Análisis forense de los metadatos del archivo

Navega tus respuestas
0

Supongamos que he recibido un archivo (no importa lo que sea: documento, imagen, video, audio, etc.). Sé que el sistema operativo y también los programas que crean el archivo como Office, e incluso hardware como cámaras digitales, etc. almacenan muchos metadatos en el archivo.

Algunos de estos archivos, como MS Office, contienen algunos de los metadatos en el mismo archivo, mientras que otros parecen que Windows "sabe" metadatos sobre el archivo que no está contenido en el archivo. P.ej. Creo un documento de bloc de notas y sabe la fecha de creación, el último acceso, etc.

Comprendo que parte de esta información se guarda en el sistema de archivos, pero hay muchas cosas que no veo en dónde se guardan.

Tengo tres preguntas:

  1. ¿Cuáles son los diferentes lugares donde se almacenan los metadatos sobre un archivo?
  2. ¿Existe una herramienta gratuita / de código abierto que pueda extraer metadatos de prácticamente cualquier archivo que le des (como VLC reproduce básicamente cualquier archivo multimedia)?
  3. Supongamos que estoy haciendo un análisis forense de un archivo, ¿cuáles son los pasos que debo seguir para asegurarme de obtener la máxima información sobre el archivo (especialmente de los metadatos)?
pregunta ose 27.04.2016 - 18:45
fuente

4 respuestas

2

Puede usar Apache Tika y crear su propio programa para extraer metadatos, es bastante fácil de hacer y here hay un tutorial sobre cómo hacerlo. Como la respuesta de otra dice que no hay una manera segura de extraer metadatos de cada tipo de archivo, pero Tika cubre una buena cantidad .

    
respondido por el Ian 27.04.2016 - 23:25
fuente
5
  1. El lugar donde se almacenan los metadatos dependerá del sistema operativo y del archivo que lo creó (como usted dice acerca de Bloc de notas y documentos de Word). Algunos tipos de archivos incluso crean un archivo separado solo para contener los metadatos.
  2. Debido al # 1, no hay una herramienta gratuita "dame todos los metadatos". Sin embargo, hay herramientas que pueden encontrar los metadatos de una amplia gama de tipos de archivos conocidos.
  3. Debido al número 1, tomaría mucho tiempo intentar y diseñar todos los pasos necesarios para encontrar la cantidad "máxima" de datos.
respondido por el schroeder 27.04.2016 - 18:54
fuente
1

El comando Unix / Linux file extraerá una gran cantidad de metadatos dentro de los archivos, y si está usando Windows, puede instalar cygwin para obtener acceso a ese comando.

Algunos resultados de ejemplo: 

C:\Users\stewmark\ScreenShots>file *.png
ChangePW.png:                  PNG image data, 1167 x 1046, 8-bit/color RGB, non-interlaced
ChangePW_link.png:             PNG image data, 603 x 468, 8-bit/color RGB, non-interlaced
Color_Wheel.png:               PNG image data, 306 x 391, 8-bit/color RGB, non-interlaced

C:\Users\stewmark\>file *.xlsx
Project Plan_25March2016.xlsx:                 Microsoft Excel 2007+
Charges Preview SummaryClient_20160420.xlsx:   Microsoft OOXML
Invoice Details Report_20160414.xlsx:          Microsoft OOXML

C:\Users\stewmark\Music\Seal\Fly Like an Eagle>file *.mp3
01 Fly Like an Eagle [Radio Edit].mp3:   Audio file with ID3 version 2.3.0
02 Fly Like an Eagle [Instrumental].mp3: Audio file with ID3 version 2.3.0
    
respondido por el Mark Stewart 27.04.2016 - 21:35
fuente
0

Para completar # 2 de esta respuesta , existe exiftool , que puede mostrarle los metadatos (dentro del archivo así como los metadatos del sistema de archivos) de una amplia gama de tipos de archivos, desde imágenes JPEG en PDF. Archivos a documentos de Microsoft Word. Seguramente no puede analizar ningún tipo de archivo, pero para mí fue capaz de extraer metadatos de los archivos en la mayoría de los casos.

