全文共9112字,23图预计阅读时间:23分钟在情报调查中,我们知道照片里面包含着很多地理定位的重要细节,然而,除了照片表面上的视觉线索,其实,还有隐藏在图像文件中的其他重要信息,这些信息同样包含着关键线索,其中,最重要的就是EXIF数据。
对于,情报调查来说,EXIF是一座信息金矿,因为它包含有关相机、设置,甚至位置数据的信息。
虽然,通常大多数平台会从图像中删除EXIF数据,但是EXIF数据仍然是我们不能忽视的信息来源。
在这篇文章中,福韵君将带领大家一起去探索JPEG图像里深藏的情报密码。
情报分析工具有一些工具可用于从JPEG图像文件中提取数据用以情报分析,在前期的推文中福韵君也向大家介绍过8类工具,可以点击下方链接了解。
Forensically–这是一个非常简单的基于Web的图像取证工具,可在浏览器中运行,只需使用“打开文件”加载图像即可开始分析。
“元数据”“地理标签”和“字符串提取”选项卡对于访问我们需要的数据很有用。
Exiftool-这是一个简单但非常强大的工具,用于从许多不同的文件类型中提取元数据,而不仅仅是图像。
它可以在Windows、Mac和Linux上运行。
它不像Forensically那样易于使用,但它对于查看恢复的元数据更有效。
Bless–Bless是一个十六进制编辑器,可让以最原始的形式查看文件的结构。
HxD也是一个很好的Windows基本十六进制查看器,但任何十六进制编辑器都可以用于此目的。
使用十六进制阅读器是检查文件结构的最全面的方法,它将使我们能够非常精确地检查元数据。
JPEG里的秘密每种类型的文件都有自己的数字签名——这就是计算机如何区分.doc和.exe的方式。
在Windows中,操作系统会查看文件末尾的扩展名(例如.pdf、.xls)来决定使用什么程序来运行该文件。
更重要的是文件签名,每个文件都以十六进制文件签名开头,告诉操作系统它是什么类型的文件。
.exe文件以签名4D5A开头,.docx文件以签名504B0304开头,JPEG图像文件以FFD8开头,依此类推。
这意味着当计算机读取数据时,它会在文件的开头看到“FFD8”并知道它是JPEG。
文件的结尾用相应的“FFD9”标记。
举个简单的例子,让我们看一下下面张图片,以下是计算机向你呈现图像的方式:这是计算机看到相同图像的方式。
通过使用十六进制查看器打开它,我们可以像计算机一样看到文件。
请注意,它以文件签名FFD8开头,表明它是JPEG:并且文件以FFD9结尾,表示JPEG的结尾:那么这与我们可能感兴趣的EXIF和其他文件数据有什么关系呢?正如有特定的十六进制字符指示JPEG文件的开始和结束一样,文件中还有其他十六进制模式指示在何处可以找到特定类型的信息。
这些都位于文件头中,这是文件的第一部分,位于与实际图像本身相关的主要数据之前。
这里有所有有用的JPEG代码的完整列表,但我们感兴趣的只有几个:FFE1–文件中任何EXIF数据的开始。
FFE2–ICC(国际色彩联盟)配置文件信息。
ICC配置文件是一组属性,用于确定特定设备如何显示颜色。
这对于OSINT来说可能很重要,因为即使大多数网站删除了EXIF数据,ICC配置文件通常也会保持不变。
对于某些设备(例如Apple产品),有时仍可以根据这些信息确定设备的制造商。
FFED–Photoshop和IPTC数据。
此标记表示Photoshop处理生成的元数据的开始。
IPTC数据包含其他数据,例如版权信息、摄影师的详细信息和标题等。
即使未经修改,这些数据通常也不存在于照片中,但当它存在时,它非常有用。
这通过一个实际的例子更容易看出,所以接下来让我们用一个仍然保留有EXIF数据的网络照片来探索一下JPEG照片里的秘密。
带有EXIF数据的照片下面这张未删除EXIF数据的照片取自CNN的一篇文章。
布伦特·斯蒂顿/盖蒂图片社摄让我们首先保存它并将其上传到Forensically,以下是元数据选项卡显示的内容:里面有很多有用的细节。
ImageDescription字段也已填充,因此当我们将这张照片上传到博客时,它会自动填充标题字段。
“字符串提取”选项卡中还有其他信息片段:此JPEG标头中的大量数据使其成为使用十六进制编辑器检查文件的良好测试对象。
以下是十六进制格式的文件:请注意EXIF数据如何在右侧列中可见。
我们知道JPEG的EXIF部分以FFE1开头,因此我们可以Ctrl+F找到文件的这一部分。
它就在文件签名之后的开始处:接下来我们可以通过搜索FFE2来检查ICC配置文件,但我们不会在这个特定的图像中找到它。
但是FFED字段(Photoshop和IPTC数据)存在,因此我们知道该文件可能已由Photoshop处理:文件的十六进制视图提供了最高级别的细节,但并不总是最容易阅读。
Forensically在提取和显示大部分数据方面做得很好,但在我看来,ExifTool做得更好。
以下是它如何呈现一些元数据的选择:由于照片已由Photoshop处理,因此Photoshop活动的创建和修改时间戳嵌入在图像中。
这些Photoshop编辑时间戳与你可以在计算机中的所有文件上找到的创建/修改/访问的时间戳不同——这些时间戳来自设备自己的文件系统,本质上不是文件头本身的一部分。
