全文共9112字,23圖
預計閱讀時間:23分鐘
在情報調查中,我們知道照片裡面包含着很多地理定位的重要細節,然而,除了照片表面上的視覺線索,其實,還有隐藏在圖像檔案中的其他重要資訊,這些資訊同樣包含着關鍵線索,其中,最重要的就是 EXIF 資料。
對于,情報調查來說, EXIF 是一座資訊金礦,因為它包含有關相機、設定,甚至位置資料的資訊。雖然,通常大多數平台會從圖像中删除 EXIF 資料,但是 EXIF 資料仍然是我們不能忽視的資訊來源。
在這篇文章中,福韻君将帶領大家一起去探索 JPEG 圖像裡深藏的情報密碼。
情報分析工具
有一些工具可用于從 JPEG 圖像檔案中提取資料用以情報分析,在前期的推文中福韻君也向大家介紹過8類工具,可以點選下方連結了解。
Forensically – 這是一個非常簡單的基于 Web 的圖像驗證工具,可在浏覽器中運作,隻需使用“打開檔案”加載圖像即可開始分析。“中繼資料”“地理标簽”和“字元串提取”頁籤對于通路我們需要的資料很有用。
Exiftool - 這是一個簡單但非常強大的工具,用于從許多不同的檔案類型中提取中繼資料,而不僅僅是圖像。它可以在 Windows、Mac 和 Linux 上運作。它不像 Forensically 那樣易于使用,但它對于檢視恢複的中繼資料更有效。
Bless – Bless 是一個十六進制編輯器,可讓以最原始的形式檢視檔案的結構。HxD也是一個很好的 Windows 基本十六進制檢視器,但任何十六進制編輯器都可以用于此目的。使用十六進制閱讀器是檢查檔案結構的最全面的方法,它将使我們能夠非常精确地檢查中繼資料。
JPEG 裡的秘密
每種類型的檔案都有自己的數字簽名——這就是計算機如何區分.doc和.exe的方式。在 Windows 中,作業系統會檢視檔案末尾的擴充名(例如 .pdf、.xls)來決定使用什麼程式來運作該檔案。
更重要的是檔案簽名,每個檔案都以十六進制檔案簽名開頭,告訴作業系統它是什麼類型的檔案。.exe 檔案以簽名4D 5A開頭,.docx 檔案以簽名50 4B 03 04開頭,JPEG 圖像檔案以FF D8 開頭,依此類推。
這意味着當計算機讀取資料時,它會在檔案的開頭看到“ FF D8 ”并知道它是 JPEG。檔案的結尾用相應的“ FF D9 ”标記。舉個簡單的例子,讓我們看一下下面張圖檔,以下是計算機向你呈現圖像的方式:
這是計算機看到相同圖像的方式。通過使用十六進制檢視器打開它,我們可以像計算機一樣看到檔案。請注意,它以檔案簽名FF D8開頭,表明它是 JPEG:
并且檔案以FF D9結尾,表示 JPEG 的結尾:
那麼這與我們可能感興趣的 EXIF 和其他檔案資料有什麼關系呢?
