Analisi forense dei metadati dei file

Naviga le tue risposte
0

Supponiamo di aver ricevuto un file (non importa di cosa si tratta - documento, immagine, video, audio, ecc.). So che il sistema operativo e anche i programmi che creano il file come Office, e persino l'hardware come le fotocamere digitali, ecc. Memorizzano molti metadati nel file.

Alcuni di questi file come MS Office contengono alcuni metadati nel file stesso, mentre altri sembrano che Windows "conosca" i metadati relativi al file che non è contenuto nel file. Per esempio. Creo un documento del blocco note e conosce la data di creazione, l'ultimo accesso, ecc.

Capisco che alcune di queste informazioni siano conservate nel file system stesso, ma ci sono molte cose che non vedo dove sono conservate.

Ho tre domande:

  1. Quali sono i diversi luoghi in cui sono memorizzati i metadati su un file?
  2. C'è uno strumento gratuito / open source in grado di estrarre i metadati praticamente da qualsiasi file tu gli dai (come VLC riproduce praticamente tutti i file multimediali)?
  3. Supponiamo che sto facendo un'analisi forense di un file, quali sono i passi che dovrei seguire per assicurarmi di ottenere le informazioni massime sul file (specialmente dai metadati)?
posta ose 27.04.2016 - 18:45
fonte

4 risposte

2

Puoi usare Apache Tika e creare il tuo programma per estrarre i metadati, è piuttosto facile da fare e qui è un tutorial su come farlo. Poiché la risposta altra dice che non esiste un modo sicuro per estrarre i metadati da ogni tipo di file, ma Tika copre una quantità adeguata .

    
risposta data 27.04.2016 - 23:25
fonte
5
  1. Laddove i metadati sono archiviati, saranno presenti il sistema operativo e il file che lo ha creato (come si dice su Blocco note e documenti di Word). Alcuni tipi di file creano persino un file separato solo per contenere i metadati.
  2. A causa del numero 1, non è disponibile lo strumento "Dammi tutti i metadati". Esistono tuttavia strumenti in grado di trovare i metadati di una vasta gamma di tipi di file ben noti.
  3. A causa del numero 1, ci vorrebbe troppo tempo per provare e disporre tutti i passaggi necessari per trovare la quantità "massima" di dati.
risposta data 27.04.2016 - 18:54
fonte
1

Il comando Unix / Linux file estrae molti metadati all'interno dei file e, se si utilizza Windows, è possibile installare cygwin per accedere a tale comando.

Alcuni esempi di output: 

C:\Users\stewmark\ScreenShots>file *.png
ChangePW.png:                  PNG image data, 1167 x 1046, 8-bit/color RGB, non-interlaced
ChangePW_link.png:             PNG image data, 603 x 468, 8-bit/color RGB, non-interlaced
Color_Wheel.png:               PNG image data, 306 x 391, 8-bit/color RGB, non-interlaced

C:\Users\stewmark\>file *.xlsx
Project Plan_25March2016.xlsx:                 Microsoft Excel 2007+
Charges Preview SummaryClient_20160420.xlsx:   Microsoft OOXML
Invoice Details Report_20160414.xlsx:          Microsoft OOXML

C:\Users\stewmark\Music\Seal\Fly Like an Eagle>file *.mp3
01 Fly Like an Eagle [Radio Edit].mp3:   Audio file with ID3 version 2.3.0
02 Fly Like an Eagle [Instrumental].mp3: Audio file with ID3 version 2.3.0
    
risposta data 27.04.2016 - 21:35
fonte
0

Per completare # 2 di questa risposta , esiste exiftool , che può mostrare i metadati (all'interno del file e anche i metadati del file system) di una vasta gamma di tipi di file, che vanno dalle immagini JPEG ai PDF file in documenti di Microsoft Word. Sicuramente non è in grado di analizzare alcun tipo di file, ma per me è stato in grado di estrarre i metadati dai file nella maggior parte dei casi.

