Computer forensics - zoals geanalyseerd, Bewerken, of het verwijderen van metagegevens met ExifTool

De bestanden die we bewaren, maken, en beheren op een dagelijkse basis van onze apparaten in dat de meeste gebruikers zich niet bewust zijn gegevens verborgen; Vandaag zullen we leren hoe om ze te vinden, ze bewerken, of met het gereedschap te verwijderen ExifTool.

Deze heten metagegevens, en ze worden gebruikt voor het beheren van bestanden binnen het systeem onder andere, een voorbeeld zou zijn het uur en de minuut van de laatste editie, het model van de camera die nam een foto, de geografische locatie van waar deze foto is genomen op het beeld met behulp van coördinaten GPS, of om te weten dat software de gebruiker heeft gebruikt voor de oprichting of bewerken.

metadato_pagina

Heeft gekregen meer dan één geval waarin de metagegevens zij hebben gespeeld trucs, bijvoorbeeld het geval van de defacer die hing een foto van de halslijn van zijn vriendin in de voorpagina van de web hacking, zonder het verwijderen van de coördinaten GPS de afbeelding die hij had genomen met zijn “gloednieuwe” IPhone; of de geacht bewerken door de fiscale anti corruptie van de strategie van de verdediging van de Infante in het geval van UPC in hun voordeel.

Dit artikel is niet bedoeld voor dat soort mensen, maar voor degenen die wonen in onderdrukkende regimes, of deze westerlingen of niet; maar Ik ga niet aansprakelijk voor het misbruik dat kan worden gegeven, omdat ik geloof sterk in gratis informatie.

Nu dat ik al heb uitgelegd zeer tot de metagegevens, en enkele voorbeelden van zaken die schadelijk is voor ons; of je nu een corrupte politicus, een drugdealer of een activist door uw regering gevoerde, Dit zijn de pakketten die u op uw systeem installeren te onderzoeken, Bewerken, of verwijderen de metagegevens van uw bestanden.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Als voorbeeld zullen we gebruik maken documenten en bestanden in verschillende indelingen, vertrouwd te raken met de verschillende soorten bestanden en de metagegevens zij bevatten.

FormatosArchivos

Voor deze test heb ik de eerste gebruikt PDF die verscheen in de bijbehorende google zoekresultaten toe aan de website van de sociale zekerheid, en enkele foto's van de blog.

Zoals altijd doen in deze serie tutorials op Forensische informatica, Ik zal het uitleggen van de opties van ExifTool dat ik voor deze praktijk gebruikt heb.

-EXIF:Label =”ValorMetadato” route -> Maakt of wijzigt de waarde van een metadata, of meerdere van hen als we die volgorde geketend.

-alle = pad -> Hiermee verwijdert u alle inhoud van de directory-metagegevens, of bestanden die u als route aangeven; We kunnen ook deze bestelling ketting.

We kunnen toegang tot de applicatie-gids om te zien al uw opties en de lange lijst van beschikbare formaten.

usuario@maquina:~$ man exiftool

Ik heb hebt al deze bestanden in een map met de naam gegroepeerd “Analyseren“, en uitpakken van de metagegevens kun je direct naar ExifTool als referentie deze map, haar taak uit te voeren recursief.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Laten we Hoe u een label met de bijbehorende metagegevens toevoegt aan een document; We moeten in gedachten houden dat Nee kunnen wij verzinnen etiketten, ze zouden moeten zijn die het mogelijk maakt ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Wij gaan nu over tot extraheren van metagegevens van afbeeldingen om te verifiëren dat de veranderingen die we hebben gemaakt zijn toegepast; om te veranderen een metagegevens We zou dezelfde manier we gebruikt om het te maken doen, en de nieuwe overschrijft de oude.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Tot slot leren Verwijder alle de metagegevens van een bestand is de indeling die is; zoals in het eerste voorbeeld dat we geleerd om uitpakken, Wij zijn gonna do it wijzend naar de map recursiefAnalyseren“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

Tot slot zullen wij herzien zijn de wijzigingen correct toegepast; Bij het bewerken, wijzigen, of een metagegevens verwijderen, Als het niet mogelijk om te verwijderen van de tag die u standaard een waarde toegewezen, in het geval van de tijd zou de huidige.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Na het schoonmaken van een bestand is de indeling die is, ExifTool maakt u naast deze andere bestand met de naam “nombrearchivo_original” Wat bevat van de metagegevens die wij hebben geëlimineerd; Als we daadwerkelijk willen dat bestand verwijderen Kunnen we het door Veeg zoals we zagen in de vorige post over Forensische informatica.

Als je net als u me kunt volgen op Twitter, Facebook, Google +, LinkedIn, of het te delen met de knoppen onder deze publicatie, Als u vragen hebt of suggesties gelieve te niet aarzelen om commentaar te.

Help ons te bereiken meer lezers Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Laat een antwoord achter