Метаданные - получаем скрытую информацию из изображений с помощью Exif Extractor
Эксплойт
Метаданные, содержащиеся в изображениях и других файлах, могут дать гораздо больше информации, чем вы можете подумать.
Узнать, где находится точка на карте, довольно просто.
Нужно всего-то извлечь Exif - данные, скрытые в файле изображения.
Помимо того, что видно на самой фотографии, метаданные о том, когда и где была сделана фотография, также могут быть восстановлены.
Эти данные могут включать в себя устройство, на котором была сделана фотография, геолокацию изображения и другие уникальные характеристики, которые могут сделать "опечаток пальца" на изображении.
Метаданные, или данные, описывающие файлы, такие как изображения или видео, полезны во время разведки для следователей, потому что они часто игнорируются осторожными целями. Если люди не знают, какие данные могут быть сохранены в определенном формате файла, они не будут знать, подвергают ли они себя риску, публикуя определенный файл. Хотя многие платформы социальных сетей в значительной степени устранили эту проблему, удаляя метаданные из файлов, в Интернете по-прежнему остается много изображений, в которых эти данные остаются полностью нетронутыми.
Данные Exif в изображениях
Данные Exif - это информация, которая предлагает множество полей в свойствах фотографии, которые можно заполнить или оставить пустыми.
Информация используется программами, чтобы лучше понять, что содержится в файле, чтобы помочь в сортировке и других функциях. Доступные поля данных в Exif часто записываются устройством, которое сняло изображение во время съемки, но также могут быть оставлены с помощью таких программ обработки, как Photoshop.
Поскольку мы часто можем определить модель используемой камеры, используемые настройки и дополнительную информацию, например, владельца программного обеспечения, которое внесло изменения в Photoshop, можно идентифицировать изображения, полученные из того же источника. Чем больше полей Exif заполняется устройством, которое снимало изображение, или программным обеспечением, которое его обрабатывало, тем легче отслеживать другие файлы, созданные тем же процессом.
Полный список полей, поддерживаемых стандартом Exif, довольно обширен. Помимо информации о производителе, поля, такие как имя и адрес владельца, могут быть заполнены программным обеспечением для обработки изображений, при этом автор не знает, что каждое изображение, которое они производят, содержит эту информацию.
Используйте инструмент командной строки Exif
Для начала мы будем использовать инструмент "exif", который предустановлен в Kali Linux.
Эта программа является интерфейсом командной строки для libexif и работает только с типами файлов JPG. Чтобы увидеть доступные нам опции, мы можем запустить команду exif --help, чтобы вывести список включенных опций.
~$ exif --help
Usage: exif [OPTION...] file
-v, --version Display software version
-i, --ids Show IDs instead of tag names
-t, --tag=tag Select tag
--ifd=IFD Select IFD
-l, --list-tags List all EXIF tags
-|, --show-mnote Show contents of tag MakerNote
--remove Remove tag or ifd
-s, --show-description Show description of tag
-e, --extract-thumbnail Extract thumbnail
-r, --remove-thumbnail Remove thumbnail
-n, --insert-thumbnail=FILE Insert FILE as thumbnail
--no-fixup Do not fix existing tags in files
-o, --output=FILE Write data to FILE
--set-value=STRING Value of tag
-c, --create-exif Create EXIF data if not existing
-m, --machine-readable Output in a machine-readable (tab delimited) format
-w, --width=WIDTH Width of output
-x, --xml-output Output in a XML format
-d, --debug Show debugging messages
Help options:
-?, --help Show this help message
--usage Display brief usage message
Несмотря на то, что все параметры требуют много обработки, наиболее простое применение этого инструмента - набрать exif, а затем путь к файлу, который вы хотите проверить.