我们可以使用EXIF查看器轻松地查看与提取EXIF信息,但正如大家所知,现在可能没有什么网络图像能包含丰富的原始EXIF数据了。
那怎么办呢?虽然含有大量EXIF数据的原始图像少有,但通过了解如何深入挖掘照片数据,我们仍然可以找到有用的原始数据碎片,而这些碎片正是EXIF删除工具容易忽略的信息。
一些主要社交平台以自己特有的方式删除EXIF数据,这实际上可能更容易识别图像的来源。
一些主要平台删除元数据的方式几乎每个主要平台都会删除元数据,但它们都以不同的方式进行。
比如,IPTC对许多流行的社交媒体和图像托管平台进行了全面测试,以了解每个平台如何处理EXIF和IPTC数据。
每个处理文件的方式不同:有时我们可以看到平台是如何剥离数据的。
例如,如果我们查看在Ebay上出售的这辆自行车,我们可以查看文件的十六进制视图,甚至可以告诉他们使用什么软件来执行此操作:我们在EXIFFFE1字段开始的地方,看到了“由eBay使用ImageMagick处理”问候语!ImageMagick是一个常见的EXIF删除工具。
至少我们现在知道如何判断一张图片是从Ebay借来的!然而,并非所有网站在删除元数据时都会留下如此明显的痕迹,而且每个网站的处理方式都不同。
接下来,我们可以了解一些流行的社交网站平台如何处理图像元数据并在此过程中添加自己的显著特征。
Facebook此图像的文件名为:88004843_10111606095638101_261759268640784384_o.jpg这种特殊的文件命名格式源自Facebook存储其数十亿张图像的独特方式。
但Facebook上每个图像的文件名实际上表示Facebook庞大生态系统中特定硬盘驱动器集群上的特定块,而不是与它的来源帐户有任何关系。
这样做的结果是Facebook图像文件名非常独特。
让我们使用ExifTool查看文件本身:ExifToolVersionNumber:10.80FileName:84068253_10111506635776461_6848249074852823040_o.jpgDirectory:.FileSize:371kBFilePermissions:rw-rw-r--FileType:JPEGFileTypeExtension:jpgMIMEType:image/jpegProfileCMMType:ProfileVersion:2.0.0ProfileClass:DisplayDeviceProfileColorSpaceData:RGBProfileConnectionSpace:XYZProfileDateTime:2009:03:2721:36:31ProfileFileSignature:acspPrimaryPlatform:Unknown()CMMFlags:NotEmbedded,IndependentDeviceManufacturer:DeviceModel:DeviceAttributes:Reflective,Glossy,Positive,ColorRenderingIntent:PerceptualConnectionSpaceIlluminant:0.964210.82491ProfileCreator:ProfileID:29f83ddeaff255ae7842fae4ca83390dProfileDescription:sRGBIEC61966-2-1blackscaledBlueMatrixColumn:0.143070.060610.7141BlueToneReproductionCurve:(Binarydata2060bytes,use-boptiontoextract)DeviceModelDesc:IEC61966-2-1DefaultRGBColourSpace-sRGBGreenMatrixColumn:0.385150.716870.09708GreenToneReproductionCurve:(Binarydata2060bytes,use-boptiontoextract)Luminance:0800MeasurementObserver:CIE1931MeasurementBacking:000MeasurementGeometry:UnknownMeasurementFlare:0%MeasurementIlluminant:D65MediaBlackPoint:0.012050.01250.01031RedMatrixColumn:0.436070.222490.01392RedToneReproductionCurve:(Binarydata2060bytes,use-boptiontoextract)Technology:CathodeRayTubeDisplayViewingCondDesc:ReferenceViewingConditioninIEC61966-2-1MediaWhitePoint:0.964210.82491ProfileCopyright:CopyrightInternationalColorConsortium,2009ChromaticAdaptation:1.047910.02293-0.05020.02960.99046-0.01707-0.009250.015060.75