jpeg本質有什麼用（情報百科探秘JPEG）

2023-10-19 12:18:01 3

全文共9112字，23圖

預計閱讀時間：23分鐘

在情報調查中，我們知道照片裡面包含著很多地理定位的重要細節，然而，除了照片表面上的視覺線索，其實，還有隱藏在圖像文件中的其他重要信息，這些信息同樣包含著關鍵線索，其中，最重要的就是 EXIF 數據。

對於，情報調查來說， EXIF 是一座信息金礦，因為它包含有關相機、設置，甚至位置數據的信息。雖然，通常大多數平臺會從圖像中刪除 EXIF 數據，但是 Exif 數據仍然是我們不能忽視的信息來源。

在這篇文章中，福韻君將帶領大家一起去探索 JPEG 圖像裡深藏的情報密碼。

情報分析工具

有一些工具可用於從 JPEG 圖像文件中提取數據用以情報分析，在前期的推文中福韻君也向大家介紹過8類工具，可以點擊下方連結了解。

Forensically – 這是一個非常簡單的基於 Web 的圖像取證工具，可在瀏覽器中運行，只需使用「打開文件」加載圖像即可開始分析。「元數據」「地理標籤」和「字符串提取」選項卡對於訪問我們需要的數據很有用。

Exiftool - 這是一個簡單但非常強大的工具，用於從許多不同的文件類型中提取元數據，而不僅僅是圖像。它可以在 Windows、Mac 和 Linux 上運行。它不像 Forensically 那樣易於使用，但它對於查看恢復的元數據更有效。

Bless – Bless 是一個十六進位編輯器，可讓以最原始的形式查看文件的結構。HxD也是一個很好的 Windows 基本十六進位查看器，但任何十六進位編輯器都可以用於此目的。使用十六進位閱讀器是檢查文件結構的最全面的方法，它將使我們能夠非常精確地檢查元數據。

JPEG 裡的秘密

每種類型的文件都有自己的數字籤名——這就是計算機如何區分.doc和.exe的方式。在 Windows 中，作業系統會查看文件末尾的擴展名（例如 .pdf、.xls）來決定使用什麼程序來運行該文件。

更重要的是文件籤名，每個文件都以十六進位文件籤名開頭，告訴作業系統它是什麼類型的文件。.exe 文件以籤名4D 5A開頭，.docx 文件以籤名50 4B 03 04開頭，JPEG 圖像文件以FF D8 開頭，依此類推。

這意味著當計算機讀取數據時，它會在文件的開頭看到「 FF D8 」並知道它是 JPEG。文件的結尾用相應的「 FF D9 」標記。舉個簡單的例子，讓我們看一下下面張圖片，以下是計算機向你呈現圖像的方式：

這是計算機看到相同圖像的方式。通過使用十六進位查看器打開它，我們可以像計算機一樣看到文件。請注意，它以文件籤名FF D8開頭，表明它是 JPEG：

並且文件以FF D9結尾，表示 JPEG 的結尾：

那麼這與我們可能感興趣的 EXIF 和其他文件數據有什麼關係呢？

正如有特定的十六進位字符指示 JPEG 文件的開始和結束一樣，文件中還有其他十六進位模式指示在何處可以找到特定類型的信息。這些都位於文件頭中，這是文件的第一部分，位於與實際圖像本身相關的主要數據之前。這裡有所有有用的 JPEG 代碼的完整列表，但我們感興趣的只有幾個：

FF E1 – 文件中任何 EXIF 數據的開始。

FF E2 – ICC（國際色彩聯盟）配置文件信息。ICC 配置文件是一組屬性，用於確定特定設備如何顯示顏色。這對於 OSINT 來說可能很重要，因為即使大多數網站刪除了 EXIF 數據，ICC 配置文件通常也會保持不變。對於某些設備（例如 Apple 產品），有時仍可以根據這些信息確定設備的製造商。

FF ED – Photoshop 和 IPTC 數據。此標記表示 Photoshop 處理生成的元數據的開始。IPTC 數據包含其他數據，例如版權資訊、攝影師的詳細信息和標題等。即使未經修改，這些數據通常也不存在於照片中，但當它存在時，它非常有用。

這通過一個實際的例子更容易看出，所以接下來讓我們用一個仍然保留有 EXIF 數據的網絡照片來探索一下 JPEG 照片裡的秘密。

帶有 EXIF 數據的照片

下面這張未刪除 EXIF 數據的照片取自CNN 的一篇文章。

布倫特·斯蒂頓/蓋蒂圖片社攝

讓我們首先保存它並將其上傳到 Forensically，以下是元數據選項卡顯示的內容：

裡面有很多有用的細節。ImageDescription 欄位也已填充，因此當我們將這張照片上傳到博客時，它會自動填充標題欄位。「字符串提取」選項卡中還有其他信息片段：

