Комп'ютерної криміналістиці - як аналізуються, Редагувати, або видалення метаданих з ExifTool

Файли, які ми зберігаємо, створити, і керувати на щоденній основі з нашими пристроїв заховано всередині даних, що більшість користувачів не знають; Сьогодні ми дізнаємося, як їх знайти, редагувати їх, або видалити їх за допомогою інструменту ExifTool.

Це так звані метадані, та вони використовуються для керування файлами у системі серед іншого, прикладом може служити на годину і хвилину останнє видання, модель камери, що взяв фотографію, географічне місцеположення де було прийнято зображення, використовуючи координати GPS, або, щоб знати, що програмне забезпечення використовується користувача для його створення або редагування.

metadato_pagina

Дав більш ніж одному випадку в якій в метадані вони грали трюки, Наприклад у випадку з defacer, які висіли фото декольте своєї подруги на першій сторінці веб злому, без зняття координати GPS Він взяв з його зображення “новий” IPhone; або на передбачається, що редагування у фінансовому анти-корупційних стратегії захисту Інфанта у випадку Noos на їх користь.

Ця стаття не призначена для таких людей, але для тих, хто проживає в репресивних режимів, Чи є ці заходу чи ні; Але Я не збираюся відповідати за неправильне використання, яка може бути надана, тому що я твердо вірю в безкоштовну інформацію.

Тепер, я вже пояснював дуже аж до метадані, і деякі приклади випадків, які могли б завдати нам шкоди; Будь ви корумпованих політик, торговець наркотиками або активіст переслідуваний ваш уряд, Це пакети, які ви встановити на вашій системі, щоб приступити до вивчення, Редагувати, або видалити в метадані ваші файли.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

Як приклад ми будемо використовувати документи та файли різних форматів, Щоб ознайомитися з різними типами файлів і на метадані Він містить.

Filesadding

Для цього тесту я використовував перший PDF які з'явилися в асоційовані google результатів до на сайт соціальної безпеки, і деякі фотографії в блог.

Як завжди робити в цій серії підручників на Комп'ютерної криміналістиці, Я поясню варіанти ExifTool я використав для цієї практики.

-EXIF:Tag =”ValorMetadato” маршрут -> Створює або змінює значення в метаданих, або декілька з них, якщо ми прикутий цього замовлення.

-всі = шлях -> Буде видалено весь вміст каталог метаданих, або файли, які ви вказуєте, як маршрут; Ми також можете ланцюжок цей порядок.

Ми можемо отримати доступ інструкції з застосування щоб побачити всі варіанти і довгий список доступних форматів.

usuario@maquina:~$ man exiftool

Згрупованих я всіх цих файлів та каталогів, названий “Проаналізувати“, і щоб витягти на метадані дати вам безпосередньо до ExifTool як посилання цей каталог, для виконання свого завдання рекурсивно.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

Давайте Як додати мітку з наявними метаданими до документа; Ми повинні мати на увазі, що Не можна вигадувати етикетки, вони повинні бути, яка дозволяє ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

Перейдемо тепер до витягувати зображення метаданих щоб переконатися, що ми зробили зміни було застосовано; Щоб змінити на метадані Ми зробимо це так само, як ми використовували для його створення, і нові переписує старий.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

Навчитеся видалити всі метадані файлу є форматом, який є; як і в першому прикладі ми навчилися витягти їх, Ми будемо робити це вказуючи на каталогу рекурсивногоПроаналізувати“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

На закінчення, ми розглянемо зміни було застосовано правильно; Під час редагування, змінити, або видалити з метаданими, Якщо це не можливо видалити тег призначається значення за промовчанням, у випадку з того часу було б струм.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

Після очищення файлу є форматом, який є, ExifTool ви створите поруч із пунктом цей файл, називається “nombrearchivo_original” Що містять метадані, які ми усунули; Якщо ми хочемо, щоб ефективно видалити цей файл Ми можемо зробити це через Протріть як ми бачили в попередній запис Комп'ютерної криміналістиці.

Якщо ви любите ви можете слідкувати за мене на Twitter, Facebook, Google +, LinkedIn, або поділитися ним з кнопок під цієї публікації, Якщо у вас виникли питання або пропозиції будь ласка, не соромтеся коментувати.

Допомогти нам досягти більше читачів Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Напишіть відгук