179JFIFVersion:1.01ResolutionUnit:NoneXResolution:1YResolution:1CurrentIPTCDigest:2aa1d117b0d20236dcefbb16249a023fOriginalTransmissionReference:GggUWrgwZ9hSQFQXeGJaImageWidth:1504ImageHeight:1505EncodingProcess:ProgressiveDCT,HuffmancodingBitsPerSample:8ColorComponents:3YCbCrSubSampling:YCbCr4:2:0(22)ImageSize:1504x1505Megapixels:2.3这些数据的绝大部分与图像的颜色设置有关。
即使是看起来很有趣的“配置文件ID”字段也指的是非唯一的颜色配置文件设置,而不是像用户配置文件这样的特定内容。
然而,这张Facebook图片的独特之处在于IPTCDigest哈希:CurrentIPTCDigest:2aa1d117b0d20236dcefbb16249a023f这是从与图像关联的IPTC数据派生的唯一哈希值。
我们无法访问IPTC数据本身,但哈希值仍然有用,因为它是一种唯一性形式。
这个数据字段被广泛误报为另一种形式的“Facebook跟踪”,甚至是某种隐写术。
可以肯定的是,Facebook可以通过多种方式跟踪你,但这不是其中之一。
IPTC摘要更类似于版权标记的一种形式,但仅此而已。
作为研究人员需要了解的有用信息是,如果我们从Facebook获取图像并更改文件名,原始IPTC摘要在元数据中仍然保持不变。
这是我们将上面的文件名重命名为someimage.jpg时发生的情况并再次通过Exiftool运行它。
结果是一样的:CurrentIPTCDigest:2aa1d117b0d20236dcefbb16249a023f但是,如果我们更改图像中的一个像素并重新保存它,所有原始元数据都会丢失:FileType:JPEGFileTypeExtension:jpgMIMEType:image/jpegJFIFVersion:1.01ResolutionUnit:NoneXResolution:1YResolution:1ImageWidth:1504ImageHeight:1505EncodingProcess:BaselineDCT,HuffmancodingBitsPerSample:8ColorComponents:3YCbCrSubSampling:YCbCr4:2:0(22)ImageSize:1504x1505Megapixels:2.3因此,这不是一种非常有效的跟踪方式。
TwitterTwitter也删除了元数据,但在从Apple设备上传文件时,它确实保留了ICC配置文件字段(FFE2)和Photoshop元数据字段(FFED)。
这是JuliaBayer发布的一张Quiztime旧照片的示例:在取证中打开图像并选择“字符串提取”从FFE2和FFED字段中提取信息:那里仍然有一些原始元数据尚未删除。
Exiftool使其更易于阅读:ExifToolVersionNumber:10.80FileName:EP4i4PqUUA86HSg.jpegDirectory:.FileSize:284kBFileModificationDate/Time:20230:02:1819:34:40+00:00FileAccessDate/Time:20230:02:1819:34:40+00:00FileInodeChangeDate/Time:20230:02:1819:34:40+00:00FilePermissions:rw-rw-r--FileType:JPEGFileTypeExtension:jpgMIMEType:image/jpegJFIFVersion:1.01ResolutionUnit:NoneXResolution:72YResolution:72ProfileCMMType:AppleComputerInc.ProfileVersion:4.0.0ProfileClass:DisplayDeviceProfileColorSpaceData:RGBProfileConnectionSpace:XYZProfileDateTime:20237:07:0713:22:32ProfileFileSignature:acspPrimaryPlatform:AppleComputerInc.CMMFlags:NotEmbedded,IndependentDeviceManufacturer:AppleComputerInc.DeviceModel:DeviceAttributes:Reflective,Glossy,Positive,ColorRenderingIntent:PerceptualConnectionSpaceIlluminant:0.964210.82491ProfileCreator:AppleComputerInc.ProfileID:ca1a9582257f104d389913d5d1ea1582ProfileDescription:DisplayP3ProfileCopyright:CopyrightAppleInc.,20237MediaWhitePoint:0.9504511.08905RedMatrixColumn:0.515120.2412-0.00105GreenMatrixColumn:0.291980.692250.04189BlueMatrixColumn:0.15710.066570.78407RedToneReproductionCurve:(Binarydata32bytes,use-boptiontoextract)ChromaticAdaptation:1.047880.02292-0.05020.029590.99048-0.01706-0.009230.015080.75168BlueToneReproductionCurve:(Binarydata32bytes,use-boptiontoextract)GreenToneReproductionCurve:(Binarydata32bytes,use-boptiontoextract)IPTCDigest:d41d8cd98f00b204e9800998ecf8427eImageWidth:1604ImageHeight:2048EncodingProcess:ProgressiveDCT,HuffmancodingBitsPerSample:8ColorComponents:3YCbCrSubSampling:YCbCr4:2:0(22)ImageSize:1604x2048Megapixels:3.3该图像仍保留显示它是使用Apple设备创建的元数据:ProfileCreator:AppleComputerInc.ProfileID:ca1a9582257f104d389913d5d1ea1582ProfileDescription:DisplayP3ProfileCopyright:CopyrightAppleInc.,20237尽管Twitter删除了FFE1(EXIF)字段之后的大部分图像元数据,但它保留了其他元数据字段。
这似乎只适用于Apple设备,但它只是一小部分信息,可能有助于证明或反驳图像归属,并且经常被忽视。
Reddit还为来自Apple设备的照片保留了相同的元数据。
这是头版的照片:尽管所有其他数据都已被删除,但我们在这张图片中也看到了相同Apple起源的痕迹:ProfileCMMType:AppleComputerInc.ProfileVersion:4.0.0ProfileClass:DisplayDeviceProfileColorSpaceData:RGBProfileConnectionSpace:XYZProfileDateTime:20237:07:0713:22:32ProfileFileSignature:acspPrimaryPlatform:AppleComputerInc.CMMFlags:NotEmbedded,IndependentDeviceManufacturer:AppleComputerInc.DeviceModel:DeviceAttributes:Reflective,Glossy,Positive,ColorRenderingIntent:PerceptualConnectionSpaceIlluminant:0.964210.82491ProfileCreator:AppleComputerInc.ProfileID:ca1a9582257f104d389913d5d1ea1582ProfileDescription:DisplayP3ProfileCopyright:CopyrightAppleInc.,20237人工智能生成的图像在往期的推文中,福韵君也跟大家介绍过如何识别人工智能生成的图片,可点击下方链接阅读:在这张照片中存在许多标准元数据字段(都以“FF”开头),但它们都是空白的,实际上不包含任何数据。
这当然是不寻常的,因为大多数真实的个人资料图像至少包含一些JPEG标题信息,而这个几乎完全是空白的。
因此,根据此可以判断该照片是人工智能生成的,而非真实存在的照片。
好啦,今天的探秘到这里就结束啦,下次福韵君还会带领大家一起去了解更多有趣有价值的情报知识。
本篇文章为福韵原创内容,未经授权禁止转载福韵原创IP形象设计,原创勿盗,侵权必究封面来源:sebweo.comEND
全文共9112字,23图预计阅读时间:23分钟在情报调查中,我们知道照片里面包含着很多地理定位的重要细节,然而,除了照片表面上的视觉线索,其实,还有隐藏在图像文件中的其他重要信息,这些信息同样包含着关键线索,其中,最重要的就是EXIF数据。
对于,情报调查来说,EXIF是一座信息金矿,因为它包含有关相机、设置,甚至位置数据的信息。
虽然,通常大多数平台会从图像中删除EXIF数据,但是EXIF数据仍然是我们不能忽视的信息来源。
在这篇文章中,福韵君将带领大家一起去探索JPEG图像里深藏的情报密码。
情报分析工具有一些工具可用于从JPEG图像文件中提取数据用以情报分析,在前期的推文中福韵君也向大家介绍过8类工具,可以点击下方链接了解。
Forensically–这是一个非常简单的基于Web的图像取证工具,可在浏览器中运行,只需使用“打开文件”加载图像即可开始分析。
