File che intaglia file di dati JPG exif

Naviga le tue risposte
0

Quindi sono molto nuovo a info sec nel complesso, ma direi che ho meno esperienza in Digital Forensics, comunque di recente ho avuto l'opportunità di lavorare con professionisti e abbiamo fatto l'intaglio manuale dei file.

Questo era tutto a posto e potevo tirare regolarmente immagini JPG dall'esagono facilmente e rapidamente. Tuttavia, solo una volta sono stato in grado di estrarre con successo jpg che contiene dati exif. Mi chiedo se qualcuno ha qualche consiglio e trucchetto per il file manuale che intaglia questi tipi di file (accetterà anche suggerimenti sul bisturi) perché sono così affascinato dal forensics digitale e voglio imparare molto di più.

Grazie in anticipo!

    
posta Glegan 03.08.2018 - 02:29
fonte

2 risposte

0

Strumenti per intagliare file: sono disponibili diversi strumenti di analisi forense a pagamento. Ad esempio, Autopsy è uno strumento forense digitale open source e fa un buon lavoro nel file carving. Ha un diverso tipo di visualizzatore integrato come visualizzazione del testo, vista stringa, vista esadecimale e meta vista. Puoi anche eseguire ricerche di parole chiave. (controlla il loro sito ufficiale per un elenco dettagliato delle funzioni / opzioni disponibili)

Ci sono altre due scelte disponibili per l'intaglio dell'immagine. Il primo è l'open source photorec . Il secondo è lo strumento commerciale Adroit Photo Forensics . Adroit recupererà i file che sono frammentati e fa un lavoro migliore eliminando i falsi positivi, ma è costoso. Con ogni probabilità starai bene con photorec.

Carving with Scalpel: questo tipo di intaglio richiede una comprensione approfondita dei tipi di file e del loro comportamento, ad esempio un file pdf inizia con %PDF e termina con %EOF mentre un file immagine jpeg inizia con 0xFFD8 e termina con 0xFFD9 Ora con queste informazioni, puoi configurare il bisturi per estrarre i file JPG / PDF.

    
risposta data 03.08.2018 - 08:12
fonte
0

Se stai cercando di manualmente di ritagliare i file, dovrai esaminarli in esadecimale e stare attenti alle intestazioni e ai piè di pagina dei file. L'intestazione è sempre FF D8 FF , che indica l'inizio di un file JPG e il piè di pagina di questo file è FF D9 , che mostra la fine del file.

È comune per le persone usare una tecnica chiamata steganografia, che implica nascondere un tipo di file all'interno di un altro, ad es. nascondere i messaggi segreti nei file JPG / PNG è abbastanza comune. Ma se sai cercare le intestazioni e i piè di pagina dei file, sarai in grado di distinguere tra loro.

Se desideri ulteriori informazioni su questo, in realtà ho scritto un paio di articoli al college che trattano di medicina legale e passano manualmente attraverso un file system (NTFS / FAT) per estrarre i file. Se ti è di alcuna utilità, puoi trovarli qui .

Se hai domande in merito, lascia un commento e modificherai questa risposta per rispondere alle tue domande.

    
risposta data 03.08.2018 - 08:43
fonte

Leggi altre domande sui tag

Puoi sfruttare i cookie se un sito imposta il valore di un cookie tramite document.cookie unsanitized? RxR__kyfet.php - Trovato nella directory principale del mio sito. Che cosa fa? [duplicare]