Ниже фотография, обработанная в Photoshop, которая содержит информацию о программном обеспечении, о компьютере, на котором она была изменена, и камере, на которую она была сделана
-$ exif /Users/skickar/Downloads/Vacaynev-28.jpg
EXIF tags in '/Users/skickar/Downloads/Vacaynev-28.jpg' ('Intel' byte order):
--------------------+----------------------------------------------------------
Tag |Value
--------------------+----------------------------------------------------------
Manufacturer |Canon
Model |Canon EOS 60D
X-Resolution |300
Y-Resolution |300
Resolution Unit |Inch
Software |Adobe Photoshop Lightroom 5.6 (Macintosh)
Date and Time |2016:11:25 17:45:11
Compression |JPEG compression
X-Resolution |72
Y-Resolution |72
Resolution Unit |Inch
Exposure Time |1/100 sec.
F-Number |f/4.0
Exposure Program |Manual
ISO Speed Ratings |640
Exif Version |Exif Version 2.3
Date and Time (Origi|2016:11:25 02:56:54
Date and Time (Digit|2016:11:25 02:56:54
Shutter Speed |6.64 EV (1/99 sec.)
Aperture |4.00 EV (f/4.0)
Exposure Bias |0.00 EV
Maximum Aperture Val|3.00 EV (f/2.8)
Metering Mode |Pattern
Flash |Flash did not fire, compulsory flash mode
Focal Length |17.0 mm
Sub-second Time (Ori|00
Sub-second Time (Dig|00
Color Space |sRGB
Focal Plane X-Resolu|5728.177
Focal Plane Y-Resolu|5808.403
Focal Plane Resoluti|Inch
Custom Rendered |Normal process
Exposure Mode |Manual exposure
White Balance |Auto white balance
Scene Capture Type |Standard
FlashPixVersion |FlashPix Version 1.0
--------------------+----------------------------------------------------------
EXIF data contains a thumbnail (16091 bytes).
Информация также может включать данные в виде точных координат. Если фотография была сделана на телефон, существует большая вероятность, что она включает геотеги.
Мы узнали, что человек, который создал этот файл, использует камеру Canon EOS 60D, имеет объектив с фокусным расстоянием 17,0 мм, работал с файлом в Lightroom и использует компьютер Mac , Это много из простого файла изображения!
Используйте Jeffrey
Если вы используете браузер, есть отличный сайт для извлечения данных Exif.
Начнем с просмотра метаданных изображений Джеффри Фридла на exif.regex.info.
Сайт не использует HTTPS.
Если вам всё равно, вы увидите, что простой дизайн прост в использовании и поддерживает больше форматов, в отличие от командной строки.
Здесь вы можете сканировать файлы изображений RAW, такие как CR2 и DNG, PNG и TIFF, и так далее.
Загрузите файл или добавьте его общедоступный URL, проверьте капчу и нажмите «View Image Data».
После того, как вы отсканируете файл, вы должны увидеть огромное количество информации, если оно пришло со смартфона. В примере ниже фотография больше двух лет содержала своё местоположение.
Объем захваченных данных занимает несколько страниц и довольно обширный.