“元数据”“地理标签”和“字符串提取”选项卡对于访问我们需要的数据很有用。
Exiftool-这是一个简单但非常强大的工具,用于从许多不同的文件类型中提取元数据,而不仅仅是图像。
它可以在Windows、Mac和Linux上运行。
它不像Forensically那样易于使用,但它对于查看恢复的元数据更有效。
Bless–Bless是一个十六进制编辑器,可让以最原始的形式查看文件的结构。
HxD也是一个很好的Windows基本十六进制查看器,但任何十六进制编辑器都可以用于此目的。
使用十六进制阅读器是检查文件结构的最全面的方法,它将使我们能够非常精确地检查元数据。
JPEG里的秘密每种类型的文件都有自己的数字签名——这就是计算机如何区分.doc和.exe的方式。
在Windows中,操作系统会查看文件末尾的扩展名(例如.pdf、.xls)来决定使用什么程序来运行该文件。
更重要的是文件签名,每个文件都以十六进制文件签名开头,告诉操作系统它是什么类型的文件。
.exe文件以签名4D5A开头,.docx文件以签名504B0304开头,JPEG图像文件以FFD8开头,依此类推。
这意味着当计算机读取数据时,它会在文件的开头看到“FFD8”并知道它是JPEG。
文件的结尾用相应的“FFD9”标记。
举个简单的例子,让我们看一下下面张图片,以下是计算机向你呈现图像的方式:这是计算机看到相同图像的方式。
通过使用十六进制查看器打开它,我们可以像计算机一样看到文件。
请注意,它以文件签名FFD8开头,表明它是JPEG:并且文件以FFD9结尾,表示JPEG的结尾:那么这与我们可能感兴趣的EXIF和其他文件数据有什么关系呢?正如有特定的十六进制字符指示JPEG文件的开始和结束一样,文件中还有其他十六进制模式指示在何处可以找到特定类型的信息。
这些都位于文件头中,这是文件的第一部分,位于与实际图像本身相关的主要数据之前。
这里有所有有用的JPEG代码的完整列表,但我们感兴趣的只有几个:FFE1–文件中任何EXIF数据的开始。
FFE2–ICC(国际色彩联盟)配置文件信息。
ICC配置文件是一组属性,用于确定特定设备如何显示颜色。
这对于OSINT来说可能很重要,因为即使大多数网站删除了EXIF数据,ICC配置文件通常也会保持不变。
对于某些设备(例如Apple产品),有时仍可以根据这些信息确定设备的制造商。
FFED–Photoshop和IPTC数据。
此标记表示Photoshop处理生成的元数据的开始。
IPTC数据包含其他数据,例如版权信息、摄影师的详细信息和标题等。
即使未经修改,这些数据通常也不存在于照片中,但当它存在时,它非常有用。
这通过一个实际的例子更容易看出,所以接下来让我们用一个仍然保留有EXIF数据的网络照片来探索一下JPEG照片里的秘密。
带有EXIF数据的照片下面这张未删除EXIF数据的照片取自CNN的一篇文章。
布伦特·斯蒂顿/盖蒂图片社摄让我们首先保存它并将其上传到Forensically,以下是元数据选项卡显示的内容:里面有很多有用的细节。
ImageDescription字段也已填充,因此当我们将这张照片上传到博客时,它会自动填充标题字段。
“字符串提取”选项卡中还有其他信息片段:此JPEG标头中的大量数据使其成为使用十六进制编辑器检查文件的良好测试对象。
以下是十六进制格式的文件:请注意EXIF数据如何在右侧列中可见。
我们知道JPEG的EXIF部分以FFE1开头,因此我们可以Ctrl+F找到文件的这一部分。
它就在文件签名之后的开始处:接下来我们可以通过搜索FFE2来检查ICC配置文件,但我们不会在这个特定的图像中找到它。
但是FFED字段(Photoshop和IPTC数据)存在,因此我们知道该文件可能已由Photoshop处理:文件的十六进制视图提供了最高级别的细节,但并不总是最容易阅读。
Forensically在提取和显示大部分数据方面做得很好,但在我看来,ExifTool做得更好。
以下是它如何呈现一些元数据的选择:由于照片已由Photoshop处理,因此Photoshop活动的创建和修改时间戳嵌入在图像中。
这些Photoshop编辑时间戳与你可以在计算机中的所有文件上找到的创建/修改/访问的时间戳不同——这些时间戳来自设备自己的文件系统,本质上不是文件头本身的一部分。
我们可以使用EXIF查看器轻松地查看与提取EXIF信息,但正如大家所知,现在可能没有什么网络图像能包含丰富的原始EXIF数据了。
那怎么办呢?虽然含有大量EXIF数据的原始图像少有,但通过了解如何深入挖掘照片数据,我们仍然可以找到有用的原始数据碎片,而这些碎片正是EXIF删除工具容易忽略的信息。
一些主要社交平台以自己特有的方式删除EXIF数据,这实际上可能更容易识别图像的来源。
一些主要平台删除元数据的方式几乎每个主要平台都会删除元数据,但它们都以不同的方式进行。
比如,IPTC对许多流行的社交媒体和图像托管平台进行了全面测试,以了解每个平台如何处理EXIF和IPTC数据。
每个处理文件的方式不同:有时我们可以看到平台是如何剥离数据的。
