计算机取证技术-分析, 编辑, 或删除元数据与 ExifTool

我们存储文件, 创建, 和日常管理的基础上, 我们的设备隐藏在数据中, 大多数用户不知道; 今天我们将学习如何找到他们, 对其进行编辑, 或删除其中的工具 ExifTool.

这些被称为 元数据, 并且它们被用来管理系统内的文件, 尤其, 一个例子是最后一版的时间和分钟, 拍照的摄像头模型, 从何处拍摄图像使用坐标的地理位置 全球定位系统, 或者知道软件已使用用户创建或编辑.

metadato_pagina

已经给了不止一个案件, 其中 元数据 他们有捉弄, 举个例子 这是一例挂领口的女友在 web 黑客的头版照片 defacer, 而不删除坐标 全球定位系统 他已经跟他的图像 “品牌新” IPhone; 或 推定编辑由财政反腐在诺斯案件在他们青睐郡主的防务战略.

这篇文章不是为那种人, 但对于那些谁住在暴虐政权, 是否这些西方人或不; 但 我不会要负责可以给出的滥用, 因为我坚信在免费信息.

现在,我已经解释了很多 元数据, 和一些例子的情况下, 可能会伤害我们; 无论你是腐败的政客, 一名毒贩或你政府推行的激进分子, 这些是您在系统上安装的软件包, 以继续检查, 编辑, 或删除 元数据 文件的.

#Instalamos los paquetes necesarios.
usuario@maquina:~$ sudo apt-get install libimage-exiftool-perl exiftool

作为示例,我们将使用 文档和文件的不同格式, 熟悉不同类型的文件和 元数据 它包含.

Filesadding

对于这个测试, 我使用了第一个 PDF 这出现在关联的谷歌结果到中 社会保障的网站, 和一些博客的图片.

一如往常做在本系列教程 计算机取证, 我会解释的选项 ExifTool 我已用于这种做法.

-EXIF:标记 =”ValorMetadato” 路线 -> 创建或更改元数据的值, 或多个如果我们链接的顺序.

-所有 = 路径 -> 删除目录元数据中的所有内容, 或你指示路线的文件; 我们也可以链此订单.

我们可以访问应用程序手册 查看所有选项和可用格式的长列表.

usuario@maquina:~$ man exiftool

我已经分组命名的目录中的所有这些文件 “分析“, 和提取 元数据 直接给你 ExifTool 作为参考此目录, 执行任务 循环.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2014:10:11 11:27:26+02:00
File Access Date/Time : 2015:01:29 15:09:51+01:00
File Inode Change Date/Time : 2015:01:29 15:09:54+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:17 03:55:00+01:00
File Access Date/Time : 2015:01:28 12:37:48+01:00
File Inode Change Date/Time : 2015:01:28 12:17:08+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:16 03:06:07+01:00
File Access Date/Time : 2015:01:28 19:09:55+01:00
File Inode Change Date/Time : 2015:01:29 15:09:25+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
JFIF Version : 1.02
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:28 12:17:51+01:00
File Access Date/Time : 2015:01:28 12:18:13+01:00
File Inode Change Date/Time : 2015:01:28 12:18:03+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : Yes
Tagged PDF : Yes
XMP Toolkit : 3.1-701
Modify Date : 2007:06:13 12:32:30+02:00
Create Date : 2007:06:13 12:32:30+02:00
Metadata Date : 2007:06:13 12:32:30+02:00
Creator Tool : Acrobat PDFMaker 7.0 para Word
Format : application/pdf
Title : Microsoft Word - Portadilla.doc
Creator : silueta
Document ID : uuid:97297a7a-7be0-4442-9be3-312d61af12ca
Instance ID : uuid:0f43e865-863e-495e-8f6a-412686987385
Producer : Acrobat Distiller 7.0 (Windows)
Page Count : 121
Author : silueta

 1 directories scanned
 4 image files read

让我们 如何向文档添加带有相应元数据的标签; 我们必须牢记, 我们不能发明标签, 他们应该是这样 ExifTool.

#Ejemplo de error por etiqueta inexistente.
usuario@maquina:~$ exiftool -exif:Propietario="Peatonet" /home/usuario/Escritorio/Analizar/images.jpg

Warning: Tag 'Propietario' does not exist
Nothing to do.

