Računalna forenzika - kako analizirati, Uredi, ili brisanje metapodataka s ExifTool

Datoteke koje pohranjujemo, Stvaranje, i uspijevaju svaki dan iz naših uređaja u svoj interijer podaci da većina njih korisnik nepoznat; Danas ćemo naučiti kako ih naći, njihovo uređivanje, ili ih izbrisati pomoću alata ExifTool.

One se nazivaju metapodataka, i služe za upravljanje te datoteke u sustavu između ostalog, primjer bi bio sat i minutu posljednje izdanje, model fotoaparata koji su fotografiju, Zemljopisni položaj od gdje je snimljena slika pomoću koordinata GPS, ili da zna da je softver koristio korisnik za stvaranje ili uređivanje.

metadato_pagina

Je dobio više od jednog slučaja u kojem je metapodataka svirali su trikovi, na primjer slučaj defacer to objesiti sliku od dekoltea njegova djevojka na naslovnici web sjeckanje, bez uklanjanja koordinate GPS predodžba je uzeo sa svojim “potpuno novi” IPhone; ili na pretpostavlja se da je uređivanje poslovnog protiv korupcije obrambene strategije infanta u slučaju Noos u njihovu korist.

Ovaj članak nije namijenjen za takve ljude, Ali za one koji žive u represivnim režimima, da li ovi zapadnjaci ili ne; Ali Ne želim biti odgovoran za zlouporabe koje mogu dati, jer čvrsto vjerujem u besplatne informacije.

Sada kada je već objasnio vrlo spreman je na metapodataka, i neke primjere slučajeva koji bi mogao nauditi; da li ste korumpirani političar, diler droge ili aktivista provodi vlada, To su paketi koji morate instalirati u vaš sustav da nastaviti to ispitati, Uredi, ili brisanje na metapodataka datoteka.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Kao primjer ćemo koristiti Dokumenti i datoteke različitih formata, upoznati se s različitim vrstama datoteka i metapodataka On sadrži.

Filesadding

Za ovaj test sam koristio prvi PDF koji se pojavio u povezane google rezultatima kako bi se web stranice socijalne sigurnosti, i neke slike na blogu.

Kao i uvijek raditi u ovoj seriji tutorijala na Računalna forenzika, Ja ću objasniti mogućnosti ExifTool koji koriste za tu praksu.

-EXIF:Oznaka =”ValorMetadato” ruta -> Stvara ili mijenja vrijednost za metapodatke, ili više njih ako smo vezana tim redom.

-sve = staza -> Briše sav sadržaj direktorija metapodataka, ili datoteka koje označavaju kao puta; Također smo lanac ovaj nalog.

Možemo pristupiti aplikaciji priručnik da biste vidjeli sve mogućnosti i dug popis dostupnih oblika.

usuario@maquina:~$ man exiftool

Grupirao sam sve te datoteke u direktorij pod nazivom “Analizirati“, i izdvojiti se metapodataka vam izravno na ExifTool kao referenca ovaj Imenik, tako da se za obavljanje svojih zadaća rekurzivno.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Idemo Kako dodati oznaku s odgovarajućim metapodacima dokumenta; Moramo imati na umu da Ne mogu izmisliti naljepnice, Oni bi trebali biti što omogućuje ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Sada ćemo nastaviti da ekstrakt predodžba metadata da biste provjerili primijenjene promjene smo napravili; za promjenu u metapodataka Radimo to na isti način smo stvorili, i nova će prebrisati stari.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Konačno naučiti Izbriši sve metapodatke datoteka je format koji je; kao u prvom primjeru smo naučili da ih, Mi ćemo to učiniti ukazujući na imenik rekurzivnoAnalizirati“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

Na kraju, mi ćemo pregledati promjene pravilno primijenjena; Prilikom uređivanja, izmjene, ili brisanje za metapodatke, Ako to nije moguće izbrisati oznaku dodijeljena vrijednost prema zadanim postavkama, u slučaju vrijeme će biti trenutni.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Nakon čišćenja datoteka je format koji je, ExifTool će stvoriti uz ovu datoteku pod nazivom “nombrearchivo_original” Što sadrži metapodatke koje smo eliminirali; Ako želimo učinkovito ukloniti tu datoteku Uspjet ćemo kroz Obrišite kao što smo vidjeli u prethodnom stavku Računalna forenzika.

Ako želite možete slijedite me na Twitter, Facebook, Google +, LinkedIn, ili podijeliti s gumbima ispod ove publikacije, Ako imate bilo kakvih pitanja ili sugestija slobodno komentirati.

Pomažu nam do više čitatelja Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

ostavi odgovor