Informatica forense - come analizzato, Modifica, o eliminare i metadati con ExifTool

I file che conserviamo, creare, e gestire quotidianamente dai nostri dispositivi nascosti all'interno dei dati che la maggior parte degli utenti sono consapevoli; Oggi impareremo come trovarli, modificarli, o eliminarli con lo strumento ExifTool.

Questi sono chiamati metadati, e vengono utilizzati per gestire i file all'interno del sistema tra le altre cose, un esempio sarebbe l'ora e il minuto dell'ultima edizione, il modello della fotocamera che ha scattato una fotografia, la posizione geografica da cui è stata scattata l'immagine utilizzando le coordinate GPS, o di sapere che il software ha utilizzato l'utente per la sua creazione o la modifica.

metadato_pagina

È stato dato più di un caso in cui il metadati hanno giocato trucchi, Per esempio il caso di defacer che pendeva una foto della scollatura della sua fidanzata nella prima pagina del web hacking, senza rimuovere le coordinate GPS l'immagine che aveva preso con il suo “nuovo di zecca” IPhone; o il presunto modificando il fiscale anti-corruzione della strategia di difesa dell'infanta nel caso Noos a loro favore.

Questo articolo non è inteso per quel tipo di persone, ma per coloro che vivono in regimi oppressivi, Se questi occidentali o non; ma Non intenzione di essere responsabile per l'abuso che può essere dato, perché credo fermamente nella libera informazione.

Ora che ho già spiegato molto fino sono il metadati, e alcuni esempi di casi che potrebbero farci del male; Se sei un politico corrotto, un trafficante di droga o un attivista perseguito dal vostro governo, Questi sono i pacchetti che si installa sul vostro sistema per procedere ad esaminare, Modifica, o eliminare il metadati dei tuoi file.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Come esempio useremo documenti e file di diversi formati, per acquisire familiarità con i diversi tipi di file e il metadati Esso contiene.

Formatifile

Per questo test ho usato il primo PDF che è comparso nei risultati di google associato per la sito Web della previdenza sociale, e alcune immagini del blog.

Come sempre fare a questa serie di tutorial su Informatica forense, Vi spiegherò le opzioni di ExifTool che ho usato per questa pratica.

-EXIF:Tag =”ValorMetadato” Itinerario -> Crea o modifica il valore di un metadati, o molti di loro se noi incatenati quell'ordine.

-tutti = percorso -> Elimina tutto il contenuto dei metadati directory, o i file che indicano come itinerario; Noi possiamo anche catena quest'ordine.

Possiamo accedere al manuale di applicazione per vedere tutte le opzioni e la lunga lista dei formati disponibili.

usuario@maquina:~$ man exiftool

Io ho raggruppati tutti questi file in una directory denominata “Analizzare“, e per estrarre il metadati vi diamo direttamente a ExifTool come riferimento questa directory, per svolgere il suo compito in modo ricorsivo.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Let's Come aggiungere un'etichetta con i metadati corrispondenti a un documento; Dobbiamo tenere a mente che Non possiamo inventare etichette, dovrebbero essere che permette ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Passiamo ora al estrarre i metadati dell'immagine per verificare che siano state applicate le modifiche che abbiamo fatto; per modificare un metadati Ci piacerebbe farlo allo stesso modo che abbiamo usato per crearlo, e il nuovo sovrascrive il vecchio.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Finalmente imparare a Elimina tutti i metadati di un file è il formato che è; come nel primo esempio che abbiamo imparato ad estrarli, Ci accingiamo a farlo che punta alla directory ricorsivamenteAnalizzare“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

Per concludere, passeremo in rassegna le modifiche siano state applicate correttamente; Quando si modifica, modificare, o eliminare i metadati di un, Se non è possibile eliminare il tag è stato assegnato un valore di default, nel caso il tempo sarebbe la corrente.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Dopo la pulizia di un file è il formato che è, ExifTool si creerà accanto a quest'altro file chiamato “nombrearchivo_original” Che cosa contiene i metadati che abbiamo eliminato; Se vogliamo rimuovere efficacemente tale file Possiamo farlo attraverso Pulire come abbiamo visto nella voce precedente circa Informatica forense.

Se si desidera è possibile seguire su Twitter, Facebook, Google +, LinkedIn, o condividerlo con i pulsanti sotto questa pubblicazione, Se avete domande o suggerimenti, non esitate a commentare.

Aiutaci a raggiungere più lettori Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Lasciare una risposta