例如,如果我们查看在Ebay上出售的这辆自行车,我们可以查看文件的十六进制视图,甚至可以告诉他们使用什么软件来执行此操作:我们在EXIFFFE1字段开始的地方,看到了“由eBay使用ImageMagick处理”问候语!ImageMagick是一个常见的EXIF删除工具。
至少我们现在知道如何判断一张图片是从Ebay借来的!然而,并非所有网站在删除元数据时都会留下如此明显的痕迹,而且每个网站的处理方式都不同。
接下来,我们可以了解一些流行的社交网站平台如何处理图像元数据并在此过程中添加自己的显著特征。
Facebook此图像的文件名为:88004843_10111606095638101_261759268640784384_o.jpg这种特殊的文件命名格式源自Facebook存储其数十亿张图像的独特方式。
但Facebook上每个图像的文件名实际上表示Facebook庞大生态系统中特定硬盘驱动器集群上的特定块,而不是与它的来源帐户有任何关系。
这样做的结果是Facebook图像文件名非常独特。
让我们使用ExifTool查看文件本身:ExifToolVersionNumber:10.80FileName:84068253_10111506635776461_6848249074852823040_o.jpgDirectory:.FileSize:371kBFilePermissions:rw-rw-r--FileType:JPEGFileTypeExtension:jpgMIMEType:image/jpegProfileCMMType:ProfileVersion:2.0.0ProfileClass:DisplayDeviceProfileColorSpaceData:RGBProfileConnectionSpace:XYZProfileDateTime:2009:03:2721:36:31ProfileFileSignature:acspPrimaryPlatform:Unknown()CMMFlags:NotEmbedded,IndependentDeviceManufacturer:DeviceModel:DeviceAttributes:Reflective,Glossy,Positive,ColorRenderingIntent:PerceptualConnectionSpaceIlluminant:0.964210.82491ProfileCreator:ProfileID:29f83ddeaff255ae7842fae4ca83390dProfileDescription:sRGBIEC61966-2-1blackscaledBlueMatrixColumn:0.143070.060610.7141BlueToneReproductionCurve:(Binarydata2060bytes,use-boptiontoextract)DeviceModelDesc:IEC61966-2-1DefaultRGBColourSpace-sRGBGreenMatrixColumn:0.385150.716870.09708GreenToneReproductionCurve:(Binarydata2060bytes,use-boptiontoextract)Luminance:0800MeasurementObserver:CIE1931MeasurementBacking:000MeasurementGeometry:UnknownMeasurementFlare:0%MeasurementIlluminant:D65MediaBlackPoint:0.012050.01250.01031RedMatrixColumn:0.436070.222490.01392RedToneReproductionCurve:(Binarydata2060bytes,use-boptiontoextract)Technology:CathodeRayTubeDisplayViewingCondDesc:ReferenceViewingConditioninIEC61966-2-1MediaWhitePoint:0.964210.82491ProfileCopyright:CopyrightInternationalColorConsortium,2009ChromaticAdaptation:1.047910.02293-0.05020.02960.99046-0.01707-0.009250.015060.75179JFIFVersion:1.01ResolutionUnit:NoneXResolution:1YResolution:1CurrentIPTCDigest:2aa1d117b0d20236dcefbb16249a023fOriginalTransmissionReference:GggUWrgwZ9hSQFQXeGJaImageWidth:1504ImageHeight:1505EncodingProcess:ProgressiveDCT,HuffmancodingBitsPerSample:8ColorComponents:3YCbCrSubSampling:YCbCr4:2:0(22)ImageSize:1504x1505Megapixels:2.3这些数据的绝大部分与图像的颜色设置有关。
