Credo che tutto ciò che ho collegato sia sicuro. Scusa per il formato, cercherò di risolvere il problema quando possibile.
Ecco alcuni candidati con conteggi di metadati altrettanto grandi. I collegamenti ai rapporti provengono da Google "Numero eccessivo di articoli per * DocumentAncestors" (che deriva da exiftool , apparentemente utilizzato da VirusTotal).
Ecco un jpg o mp3 (report) , un png con testo spam (report) , a png alone (report) e due con lo stesso md5 (31a02712515ace35f1a593c14a7b5150), ma questo inizia con" 0 ", come fa il tuo esempio. png (report) e un esempio di live png tablet Samsung (SAMPLE) . Il campione proviene dall'hash; gli altri non hanno prodotto campioni.
Un istogramma dall'esempio "samsung" (ho diviso rapidamente ogni byte di 107.000 voci, ordinato e inviato tramite "uniq") può essere di utilità limitata, tranne che per mostrare che i byte non sono completamente casuali. Questo può essere previsto dato come alcune operazioni sono probabilmente codificate, ma stavo assumendo un errore di programmazione che genera UUID puramente casuale. Questa non è l'immagine più carina, quindi posso lavorarci su. Decimal 17 (0x11) è il grande picco in basso.
Hoprovatoalcuniesperimentipervederesepotrebberoessercialcunidaticodificati(ancheilpuntodell'istogramma)macisiamoperlopiùavvicinaticomesemplicimetadatigeneratimentreunfileèstatoelaborato.
Eccoalcuniobiettiviaggiuntivi:
UnaltropostsulforuminAdobe Photoshop CC sta creando file JPEG problematici che fanno perdere OSX Preview.app mente con un file collegato (Note4Cover1.jpg) che è altrettanto grande ma non così ben formattato all'interno.
Qualcun altro con un numero eccessivo di elementi , penso che questo link suggerisca come rimuovere l'extra dati (avviso che potrebbe rimuovere elementi che desideri):
exiftool -xmp:all= -tagsfromfile @ "-all:all<xmp:all" FILE
Un avvertimento: ho scoperto che l'apertura e il salvataggio con un nuovo nome utilizzando GIMP rimuovevano i dati a prescindere dalle caselle di controllo impostate per salvarlo. Sembra che non dovrebbe accadere secondo gli standard collegati da altre risposte qui.
Infine, differisce (different.readthedocs.org) è una libreria di segnalazione di immagini. Non l'ho valutato perché mentre sembra utile e scarica statistiche da strumenti may (come exiftool e imagemagick) potrebbe essere un po 'complicato da configurare ( github ). Potrebbe ancora essere utile per i dati forensi.