Esempio di output: 

$ exiftool /usr/share/texlive/texmf-dist/tex/latex/pdfslide/bg.jpg
ExifTool Version Number         : 10.40
File Name                       : bg.jpg
Directory                       : /usr/share/texlive/texmf-dist/tex/latex/pdfslide
File Size                       : 11 kB
File Modification Date/Time     : 2006:01:13 01:02:12+01:00
File Access Date/Time           : 2018:09:14 18:40:02+02:00
File Inode Change Date/Time     : 2017:03:20 12:29:01+01:00
File Permissions                : rw-r--r--
File Type                       : JPEG
File Type Extension             : jpg
MIME Type                       : image/jpeg
JFIF Version                    : 1.01
Resolution Unit                 : inches
X Resolution                    : 66
Y Resolution                    : 66
Image Width                     : 652
Image Height                    : 492
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Image Size                      : 652x492
Megapixels                      : 0.321
$ exiftool /usr/share/texlive/texmf-dist/tex/latex/notes/info.pdf
ExifTool Version Number         : 10.40
File Name                       : info.pdf
Directory                       : /usr/share/texlive/texmf-dist/tex/latex/notes
File Size                       : 3.5 kB
File Modification Date/Time     : 2008:09:20 20:31:15+02:00
File Access Date/Time           : 2018:09:14 18:41:46+02:00
File Inode Change Date/Time     : 2017:03:20 12:29:01+01:00
File Permissions                : rw-r--r--
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.4
Linearized                      : No
Page Count                      : 1
XMP Toolkit                     : XMP toolkit 2.9.1-13, framework 1.6
About                           : cc6b5cda-bf5e-11e8-0000-fcfe446dd206
Producer                        : GPL Ghostscript 8.62
Modify Date                     : 2008:09:20 20:30:50+02:00
Create Date                     : 2008:09:20 20:30:50+02:00
Creator Tool                    : fig2dev Version 3.2 Patchlevel 4
Document ID                     : cc6b5cda-bf5e-11e8-0000-fcfe446dd206
Format                          : application/pdf
Title                           : info.fig
Creator                         : [email protected] \(Karl Berry\)
Author                          : [email protected] (Karl Berry)
$ exiftool /usr/share/clamav-testfiles/clam.ole.doc
ExifTool Version Number         : 10.40
File Name                       : clam.ole.doc
Directory                       : /usr/share/clamav-testfiles
File Size                       : 16 kB
File Modification Date/Time     : 2018:07:21 13:13:59+02:00
File Access Date/Time           : 2018:09:14 18:43:18+02:00
File Inode Change Date/Time     : 2018:08:01 06:51:25+02:00
File Permissions                : rw-r--r--
File Type                       : DOC
File Type Extension             : doc
MIME Type                       : application/msword
Title                           : 
Subject                         : 
Author                          : acab
Keywords                        : 
Comments                        : 
Template                        : Normal.dot
Last Modified By                : acab
Revision Number                 : 1
Software                        : Microsoft Office Word
Total Edit Time                 : 0
Create Date                     : 2008:08:03 22:09:00
Modify Date                     : 2008:08:03 22:09:00
Pages                           : 1
Words                           : 3
Characters                      : 18
Security                        : None
Code Page                       : Windows Latin 1 (Western European)
Company                         : 
Lines                           : 1
Paragraphs                      : 1
Char Count With Spaces          : 20
App Version                     : 11.5606
Scale Crop                      : No
Links Up To Date                : No
Shared Doc                      : No
Hyperlinks Changed              : No
Title Of Parts                  : 
Heading Pairs                   : Titolo, 1
Comp Obj User Type Len          : 35
Comp Obj User Type              : Documento di Microsoft Office Word

Modifica: ho appena notato che Mark Stewart ha già menzionato exiftool nel suo commento a questa risposta menziona il comando file .

    
risposta data 14.09.2018 - 18:44
fonte

Leggi altre domande sui tag

Come implementano cookie e sessioni per impedire il riutilizzo altrove Esecuzione di SSH su una porta diversa rispetto all'aggiunta del numero di porta a una password