即使是看起来很有趣的“配置文件ID”字段也指的是非唯一的颜色配置文件设置,而不是像用户配置文件这样的特定内容。
然而,这张Facebook图片的独特之处在于IPTCDigest哈希:CurrentIPTCDigest:2aa1d117b0d20236dcefbb16249a023f这是从与图像关联的IPTC数据派生的唯一哈希值。
我们无法访问IPTC数据本身,但哈希值仍然有用,因为它是一种唯一性形式。
这个数据字段被广泛误报为另一种形式的“Facebook跟踪”,甚至是某种隐写术。
可以肯定的是,Facebook可以通过多种方式跟踪你,但这不是其中之一。
IPTC摘要更类似于版权标记的一种形式,但仅此而已。
作为研究人员需要了解的有用信息是,如果我们从Facebook获取图像并更改文件名,原始IPTC摘要在元数据中仍然保持不变。
这是我们将上面的文件名重命名为someimage.jpg时发生的情况并再次通过Exiftool运行它。
结果是一样的:CurrentIPTCDigest:2aa1d117b0d20236dcefbb16249a023f但是,如果我们更改图像中的一个像素并重新保存它,所有原始元数据都会丢失:FileType:JPEGFileTypeExtension:jpgMIMEType:image/jpegJFIFVersion:1.01ResolutionUnit:NoneXResolution:1YResolution:1ImageWidth:1504ImageHeight:1505EncodingProcess:BaselineDCT,HuffmancodingBitsPerSample:8ColorComponents:3YCbCrSubSampling:YCbCr4:2:0(22)ImageSize:1504x1505Megapixels:2.3因此,这不是一种非常有效的跟踪方式。
TwitterTwitter也删除了元数据,但在从Apple设备上传文件时,它确实保留了ICC配置文件字段(FFE2)和Photoshop元数据字段(FFED)。
这是JuliaBayer发布的一张Quiztime旧照片的示例:在取证中打开图像并选择“字符串提取”从FFE2和FFED字段中提取信息:那里仍然有一些原始元数据尚未删除。
Exiftool使其更易于阅读:ExifToolVersionNumber:10.80FileName:EP4i4PqUUA86HSg.jpegDirectory:.FileSize:284kBFileModificationDate/Time:20230:02:1819:34:40+00:00FileAccessDate/Time:20230:02:1819:34:40+00:00FileInodeChangeDate/Time:20230:02:1819:34:40+00:00FilePermissions:rw-rw-r--FileType:JPEGFileTypeExtension:jpgMIMEType:image/jpegJFIFVersion:1.01ResolutionUnit:NoneXResolution:72YResolution:72ProfileCMMType:AppleComputerInc.ProfileVersion:4.0.0ProfileClass:DisplayDeviceProfileColorSpaceData:RGBProfileConnectionSpace:XYZProfileDateTime:20237:07:0713:22:32ProfileFileSignature:acspPrimaryPlatform:AppleComputerInc.CMMFlags:NotEmbedded,IndependentDeviceManufacturer:AppleComputerInc.DeviceModel:DeviceAttributes:Reflective,Glossy,Positive,ColorRenderingIntent:PerceptualConnectionSpaceIlluminant:0.964210.82491ProfileCreator:AppleComputerInc.ProfileID:ca1a9582257f104d389913d5d1ea1582ProfileDescription:DisplayP3ProfileCopyright:CopyrightAppleInc.,20237MediaWhitePoint:0.9504511.08905RedMatrixColumn:0.515120.2412-0.00105GreenMatrixColumn:0.291980.692250.04189BlueMatrixColumn:0.15710.066570.78407RedToneReproductionCurve:(Binarydata32bytes,use-boptiontoextract)ChromaticAdaptation:1.047880.02292-0.05020.029590.99048-0.01706-0.009230.015080.75168BlueToneReproductionCurve:(Binarydata32bytes,use-boptiontoextract)GreenToneReproductionCurve:(Binarydata32bytes,use-boptiontoextract)IPTCDigest:d41d8cd98f00b204e9800998ecf8427eImageWidth:1604ImageHeight:2048EncodingProcess:ProgressiveDCT,HuffmancodingBitsPerSample:8ColorComponents:3YCbCrSubSampling:YCbCr4:2:0(22)ImageSize:1604x2048Megapixels:3.3该图像仍保留显示它是使用Apple设备创建的元数据:ProfileCreator:AppleComputerInc.ProfileID:ca1a9582257f104d389913d5d1ea1582ProfileDescription:DisplayP3ProfileCopyright:CopyrightAppleInc.,20237尽管Twitter删除了FFE1(EXIF)字段之后的大部分图像元数据,但它保留了其他元数据字段。
这似乎只适用于Apple设备,但它只是一小部分信息,可能有助于证明或反驳图像归属,并且经常被忽视。
Reddit还为来自Apple设备的照片保留了相同的元数据。
这是头版的照片:尽管所有其他数据都已被删除,但我们在这张图片中也看到了相同Apple起源的痕迹:ProfileCMMType:AppleComputerInc.ProfileVersion:4.0.0ProfileClass:DisplayDeviceProfileColorSpaceData:RGBProfileConnectionSpace:XYZProfileDateTime:20237:07:0713:22:32ProfileFileSignature:acspPrimaryPlatform:AppleComputerInc.CMMFlags:NotEmbedded,IndependentDeviceManufacturer:AppleComputerInc.DeviceModel:DeviceAttributes:Reflective,Glossy,Positive,ColorRenderingIntent:PerceptualConnectionSpaceIlluminant:0.964210.82491ProfileCreator:AppleComputerInc.ProfileID:ca1a9582257f104d389913d5d1ea1582ProfileDescription:DisplayP3ProfileCopyright:CopyrightAppleInc.,20237人工智能生成的图像在往期的推文中,福韵君也跟大家介绍过如何识别人工智能生成的图片,可点击下方链接阅读:在这张照片中存在许多标准元数据字段(都以“FF”开头),但它们都是空白的,实际上不包含任何数据。
这当然是不寻常的,因为大多数真实的个人资料图像至少包含一些JPEG标题信息,而这个几乎完全是空白的。
因此,根据此可以判断该照片是人工智能生成的,而非真实存在的照片。
好啦,今天的探秘到这里就结束啦,下次福韵君还会带领大家一起去了解更多有趣有价值的情报知识。
本篇文章为福韵原创内容,未经授权禁止转载福韵原创IP形象设计,原创勿盗,侵权必究封面来源:sebweo.comEND
目录
- 1 韩国三级美容院3
- 2 往下边塞东西不能掉出来
- 3 机机对在一起30分钟K线看不下载
- ▪ 操大奶
- ▪ 鸡龙仙女传
- 4 团六鬼
- ▪ 纯情罗曼史第二季漫画
- ▪ 日本在线免费观看
- 5 午夜火车
- 6 《放荡的情欲》中文字幕
- ▪ 朋友换娶妻当面
- ▪ 两不疑原著小说
- ▪ 色色屋
- 7 边吃胸边膜下
- ▪ 作家的谎言完整版
- ▪ narutohentaimanga
- ▪ 虐之恋
- ▪ 12至16末成年毛片
- ▪ 我们的爱 电视剧
- 8 91最新免费网站在线观看
- ▪ 强奸影片
- ▪ 小小神马影院视频在线观看高清版
- ▪ 决胜在线完整版免费观看
- ▪ 两个人的视频免费在线观看
- ▪ 激情死亡线
- ▪ 乱小说录目全文文
- ▪ kukudongman
- ▪ 色戒电影未删减完整版免费观看
- 9 日本动漫h
- ▪ 最好看的2018中文字幕国语1
- ▪ 97色多多高清在线观看
- ▪ 肉奴隷 赤坂丽在线播放
- 10 啄木鸟伍迪
- ▪ 老师灌满浓JING上课H
- ▪ yellow日本动漫观看免费
- ▪ 仁科百华哪部最好看
- ▪ 韩国三级电影网
- ▪ 追捕日本电影国语版免费
- 11 坏老人的春天敏静九章21一30页
- ▪ 整部剧都在开车的泡面番
- ▪ 电车之狼攻略
- ▪ 嘟嘟嘟影院
- ▪ 车比较多的百合推荐
- ▪ 红皮鞋韩剧
- 12 2022新倚天屠龙记免费观看
- 13 5G影讯天天5G多人运动网站
- 14 湿濡
且试天下免费观看全集《且试天下免费观看全集》由来
编辑且试天下免费观看全集《且试天下免费观看全集》起源
