pořízen snímek pomocí souřadnic GPS, nebo vědět, že software použil uživatele k jeho vytvoření nebo úpravy.

metadato_pagina

Dostal více než jeden případ, v němž metadata Oni hrají triky, například případ znemožnit hanobiteli, který visel fotografii ze výstřihu své přítelkyni na titulní stránce web hacking, bez odstranění souřadnice GPS obrázek, který zmařil jeho “zbrusu nový” IPhone; nebo předpokládá, že fiskální úpravy proti korupci obranné strategie infanta v případě Noos v jejich prospěch.

Tento článek není určen pro tento druh lidí, ale pro ty, kteří žijí v represivním režimům, zda tyto ze Západu nebo ne; Ale Já nechci být odpovědný za zneužití, které může být poskytnuta, protože jsem pevně věří v bezplatné informace.

Teď, když jsem již vysvětlil velmi až jsou metadata, a některé příklady případů, které by mohly poškodit nám; zda jste zkorumpovaný politik, drogový dealer nebo aktivista sleduje vaše vláda, Toto jsou balíčky, které nainstalujete na vašem systému třeba přezkoumat, Úpravy, nebo odstranit metadata souborů.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Jako příklad použijeme dokumenty a soubory různých formátů, Seznámit se s různými typy souborů a metadata to obsahuje.

Filesadding

Pro tento test jsem použil první PDF To se objevil v přidružených google výsledky webové stránky sociálního zabezpečení, a některé obrázky z blogu.

Jako vždy se v této sérii výukových programů na Počítačové forenzní, Vám vysvětlí možnosti ExifTool že jsem použil pro tuto praxi.

-EXIF:Značka =”ValorMetadato” cesta -> Vytvoří nebo změní hodnotu metadat, nebo několik z nich jsme zřetězené pořadí-li.

-všechny = cesta -> Odstraní celý obsah adresáře metadat, nebo soubory, které označíte jako cesta; Můžeme samozřejmě také dají toto pořadí.

Můžeme přístup aplikační manuál Chcete-li vidět všechny možnosti a dlouhý seznam dostupných formátů.

usuario@maquina:~$ man exiftool

Všechny tyto soubory v adresáři jsou seskupeny “Analyzovat“, a extrahovat metadata dát vám přímo na ExifTool jako odkaz na tento adresář, k plnění svých úkolů rekurzivně.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Pojďme Jak přidat popisek s jeho odpovídající metadata dokumentu; Musíme mít na paměti, že Ne jsme vymyslet popisky, měly by být, což umožňuje ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Nyní přikročíme k extrahovat metadata obrázku Chcete-li ověřit, zda byly použity změny, které jsme provedli; Chcete-li změnit metadata Udělali bychom to stejným způsobem jsme použili k vytvoření, a nové přepíše staré.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Konečně se naučit odstranit všechna metadata souboru, je formát, který je; jako v prvním příkladu, že jsme se naučili extrahovat, Jdeme na to přejdete do adresáře rekurzivněAnalyzovat“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

Na závěr zkontrolujeme změny použity správně; Při úpravách, změnit, nebo odstranění metadat, Pokud není možné odstranit značku jste přiřadili hodnotu vadu, v případě času by aktuální.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Po vyčištění souboru je formát, který je, ExifTool budete vytvářet vedle tento jiný soubor s názvem “nombrearchivo_original” Co obsahuje metadata, která eliminovali jsme; Pokud chceme účinně odstranit tento soubor Můžeme se tam dostat Utěrka Jak jsme viděli v předchozí položce Počítačové forenzní.

Pokud jste jako vy se mnou na Twitter, Facebook, Google +, LinkedIn, nebo jej sdílet s tlačítky v této publikaci, Pokud máte jakékoliv dotazy nebo návrhy prosím neváhejte se vyjádřit.

Pomozte nám dostat více čtenářů Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone