Komputer forensik - seperti dianalisis, Mengedit, atau menghapus metadata dengan ExifTool

File yang kita Simpan, membuat, dan mengelola setiap hari dari kami perangkat yang tersembunyi di dalam data bahwa sebagian besar pengguna tidak menyadari; Hari ini kita akan belajar bagaimana untuk menemukan mereka, mengedit mereka, atau menghapusnya dengan alat ExifTool.

Ini disebut metadata, dan mereka digunakan untuk mengelola file dalam sistem antara lain, contoh akan jam dan menit dari edisi terakhir, model kamera yang mengambil foto, lokasi geografis dari mana ia diambil gambar menggunakan Koordinat GPS, atau untuk mengetahui bahwa perangkat lunak telah digunakan pengguna untuk penciptaan atau mengedit.

metadato_pagina

Telah diberikan lebih dari satu kasus di mana metadata mereka telah bermain trik, misalnya kasus defacer yang digantung foto leher pacarnya di halaman depan web hacking, tanpa mengeluarkan Koordinat GPS gambar yang diambil dengan “merek baru” IPhone; atau diduga editing oleh fiskal anti korupsi dari strategi pertahanan infanta dalam kasus Noos menguntungkan mereka.

Artikel ini tidak dimaksudkan untuk orang-orang semacam itu, tetapi bagi mereka yang hidup dalam rezim-rezim yang menindas, Apakah Barat ini atau tidak; Tapi Aku tidak akan bertanggung jawab atas penyalahgunaan yang dapat diberikan, karena saya sangat percaya dalam informasi gratis.

Sekarang bahwa saya sudah menjelaskan sangat sampai metadata, dan beberapa contoh kasus yang bisa membahayakan kami; Apakah Anda seorang politisi korup, seorang pengedar narkoba atau aktivis dikejar oleh pemerintah Anda, Ini adalah paket-paket yang diinstal pada sistem Anda untuk melanjutkan untuk memeriksa, Mengedit, atau menghapus metadata file Anda.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Sebagai contoh kami akan menggunakan dokumen dan file format yang berbeda, untuk menjadi akrab dengan berbagai jenis file dan metadata ini berisi.

Filesadding

Untuk tes ini saya telah menggunakan yang pertama PDF yang muncul dalam hasil google terkait situs Jamsostek, dan beberapa gambar dari blog.

Seperti biasa melakukan dalam serangkaian tutorial pada Komputer forensik, Saya akan menjelaskan pilihan ExifTool bahwa saya telah digunakan untuk praktek ini.

-EXIF:Tag =”ValorMetadato” rute -> Menciptakan atau perubahan nilai metadata, atau beberapa dari mereka jika kita terbelenggu urutan.

-Semua = path -> Menghapus semua isi metadata direktori, atau file yang Anda menunjukkan sebagai rute; Kami juga dapat rantai urutan ini.

Kita dapat mengakses aplikasi manual untuk melihat semua pilihan Anda dan daftar panjang format yang tersedia.

usuario@maquina:~$ man exiftool

Saya telah dikelompokkan semua file dalam direktori bernama “Menganalisis“, dan untuk mengekstrak metadata memberi Anda langsung ke ExifTool sebagai referensi direktori ini, untuk melaksanakan tugas secara rekursif.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Mari kita Bagaimana menambahkan label dengan metadata yang sesuai untuk dokumen; Kita harus ingat bahwa Tidak kita dapat menciptakan label, mereka harus yang memungkinkan ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Sekarang kita teruskan dengan ekstrak metadata gambar untuk memverifikasi bahwa perubahan yang telah kita buat telah diterapkan; untuk mengubah metadata Kita akan melakukannya dengan cara yang sama kita digunakan untuk membuat, dan baru menimpa lama.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Akhirnya belajar untuk Hapus semua metadata file adalah format yang; seperti pada contoh pertama yang kita belajar untuk ekstrak mereka, Kita akan melakukannya menunjuk ke direktori secara rekursifMenganalisis“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

Untuk menyimpulkan, kami akan meninjau perubahan telah diterapkan dengan benar; Saat mengedit, memodifikasi, atau menghapus metadata, Jika hal ini tidak mungkin untuk menghapus tag Anda diberi nilai secara default, dalam hal waktu, itu akan menjadi saat ini.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Setelah membersihkan file adalah format yang, ExifTool Anda akan menciptakan di file lain ini disebut “nombrearchivo_original” Apa berisi metadata yang kami telah dihapuskan; Jika kita ingin untuk secara efektif menghilangkan file Kita dapat membuat itu melalui Penghapusan seperti yang kita lihat dalam entri sebelumnya Komputer forensik.

Jika Anda suka, Anda dapat mengikuti saya di Twitter, Facebook, Google +, LinkedIn, atau berbagi dengan tombol di bawah ini publikasi, Jika Anda memiliki pertanyaan atau saran jangan ragu untuk komentar.

Membantu kami untuk menjangkau lebih banyak pembaca Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Tinggalkan balasan