正如有特定的十六進制字元訓示 JPEG 檔案的開始和結束一樣,檔案中還有其他十六進制模式訓示在何處可以找到特定類型的資訊。這些都位于檔案頭中,這是檔案的第一部分,位于與實際圖像本身相關的主要資料之前。這裡有所有有用的 JPEG 代碼的完整清單,但我們感興趣的隻有幾個:
FF E1 – 檔案中任何 EXIF 資料的開始。
FF E2 – ICC(國際色彩聯盟)配置檔案資訊。ICC 配置檔案是一組屬性,用于确定特定裝置如何顯示顔色。這對于 OSINT 來說可能很重要,因為即使大多數網站删除了 EXIF 資料,ICC 配置檔案通常也會保持不變。對于某些裝置(例如 Apple 産品),有時仍可以根據這些資訊确定裝置的制造商。
FF ED – Photoshop 和 IPTC 資料。此标記表示 Photoshop 處理生成的中繼資料的開始。IPTC 資料包含其他資料,例如版權資訊、攝影師的詳細資訊和标題等。即使未經修改,這些資料通常也不存在于照片中,但當它存在時,它非常有用。
這通過一個實際的例子更容易看出,是以接下來讓我們用一個仍然保留有 EXIF 資料的網絡照片來探索一下 JPEG 照片裡的秘密。
帶有 EXIF 資料的照片
下面這張未删除 EXIF 資料的照片取自CNN 的一篇文章。
布倫特·斯蒂頓/蓋蒂圖檔社攝
讓我們首先儲存它并将其上傳到 Forensically,以下是中繼資料頁籤顯示的内容:
裡面有很多有用的細節。ImageDescription 字段也已填充,是以當我們将這張照片上傳到部落格時,它會自動填充标題字段。“字元串提取”頁籤中還有其他資訊片段:
此 JPEG 标頭中的大量資料使其成為使用十六進制編輯器檢查檔案的良好測試對象。以下是十六進制格式的檔案:
請注意 EXIF 資料如何在右側列中可見。我們知道 JPEG 的 EXIF 部分以FF E1開頭,是以我們可以 Ctrl+F 找到檔案的這一部分。它就在檔案簽名之後的開始處:
接下來我們可以通過搜尋FF E2來檢查 ICC 配置檔案,但我們不會在這個特定的圖像中找到它。但是FF ED字段(Photoshop 和 IPTC 資料)存在,是以我們知道該檔案可能已由 Photoshop 處理:
檔案的十六進制視圖提供了最進階别的細節,但并不總是最容易閱讀。Forensically 在提取和顯示大部分資料方面做得很好,但在我看來,ExifTool 做得更好。以下是它如何呈現一些中繼資料的選擇:
由于照片已由 Photoshop 處理,是以 Photoshop 活動的建立和修改時間戳嵌入在圖像中。這些 Photoshop 編輯時間戳與你可以在計算機中的所有檔案上找到的建立/修改/通路的時間戳不同——這些時間戳來自裝置自己的檔案系統,本質上不是檔案頭本身的一部分。
我們可以使用EXIF 檢視器輕松地檢視與提取 EXIF 資訊,但正如大家所知,現在可能沒有什麼網絡圖像能包含豐富的原始 EXIF 資料了。
那怎麼辦呢?雖然含有大量 EXIF 資料的原始圖像少有,但通過了解如何深入挖掘照片資料,我們仍然可以找到有用的原始資料碎片,而這些碎片正是 EXIF 删除工具容易忽略的資訊。
一些主要社交平台以自己特有的方式删除 EXIF 資料,這實際上可能更容易識别圖像的來源。
一些主要平台删除中繼資料的方式
幾乎每個主要平台都會删除中繼資料,但它們都以不同的方式進行。比如,IPTC 對許多流行的社交媒體和圖像托管平台進行了全面測試,以了解每個平台如何處理 EXIF 和 IPTC 資料。每個處理檔案的方式不同:
有時我們可以看到平台是如何剝離資料的。例如,如果我們檢視在 Ebay 上出售的這輛自行車,我們可以檢視檔案的十六進制視圖,甚至可以告訴他們使用什麼軟體來執行此操作:
我們在 EXIF FF E1字段開始的地方,看到了“由 eBay 使用 ImageMagick 處理”問候語!ImageMagick是一個常見的 EXIF 删除工具。至少我們現在知道如何判斷一張圖檔是從 Ebay 借來的!
然而,并非所有網站在删除中繼資料時都會留下如此明顯的痕迹,而且每個網站的處理方式都不同。接下來,我們可以了解一些流行的社交網站平台如何處理圖像中繼資料并在此過程中添加自己的顯著特征。
此圖像的檔案名為:
88004843_10111606095638101_261759268640784384_o.jpg
這種特殊的檔案命名格式源自 Facebook 存儲其數十億張圖像的獨特方式。
但 Facebook 上每個圖像的檔案名實際上表示 Facebook 龐大生态系統中特定硬碟驅動器叢集上的特定塊,而不是與它的來源帳戶有任何關系。這樣做的結果是 Facebook 圖像檔案名非常獨特。
讓我們使用 ExifTool 檢視檔案本身:
ExifTool Version Number : 10.80
File Name : 84068253_10111506635776461_6848249074852823040_o.jpg
Directory : .
