Forensik komputer - seperti yang dianalisis, Edit, atau menghapuskan metadata dengan ExifTool

Fail-fail yang kita simpan, mencipta, dan mengurus secara harian dari kami peranti yang tersembunyi di dalam data yang kebanyakan pengguna masih tidak sedar; Hari ini kita akan belajar bagaimana untuk mencari mereka, mengedit mereka, atau memadamnya dengan menggunakan alat ExifTool.

Ini dipanggil metadata, dan mereka akan digunakan untuk mengurus fail dalam sistem antaranya, contoh akan jam dan minit dalam edisi lepas, model kamera yang mengambil gambar, lokasi geografi dari di mana ia telah diambil gambar menggunakan koordinat GPS, atau untuk mengetahui bahawa perisian telah menggunakan pengguna bagi mewujudkan atau penyuntingan.

metadato_pagina

Telah diberi lebih daripada satu kes di mana yang metadata mereka telah memainkan helah, sebagai contoh kes defacer yang digantung gambar neckline kawan wanitanya di muka depan web hacking, tanpa mengalih keluar koordinat GPS imej beliau telah mengambil dengan-Nya “jenama baru” IPhone; atau dianggapkan penyuntingan oleh fiskal yang anti rasuah strategi pertahanan infanta dalam kes Noos memihak kepada mereka.

Artikel ini bukan untuk orang-orang semacam itu, tetapi bagi mereka yang tinggal di rejim-rejim yang menindas, sama ada Barat ini atau tidak; tetapi Saya tidak akan bertanggungjawab ke atas penyalahgunaan yang boleh diberi, kerana saya percaya dalam maklumat percuma.

Sekarang bahawa saya sudah pun menjelaskan sangat sehingga di metadata, dan beberapa contoh kes-kes yang boleh membahayakan kita; Adakah anda seorang ahli politik yang rasuah, Pengedar dadah atau seorang aktivis yang diusahakan oleh kerajaan anda, Ini adalah pakej yang anda pasangkan pada sistem anda untuk meneruskan untuk memeriksa, Edit, atau padam dalam metadata fail anda.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Sebagai contoh kita akan menggunakan dokumen dan fail format yang berbeza, untuk menjadi akrab dengan jenis fail yang berbeza dan metadata Ia mengandungi.

Filesadding

Untuk ujian ini, saya telah menggunakan pertama PDF yang muncul dalam google berkaitan keputusan kepada pihak Laman web keselamatan sosial, dan beberapa gambar di blog.

Seperti biasa dilakukan dalam siri tutorial Forensik komputer, Saya akan Terangkan pilihan ExifTool bahawa saya telah digunakan untuk amalan ini.

-EXIF:Tag =”ValorMetadato” laluan -> Mencipta atau mengubah nilai metadata, atau beberapa daripada mereka jika kita dirantaikan perintah itu.

-Semua = laluan -> Menghapuskan semua kandungan direktori metadata, atau fail yang anda tandakan sebagai laluan; Kita juga boleh chain Perintah ini.

Kita boleh mengakses permohonan manual untuk melihat semua pilihan dan senarai panjang disediakan format.

usuario@maquina:~$ man exiftool

Saya telah dikumpulkan semua fail-fail ini dalam satu direktori yang dinamakan “Menganalisis“, dan untuk cabutan yang metadata memberikan anda secara langsung kepada ExifTool sebagai rujukan direktori ini, untuk menjalankan tugas yang secara berulang.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Mari kita Bagaimana untuk menambah label dengan metadata sepadan dokumen; Kita mesti ingat bahawa Tidak kita boleh mencipta label, mereka harus yang membolehkan ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Kita sekarang meneruskan Cabutan metadata imej untuk mengesahkan bahawa kami telah membuat perubahan telah digunakan; untuk mengubah sebuah metadata Kami akan melakukannya dengan cara yang sama yang kami gunakan untuk menciptanya, dan baru menimpa lama.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Akhirnya belajar untuk menghapuskan semua metadata fail adalah format yang; dalam contoh pertama yang kita belajar untuk mengeluarkan mereka, Kita akan melakukannya menunjuk ke dalam direktori secara berulangMenganalisis“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

Sebagai kesimpulan, kita akan mengkaji semula perubahan telah digunakan dengan betul; Apabila menyunting, Ubah suai, atau menghapuskan metadata, Jika ianya tidak mungkin dapat menghapuskan tag anda diperuntukkan nilai secara lalai, bagi masa yang ia akan menjadi semasa.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Selepas kering fail format yang, ExifTool anda akan mencipta di sebelah ini fail lain yang dipanggil “nombrearchivo_original” Apa mengandungi metadata yang kami telah dihapuskan; Jika kita mahu mengalih keluar fail yang berkesan Kita boleh lakukannya melalui Padam seperti yang kita lihat di entri sebelumnya Forensik komputer.

Jika anda mahu anda boleh Ikuti saya di Twitter, Facebook, Google +, LinkedIn, atau berkongsi dengan butang di bawah penerbitan ini, Jika anda mempunyai sebarang pertanyaan atau cadangan sila tidak teragak-agak untuk memberi komen.

Membantu kita untuk mencapai lebih banyak pembaca Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Tinggalkan Jawapan