Salida de ejemplo: 

$ exiftool /usr/share/texlive/texmf-dist/tex/latex/pdfslide/bg.jpg
ExifTool Version Number         : 10.40
File Name                       : bg.jpg
Directory                       : /usr/share/texlive/texmf-dist/tex/latex/pdfslide
File Size                       : 11 kB
File Modification Date/Time     : 2006:01:13 01:02:12+01:00
File Access Date/Time           : 2018:09:14 18:40:02+02:00
File Inode Change Date/Time     : 2017:03:20 12:29:01+01:00
File Permissions                : rw-r--r--
File Type                       : JPEG
File Type Extension             : jpg
MIME Type                       : image/jpeg
JFIF Version                    : 1.01
Resolution Unit                 : inches
X Resolution                    : 66
Y Resolution                    : 66
Image Width                     : 652
Image Height                    : 492
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Image Size                      : 652x492
Megapixels                      : 0.321
$ exiftool /usr/share/texlive/texmf-dist/tex/latex/notes/info.pdf
ExifTool Version Number         : 10.40
File Name                       : info.pdf
Directory                       : /usr/share/texlive/texmf-dist/tex/latex/notes
File Size                       : 3.5 kB
File Modification Date/Time     : 2008:09:20 20:31:15+02:00
File Access Date/Time           : 2018:09:14 18:41:46+02:00
File Inode Change Date/Time     : 2017:03:20 12:29:01+01:00
File Permissions                : rw-r--r--
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.4
Linearized                      : No
Page Count                      : 1
XMP Toolkit                     : XMP toolkit 2.9.1-13, framework 1.6
About                           : cc6b5cda-bf5e-11e8-0000-fcfe446dd206
Producer                        : GPL Ghostscript 8.62
Modify Date                     : 2008:09:20 20:30:50+02:00
Create Date                     : 2008:09:20 20:30:50+02:00
Creator Tool                    : fig2dev Version 3.2 Patchlevel 4
Document ID                     : cc6b5cda-bf5e-11e8-0000-fcfe446dd206
Format                          : application/pdf
Title                           : info.fig
Creator                         : [email protected] \(Karl Berry\)
Author                          : [email protected] (Karl Berry)
$ exiftool /usr/share/clamav-testfiles/clam.ole.doc
ExifTool Version Number         : 10.40
File Name                       : clam.ole.doc
Directory                       : /usr/share/clamav-testfiles
File Size                       : 16 kB
File Modification Date/Time     : 2018:07:21 13:13:59+02:00
File Access Date/Time           : 2018:09:14 18:43:18+02:00
File Inode Change Date/Time     : 2018:08:01 06:51:25+02:00
File Permissions                : rw-r--r--
File Type                       : DOC
File Type Extension             : doc
MIME Type                       : application/msword
Title                           : 
Subject                         : 
Author                          : acab
Keywords                        : 
Comments                        : 
Template                        : Normal.dot
Last Modified By                : acab
Revision Number                 : 1
Software                        : Microsoft Office Word
Total Edit Time                 : 0
Create Date                     : 2008:08:03 22:09:00
Modify Date                     : 2008:08:03 22:09:00
Pages                           : 1
Words                           : 3
Characters                      : 18
Security                        : None
Code Page                       : Windows Latin 1 (Western European)
Company                         : 
Lines                           : 1
Paragraphs                      : 1
Char Count With Spaces          : 20
App Version                     : 11.5606
Scale Crop                      : No
Links Up To Date                : No
Shared Doc                      : No
Hyperlinks Changed              : No
Title Of Parts                  : 
Heading Pairs                   : Titolo, 1
Comp Obj User Type Len          : 35
Comp Obj User Type              : Documento di Microsoft Office Word

Editar: Acabo de notar que Mark Stewart ya mencionó exiftool en su comentario a esta respuesta mencionando el comando file .

    
respondido por el Axel Beckert 14.09.2018 - 18:44
fuente

Lea otras preguntas en las etiquetas

¿Puede el usuario de una aplicación ver qué hay en los paquetes https? Ejecución de SSH en un puerto diferente frente a la adición del número de puerto a una contraseña