Ho un JPG e lo sto analizzando per determinarne l'efficacia. I metadati dell'immagine indicano chiaramente che l'immagine è stata digitalizzata a 15:10:13, Dec 31, 2015
e ho bisogno di determinare se questo date digitized
è stato alterato in alcun modo.
Note:
- Ho forensically l'immagine in questione (mantenendo la catena di custodia) dal ricevitore iphone6.
- Il mittente ha usato un iphone4.
- Non è stato riscontrato che nessun'altra immagine ricevuta da questo (o nessun) mittente abbia una mancata corrispondenza dei dati EXIF.
- Dalla risposta , posso vedere che sarebbe difficile dimostrare con assoluta certezza che i dati hanno o hanno non è cambiato, ma sono più interessato al come i dati potrebbero essere cambiati (in modi ragionevoli -e nessun hacker alieno).
- Giusto per chiarire, non vi è alcuna ragionevole sospensione che il mittente venga deliberatamente modificato direttamente, che qualcun altro abbia alterato o sia stato influenzato dal malware che altera i dati EXIF.
- Il
GPS TimeStamp
dice20:10:23 UTC Dec 31, 2015
che corrisponde al timeStamp localizzato corretto.
Supponendo che il mittente:
- non ha installato app di terze parti che possono modificare i dati EXIF.
- Non ha intenzione / motivo di modificare i dati EXIF.
- Non è infetto da malware che modifica i dati EXIF.
- Sia il ricevente che il mittente hanno utilizzato l'app
iMessage
e il messaggio è stato inviato come iMessage. - Sia il destinatario che il mittente si trovano nello stesso operatore di telefonia mobile (T-Mobile) e si trovano negli Stati Uniti.
- Il fuso orario del mittente e del destinatario è lo stesso e non si è verificato alcun viaggio nel fuso orario nel periodo di campionamento.
- La data e l'ora sui dispositivi del mittente e del destinatario sono corrette.
Non riesco a replicare la presunta modifica. Ecco cosa ho provato:
- Come per questo articolo, ho ho provato a inviare un controllo JPG all'interno dell'app
iMessage
tramitetake a photo
. Ciò ha avuto l'effetto di limitare i dati EXIF (non ha avuto dati del sensore o DataTime digitalizzati) ed ha eliminato del tutto i dati GPS, il che è l'opposto della presunta modifica. - Invio di vari JPG di controllo che includono i seguenti casi di controllo; non sono stati modificati, sono stati modificati nell'editor di immagini di Apple (ad es. appena ritagliato), scattati con la fotocamera anteriore e posteriore, inviati tramite l'opzione
select photo
iniMessage
e inviati direttamente daPhotos
app. - Invia l'immagine in vari stati (come descritto sopra) con e senza un messaggio aggiunto all'immagine (cioè quando aggiungo la foto con qualsiasi mezzo ho aggiunto il testo "test" al messaggio prima di inviare l'immagine.
Da quanto ho provato, concludo che il date digitized
è effettivamente valido, tuttavia c'è motivo di credere che non lo sia e dobbiamo determinare come potrebbe essere cambiato (all'interno dei miei parametri -e nessuna app o persona di terze parti ).
In che modo i dati EXIF possono essere modificati automaticamente, in particolare i dati "DateTime Digitalized / Original"? È probabile che possa essere modificato tramite iMessage
, Apple, IOS o Iphone (s)?
Ho incluso un'istantanea dei dati EXIF (dallo strumento di inspector
visivamente piacevole di Apple, l'esame forense reale mostra la stessa cosa in binario.