¿Esta imagen contiene datos secretos?

9

Estoy analizando una gran aplicación basada en la nube. Durante el análisis, descubrí que uno de los archivos más grandes (> 3 MB) utilizado en esta aplicación es un archivo muy pequeño (16x16) icon.png .

Un análisis adicional reveló que el archivo contiene más de 60000 líneas de metadatos, que consisten principalmente en etiquetas <rdf:li> dentro de la etiqueta <photoshop:DocumentAncestors> . Aquí hay un ejemplo:

     <photoshop:DocumentAncestors>
        <rdf:Bag>
           <rdf:li>0</rdf:li>
           <rdf:li>00094172844843523D09FDF552DF119E</rdf:li>
           <rdf:li>000B84DD32F5ABCC8D7B5E8681465EE9</rdf:li>
           <rdf:li>0013FA92942B6EC5451A4D9D4972AD7E</rdf:li>
           <rdf:li>0017ED7FA617555EF7D04797B72E2946</rdf:li>
           <rdf:li>0030491E2F4C927C3D67B20A9710BC01</rdf:li>
           <rdf:li>003287E12D0B5EA81D0AED63DDC335E5</rdf:li>
           <rdf:li>004657FECAF7D9DF3A459A2C0820D29A</rdf:li>
           <rdf:li>0048B527A1E225804FA1FE3E90A74F50</rdf:li>
           <rdf:li>0061E7DAD11961FF150102241FDE8BF5</rdf:li>

¿Cómo puedo verificar si estos metadatos se colocaron aquí "naturalmente" o contienen algunos datos ocultos?

    
pregunta Kao 18.03.2015 - 09:27
fuente

2 respuestas

9

Parece que este metadato enumera las ID de documentos que se usaron durante la creación del archivo. Puede consultar este artículo: enlace , busque el "< Fuerte> Ancestros "sección.

Por lo tanto, contiene metadatos técnicos que las aplicaciones de Adobe podrían colocar allí 'naturalmente'.

    
respondido por el DmitryR 18.03.2015 - 11:32
fuente
5

Creo que todo lo que he vinculado es seguro. Disculpe el formato, intentaré arreglarlo cuando pueda.

Aquí hay algunos candidatos con recuentos de metadatos similarmente grandes. Los enlaces del informe provienen de Google "Número excesivo de elementos para * DocumentAncestors" (que viene de exiftool , aparentemente utilizado por VirusTotal).

Aquí hay un jpg o mp3 (report) , a png alone (report) , y dos con el mismo md5 (31a02712515ace35f1a593c14a7b5150), pero este comienza con" 0 ", como lo hace el ejemplo. png (report) en este momento. .gotraffic.net / asset / flyout / us / samsung-tablet-0e669f84c725377978216d42cb60cc77.png "> samsung tablet (SAMPLE) . La muestra proviene del hash; los otros no produjeron muestras.

Un histograma de la muestra "samsung" (rápidamente divido cada byte de 107,000 entradas, ordenado y enviado a través de 'uniq') puede ser de utilidad limitada, excepto para mostrar que los bytes no son completamente aleatorios. Esto puede esperarse dado que algunas operaciones están probablemente codificadas, pero asumí un error de programación que generó UUID puramente aleatorios. Esta no es la foto más bonita, así que puedo trabajar en eso. El decimal 17 (0x11) es la espiga grande en la parte inferior.

Intentéalgunosexperimentosparaversipodríahaberalgunosdatoscodificados(tambiénelpuntodelhistograma),peroensumayoríalosconsiderésolometadatosgeneradosmientrasseprocesaunarchivo.

Aquíhayalgunasactividadesadicionales:

OtrapublicacióndelforoenAdobe Photoshop CC está creando JPEG problemáticos que hacen que OSX Preview.app pierda su Mente con un archivo vinculado (Note4Cover1.jpg) que es igual de grande pero no tan bien formateado dentro.

Alguien más con un cantidad excesiva de elementos , creo que este enlace sugiere cómo eliminar el extra datos (advirtiendo que puede eliminar cosas que quieras):

exiftool -xmp:all= -tagsfromfile @ "-all:all<xmp:all" FILE

Una advertencia: encontré que abrir y guardar con un nuevo nombre usando GIMP eliminó los datos, independientemente de las casillas de verificación que se configuraron para guardarlo. Parece que eso no debe suceder de acuerdo con los estándares vinculados por otras respuestas aquí.

Y, finalmente, differ (differ.readthedocs.org) es una biblioteca de informes de imágenes. No lo he evaluado porque mientras que parece útil y descarta estadísticas de herramientas de mayo (como exiftool e imagemagick) podría ser un poco difícil de configurar ( github ). Todavía podría ser útil para datos forenses.

    
respondido por el ǝɲǝɲbρɯͽ 19.03.2015 - 06:35
fuente

Lea otras preguntas en las etiquetas