File Size : 371 kB
File Permissions : rw-rw-r--
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
Profile CMM Type :
Profile Version : 2.0.0
Profile Class : Display Device Profile
Color Space Data : RGB
Profile Connection Space : XYZ
Profile Date Time : 2009:03:27 21:36:31
Profile File Signature : acsp
Primary Platform : Unknown ()
CMM Flags : Not Embedded, Independent
Device Manufacturer :
Device Model :
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator :
Profile ID : 29f83ddeaff255ae7842fae4ca83390d
Profile Description : sRGB IEC61966-2-1 black scaled
Blue Matrix Column : 0.14307 0.06061 0.7141
Blue Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Device Model Desc : IEC 61966-2-1 Default RGB Colour Space - sRGB
Green Matrix Column : 0.38515 0.71687 0.09708
Green Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Luminance : 0 80 0
Measurement Observer : CIE 1931
Measurement Backing : 0 0 0
Measurement Geometry : Unknown
Measurement Flare : 0%
Measurement Illuminant : D65
Media Black Point : 0.01205 0.0125 0.01031
Red Matrix Column : 0.43607 0.22249 0.01392
Red Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Technology : Cathode Ray Tube Display
Viewing Cond Desc : Reference Viewing Condition in IEC 61966-2-1
Media White Point : 0.9642 1 0.82491
Profile Copyright : Copyright International Color Consortium, 2009
Chromatic Adaptation : 1.04791 0.02293 -0.0502 0.0296 0.99046 -0.01707 -0.00925 0.01506 0.75179
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Current IPTC Digest : 2aa1d117b0d20226dcefbb16249a023f
Original Transmission Reference : GggUWrgwZ9hSQFQXeGJa
Image Width : 1504
Image Height : 1505
Encoding Process : Progressive DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 1504x1505
Megapixels : 2.3 這些資料的絕大部分與圖像的顔色設定有關。即使是看起來很有趣的“配置檔案 ID”字段也指的是非唯一的顔色配置檔案設定,而不是像使用者配置檔案這樣的特定内容。然而,這張 Facebook 圖檔的獨特之處在于 IPTC Digest 哈希:
Current IPTC Digest :
2aa1d117b0d20226dcefbb16249a023f
這是從與圖像關聯的 IPTC 資料派生的唯一哈希值。我們無法通路 IPTC 資料本身,但哈希值仍然有用,因為它是一種唯一性形式。這個資料字段被廣泛誤報為另一種形式的“Facebook 跟蹤”,甚至是某種隐寫術。
可以肯定的是,Facebook 可以通過多種方式跟蹤你,但這不是其中之一。IPTC 摘要更類似于版權标記的一種形式,但僅此而已。
作為研究人員需要了解的有用資訊是,如果我們從 Facebook 擷取圖像并更改檔案名,原始 IPTC 摘要在中繼資料中仍然保持不變。
這是我們将 上面的檔案名重命名為 someimage.jpg 時發生的情況并再次通過 Exiftool 運作它。結果是一樣的:
Current IPTC Digest :
但是,如果我們更改圖像中的一個像素并重新儲存它,所有原始中繼資料都會丢失:
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 1504
Image Height : 1505
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 1504x1505
Megapixels : 2.3 是以,這不是一種非常有效的跟蹤方式。
Twitter 也删除了中繼資料,但在從 Apple 裝置上傳檔案時,它确實保留了 ICC 配置檔案字段 ( FF E2 ) 和 Photoshop 中繼資料字段 ( FF ED )。這是Julia Bayer釋出的一張 Quiztime 舊照片的示例:
在驗證中打開圖像并選擇“字元串提取”從FF E2和FF ED字段中提取資訊:
那裡仍然有一些原始中繼資料尚未删除。Exiftool 使其更易于閱讀:
ExifTool Version Number : 10.80
File Name : EP4i4PqUUA86HSg.jpeg
Directory : .