EXIF Make samsung Camera Model Name SM-G920I Software G920IDVS3EPK1 Modify Date 2016:12:13 12:56:36 2 years, 3 months, 18 days, 15 hours, 41 minutes, 18 seconds ago Y Cb Cr Positioning Centered Exposure Time 1/24 F Number 1.90 Exposure Program Program AE ISO 200 Exif Version 0220 Date/Time Original 2016:12:13 12:56:36 2 years, 3 months, 18 days, 15 hours, 41 minutes, 18 seconds ago Create Date 2016:12:13 12:56:36 2 years, 3 months, 18 days, 15 hours, 41 minutes, 18 seconds ago Shutter Speed Value 1/24 Aperture Value 1.90 Brightness Value 0.27 Exposure Compensation 0 Max Aperture Value 1.9 Metering Mode Spot Flash No Flash Focal Length 4.3 mm Image Size 5,312 × 2,988 Maker Note Unknown (98 bytes binary data) User Comment Flashpix Version 0100 Color Space sRGB Exposure Mode Auto White Balance Auto Focal Length In 35mm Format 28 mm Scene Capture Type Standard Image Unique ID A16LLIC08SM A16LLIL02GM GPS Version ID 2.2.0.0 GPS Latitude Ref North GPS Latitude 34.040833 degrees GPS Longitude Ref West GPS Longitude 118.255000 degrees GPS Altitude Ref Below Sea Level GPS Altitude 0 m GPS Time Stamp 20:56:27 GPS Date Stamp 2016:12:13 2 years, 3 months, 19 days, 4 hours, 37 minutes, 54 seconds ago Image Width 512 Image Height 288 Compression JPEG (old-style) Orientation Rotate 90 CW Resolution 72 pixels/inch Thumbnail Length 11,484 Thumbnail Image (11,484 bytes binary data) MakerNotes Unknown 0x0001 0,100 Unknown 0x0002 73,728 Unknown 0x000c 0 Unknown 0x0010 undef Unknown 0x0040 0 Unknown 0x0050 1 Unknown 0x0100 0 Samsung Trailer 0x0a01 Name Image_UTC_Data Time Stamp 2016:12:13 12:56:36-08:00 2 years, 3 months, 18 days, 14 hours, 41 minutes, 18 seconds ago File — basic information derived from the file. File Type JPEG MIME Type image/jpeg Exif Byte Order Little-endian (Intel, II) Encoding Process Baseline DCT, Huffman coding Bits Per Sample 8 Color Components 3 File Size 3.5 MB File Type Extension jpg Image Size 5,312 × 2,988 Y Cb Cr Sub Sampling YCbCr4:2:2 (2 1) Composite This block of data is computed based upon other items. Some of it may be wildly incorrect, especially if the image has been resized. GPS Latitude 34.040833 degrees N GPS Longitude 118.255000 degrees W GPS Altitude 0 m Above Sea Level Aperture 1.90 GPS Date/Time 2016:12:13 20:56:27Z 2 years, 3 months, 18 days, 14 hours, 41 minutes, 27 seconds ago GPS Position 34.040833 degrees N, 118.255000 degrees W Megapixels 15.9 Shutter Speed 1/24 Light Value 5.4 Scale Factor To 35 mm Equivalent 6.5 Circle Of Confusion 0.005 mm Field Of View 65.5 deg Focal Length 4.3 mm (35 mm equivalent: 28.0 mm) Hyperfocal Distance 2.11 m
Используйте расширение EXIF Viewer для Chrome
В Google Chrome вы можете установить расширение EXIF Viewer, которое позволит вам извлекать данные Exif из любой фотографии, загруженной вами в браузер.
Использование браузера для извлечения данных Exif даже проще, чем использование Kali.
После установки и включения, мы можем щелкнуть правой кнопкой мыши на любое изображение в браузере и выбрать «Show EXIF Data», чтобы увидеть все детали.
Дабы проверить это, я нашел случайное изображение на сайте обмена фотографиями и просмотрел метаданные, предоставленные программой EXIF Viewer, чтобы найти камеру, которая сфотографировала самолёт.
Используйте дополнение Exif Viewer для Firefox
Вы также можете установить дополнение Exif Viewer для Firefox, разработанное Аланом Раскиным, которое обеспечивает функциональность, аналогичную расширению для Chrome.
После установки и включения, щелкните правой кнопкой мыши на изображение в браузере, а затем нажмите на «Exif Viewer».
Появится всплывающее окно, в котором есть множество метаданных для сортировки. Вы можете увидеть ссылку на изображение; в разделе GPS вы получаете ссылки, чтобы открыть данные на Google Maps, Bing Maps и Mapquest.
В целом, расширения браузера - это отличный способ извлечения данных Exif, поскольку вы также можете открывать фотографии в окне браузера и использовать расширение для чтения данных внутри.