Forensik komputer - seperti yang dianalisis, Edit, atau menghapuskan metadata dengan ExifTool

Fail-fail yang kita simpan, mencipta, y gestionamos a diario desde nuestros dispositivos esconden en su interior datos que la mayoría de los usuarios desconocen; Hari ini kita akan belajar bagaimana untuk mencari mereka, mengedit mereka, atau memadamnya dengan menggunakan alat ExifTool.

Ini dipanggil metadata, y sirven para gestionar los archivos dentro del sistema entre otras cosas, un ejemplo podría ser la hora y el minuto de la última edición, el modelo de la cámara que tomó una fotografía, la ubicación geográfica desde donde fue tomada la imagen mediante las coordenadas GPS, o conocer que software ha empleado el usuario para su creación o edición.

metadato_pagina

Se ha dado mas de un caso en el que los metadata mereka telah memainkan helah, sebagai contoh kes defacer yang digantung gambar neckline kawan wanitanya di muka depan web hacking, tanpa mengalih keluar koordinat GPS imej beliau telah mengambil dengan-Nya “jenama baru” IPhone; atau dianggapkan penyuntingan oleh fiskal yang anti rasuah strategi pertahanan infanta dalam kes Noos memihak kepada mereka.

Artikel ini bukan untuk orang-orang semacam itu, tetapi bagi mereka yang tinggal di rejim-rejim yang menindas, sama ada Barat ini atau tidak; tetapi Saya tidak akan bertanggungjawab ke atas penyalahgunaan yang boleh diberi, kerana saya percaya dalam maklumat percuma.

Sekarang bahawa saya sudah pun menjelaskan sangat sehingga di metadata, y algunos ejemplos de casos en los que podrían perjudicarnos; Adakah anda seorang ahli politik yang rasuah, Pengedar dadah atau seorang aktivis yang diusahakan oleh kerajaan anda, estos son los paquetes que debes instalar en tu sistema para proceder a examinar, Edit, atau padam dalam metadata de tus archivos.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Sebagai contoh kita akan menggunakan dokumen dan fail format yang berbeza, para familiarizarnos con los distintos tipos de archivos y los metadata Ia mengandungi.

FormatosArchivos

Para esta prueba yo he utilizado el primer PDF yang muncul dalam google berkaitan keputusan kepada pihak Laman web keselamatan sosial, y algunas imágenes del blog.

Seperti biasa dilakukan dalam siri tutorial Forensik komputer, Saya akan Terangkan pilihan ExifTool bahawa saya telah digunakan untuk amalan ini.

-EXIF:Tag =”ValorMetadato” laluan -> Crea o cambia el valor de un metadato, atau beberapa daripada mereka jika kita dirantaikan perintah itu.

-Semua = laluan -> Menghapuskan semua kandungan direktori metadata, atau fail yang anda tandakan sebagai laluan; Kita juga boleh chain Perintah ini.

Kita boleh mengakses permohonan manual para ver todas sus opciones y la larga lista de formatos disponibles.

usuario@maquina:~$ man exiftool

Saya telah dikumpulkan semua fail-fail ini dalam satu direktori yang dinamakan “Menganalisis“, dan untuk cabutan yang metadata memberikan anda secara langsung kepada ExifTool sebagai rujukan direktori ini, para que lleve a cabo su tarea de forma recursiva.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Mari kita como añadir una etiqueta con su correspondiente metadato a un documento; Kita mesti ingat bahawa Tidak kita boleh mencipta label, mereka harus yang membolehkan ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Ahora procedemos a Cabutan metadata imej untuk mengesahkan bahawa kami telah membuat perubahan telah digunakan; untuk mengubah sebuah metadata Kami akan melakukannya dengan cara yang sama yang kami gunakan untuk menciptanya, dan baru menimpa lama.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Akhirnya belajar untuk menghapuskan semua metadata fail adalah format yang; dalam contoh pertama yang kita belajar untuk mengeluarkan mereka, Kita akan melakukannya menunjuk ke dalam direktori secara berulangMenganalisis“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

Sebagai kesimpulan, kita akan mengkaji semula perubahan telah digunakan dengan betul; Apabila menyunting, Ubah suai, atau menghapuskan metadata, si no es posible eliminar la etiqueta le asignará un valor por defecto, en el caso de la hora sería la actual.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Selepas kering fail format yang, ExifTool creará junto a este otro archivo llamadonombrearchivo_original” Apa mengandungi metadata yang kami telah dihapuskan; Jika kita mahu mengalih keluar fail yang berkesan Kita boleh lakukannya melalui Padam seperti yang kita lihat di entri sebelumnya Forensik komputer.

Jika anda mahu anda boleh Ikuti saya di Twitter, Facebook, Google +, LinkedIn, atau berkongsi dengan butang di bawah penerbitan ini, Jika anda mempunyai sebarang pertanyaan atau cadangan sila tidak teragak-agak untuk memberi komen.

Membantu kita untuk mencapai lebih banyak pembaca Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Tinggalkan Jawapan