File Size : 284 kB
File Modification Date/Time : 2020:02:18 19:34:40+00:00
File Access Date/Time : 2020:02:18 19:34:40+00:00
File Inode Change Date/Time : 2020:02:18 19:34:40+00:00
File Permissions : rw-rw-r--
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 72
Y Resolution : 72
Profile CMM Type : Apple Computer Inc.
Profile Version : 4.0.0
Profile Class : Display Device Profile
Color Space Data : RGB
Profile Connection Space : XYZ
Profile Date Time : 2017:07:07 13:22:32
Profile File Signature : acsp
Primary Platform : Apple Computer Inc.
CMM Flags : Not Embedded, Independent
Device Manufacturer : Apple Computer Inc.
Device Model :
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator : Apple Computer Inc.
Profile ID : ca1a9582257f104d389913d5d1ea1582
Profile Description : Display P3
Profile Copyright : Copyright Apple Inc., 2017
Media White Point : 0.95045 1 1.08905
Red Matrix Column : 0.51512 0.2412 -0.00105
Green Matrix Column : 0.29198 0.69225 0.04189
Blue Matrix Column : 0.1571 0.06657 0.78407
Red Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)
Chromatic Adaptation : 1.04788 0.02292 -0.0502 0.02959 0.99048 -0.01706 -0.00923 0.01508 0.75168
Blue Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)
Green Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)
IPTC Digest : d41d8cd98f00b204e9800998ecf8427e
Image Width : 1604
Image Height : 2048
Encoding Process : Progressive DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 1604x2048
Megapixels : 3.3 該圖像仍保留顯示它是使用 Apple 裝置建立的中繼資料:
Profile Creator : Apple Computer Inc.
Profile ID : ca1a9582257f104d389913d5d1ea1582
Profile Description : Display P3
Profile Copyright : Copyright Apple Inc., 2017 盡管 Twitter 删除了FF E1 (EXIF) 字段之後的大部分圖像中繼資料,但它保留了其他中繼資料字段。這似乎隻适用于 Apple 裝置,但它隻是一小部分資訊,可能有助于證明或反駁圖像歸屬,并且經常被忽視。
Reddit 還為來自 Apple 裝置的照片保留了相同的中繼資料。這是頭版的照片:
盡管所有其他資料都已被删除,但我們在這張圖檔中也看到了相同 Apple 起源的痕迹:
Profile CMM Type : Apple Computer Inc.
Profile Version : 4.0.0
Profile Class : Display Device Profile
Color Space Data : RGB
Profile Connection Space : XYZ
Profile Date Time : 2017:07:07 13:22:32
Profile File Signature : acsp
Primary Platform : Apple Computer Inc.
CMM Flags : Not Embedded, Independent
Device Manufacturer : Apple Computer Inc.
Device Model :
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator : Apple Computer Inc.
Profile ID : ca1a9582257f104d389913d5d1ea1582
Profile Description : Display P3
Profile Copyright : Copyright Apple Inc., 2017 人工智能生成的圖像
在往期的推文中,福韻君也跟大家介紹過如何識别人工智能生成的圖檔,可點選下方連結閱讀:
在這張照片中存在許多标準中繼資料字段(都以“FF”開頭),但它們都是空白的,實際上不包含任何資料。這當然是不尋常的,因為大多數真實的個人資料圖像至少包含一些 JPEG 标題資訊,而這個幾乎完全是空白的。是以,根據此可以判斷該照片是人工智能生成的,而非真實存在的照片。
好啦,今天的探秘到這裡就結束啦,下次福韻君還會帶領大家一起去了解更多有趣有價值的情報知識。
本篇文章為福韻原創内容,未經授權禁止轉載
福韻原創IP形象設計,原創勿盜,侵權必究
封面來源:sebweo.com
END