#Modificamos el valor del metadato referente a la etiqueta "Copyright".
usuario@maquina:~$ exiftool -exif:Copyright="www.peatonet.com" /home/usuario/Escritorio/Analizar/images.jpg

 1 image files updated

#Modificamos el valor del metadato referente a las etiquetas "gpslatitude", "gpslongitude", y "gpslatituderef, para cambiarlo por las coordenadas de la CIA en google maps.
usuario@maquina:~$ exiftool -exif:gpslatitude="38.951206600" /home/usuario/Escritorio/Analizar/images.jpg -exif:gpslatituderef=S -exif:gpslongitude="-77.151290800"

1 image files updated

我们现在着手 提取图像元数据 要验证已应用了我们所做的更改; 若要更改 元数据 我们会做到我们用来创建它的同样的, 和会覆盖旧的新.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/images.jpg

ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario//Escritorio/Analizar
File Size : 3.7 kB
File Modification Date/Time : 2015:01:30 14:19:27+01:00
File Access Date/Time : 2015:01:30 14:19:27+01:00
File Inode Change Date/Time : 2015:01:30 14:19:27+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Y Cb Cr Positioning : Centered
Copyright : www.peatonet.com
GPS Version ID : 2.3.0.0
GPS Latitude Ref : South
GPS Longitude : 77 deg 9' 4.65"
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
GPS Latitude : 38 deg 57' 4.34" S
Image Size : 176x175
GPS Position : 38 deg 57' 4.34" S, 77 deg 9' 4.65"

最后了解到 删除的文件的所有元数据都是格式,; 在第一个示例中,我们学会了把它们提取出来, 我们打算做它 指向目录递归分析“.

usuario@maquina:~$ exiftool -all= /home/usuario/Escritorio/Analizar/

 1 directories scanned
 4 image files updated

总括来说,我们会检讨所做的更改已应用正确; 编辑时, 修改, 或删除元数据, 如果无法删除在默认情况下分配了值的标记, 则为, 在时间的情况下, 这将是当前.

usuario@maquina:~$ exiftool /home/usuario/Escritorio/Analizar/

======== /home/usuario/Escritorio/Analizar/rele.jpg
ExifTool Version Number : 9.46
File Name : rele.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 46 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 500
Image Height : 500
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 500x500

======== /home/usuario/Escritorio/Analizar/images.jpg
ExifTool Version Number : 9.46
File Name : images.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 3.5 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : JPEG
MIME Type : image/jpeg
Image Width : 176
Image Height : 175
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 176x175

======== /home/usuario/Escritorio/Analizar/07e716f.jpg
ExifTool Version Number : 9.46
File Name : 07e716f.jpg
Directory : /home/usuario/Escritorio/Analizar
File Size : 8.8 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-rw-r--
File Type : JPEG
MIME Type : image/jpeg
Image Width : 200
Image Height : 200
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 200x200

======== /home/usuario/Escritorio/Analizar/51873.pdf
ExifTool Version Number : 9.46
File Name : 51873.pdf
Directory : /home/usuario/Escritorio/Analizar
File Size : 1560 kB
File Modification Date/Time : 2015:01:29 15:18:24+01:00
File Access Date/Time : 2015:01:29 15:18:27+01:00
File Inode Change Date/Time : 2015:01:29 15:18:24+01:00
File Permissions : rw-r-----
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
Page Count : 121

 1 directories scanned
 4 image files read

后清除文件的格式, ExifTool 您将在该文件旁边创建一个名为 “nombrearchivo_original” 什么 包含元数据,我们消除了; 如果我们想要有效地删除该文件 我们可以度过难关 擦去 正如我们看到在过去的条目 计算机取证.

如果你愿意,你可以跟着我 推特, Facebook, 谷歌 +, LinkedIn, 或它分享这份出版物下方的按钮, 如果您有任何疑问或建议,请不要犹豫,置评.

帮助我们达成更多的读者 Share on LinkedIn
LinkedIn
Share on Facebook
Facebook
Tweet about this on Twitter
推特
Share on Google+
谷歌 +
Email this to someone
电子邮件

留言

您的电子邮件地址将不会被发布. 必填字段标记为 *

*