此 JPEG 標頭中的大量數據使其成為使用十六進位編輯器檢查文件的良好測試對象。以下是十六進位格式的文件：

請注意 EXIF 數據如何在右側列中可見。我們知道 JPEG 的 EXIF 部分以FF E1開頭，因此我們可以 Ctrl F 找到文件的這一部分。它就在文件籤名之後的開始處：

接下來我們可以通過搜索FF E2來檢查 ICC 配置文件，但我們不會在這個特定的圖像中找到它。但是FF ED欄位（Photoshop 和 IPTC 數據）存在，因此我們知道該文件可能已由 Photoshop 處理：

文件的十六進位視圖提供了最高級別的細節，但並不總是最容易閱讀。Forensically 在提取和顯示大部分數據方面做得很好，但在我看來，ExifTool 做得更好。以下是它如何呈現一些元數據的選擇：

由於照片已由 Photoshop 處理，因此 Photoshop 活動的創建和修改時間戳嵌入在圖像中。這些 Photoshop 編輯時間戳與你可以在計算機中的所有文件上找到的創建/修改/訪問的時間戳不同——這些時間戳來自設備自己的文件系統，本質上不是文件頭本身的一部分。

我們可以使用EXIF 查看器輕鬆地查看與提取 EXIF 信息，但正如大家所知，現在可能沒有什麼網絡圖像能包含豐富的原始 EXIF 數據了。

那怎麼辦呢?雖然含有大量 EXIF 數據的原始圖像少有，但通過了解如何深入挖掘照片數據，我們仍然可以找到有用的原始數據碎片，而這些碎片正是 EXIF 刪除工具容易忽略的信息。

一些主要社交平臺以自己特有的方式刪除 EXIF 數據，這實際上可能更容易識別圖像的來源。

一些主要平臺刪除元數據的方式

幾乎每個主要平臺都會刪除元數據，但它們都以不同的方式進行。比如，IPTC 對許多流行的社交媒體和圖像託管平臺進行了全面測試，以了解每個平臺如何處理 EXIF 和 IPTC 數據。每個處理文件的方式不同：

有時我們可以看到平臺是如何剝離數據的。例如，如果我們查看在 eBay 上出售的這輛自行車，我們可以查看文件的十六進位視圖，甚至可以告訴他們使用什麼軟體來執行此操作：

我們在 EXIF FF E1欄位開始的地方，看到了「由 eBay 使用 ImageMagick 處理」問候語！ImageMagick是一個常見的 EXIF 刪除工具。至少我們現在知道如何判斷一張圖片是從 Ebay 借來的！

然而，並非所有網站在刪除元數據時都會留下如此明顯的痕跡，而且每個網站的處理方式都不同。接下來，我們可以了解一些流行的社交網站平臺如何處理圖像元數據並在此過程中添加自己的顯著特徵。

Facebook

此圖像的文件名為：

88004843_10111606095638101_261759268640784384_o.jpg

這種特殊的文件命名格式源自 Facebook 存儲其數十億張圖像的獨特方式。

但 Facebook 上每個圖像的文件名實際上表示 Facebook 龐大生態系統中特定硬碟驅動器集群上的特定塊，而不是與它的來源帳戶有任何關係。這樣做的結果是 Facebook 圖像文件名非常獨特。

讓我們使用 ExifTool 查看文件本身：

ExifTool Version Number : 10.80File Name : 84068253_10111506635776461_6848249074852823040_o.jpgDirectory : .File Size : 371 kBFile Permissions : rw-rw-r--File Type : JPEGFile Type Extension : jpgMIME Type : image/jpegProfile CMM Type :Profile Version : 2.0.0Profile Class : Display Device ProfileColor Space Data : RGBProfile Connection Space : XYZProfile Date Time : 2009:03:27 21:36:31Profile File Signature : acspPrimary Platform : Unknown CMM Flags : Not Embedded, IndependentDevice Manufacturer :Device Model :Device Attributes : Reflective, Glossy, Positive, ColorRendering Intent : PerceptualConnection Space Illuminant : 0.9642 1 0.82491Profile Creator :Profile ID : 29f83ddeaff255ae7842fae4ca83390dProfile Description : sRGB IEC61966-2-1 black scaledBlue Matrix Column : 0.14307 0.06061 0.7141Blue Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)Device Model Desc : IEC 61966-2-1 Default RGB Colour Space - sRGBGreen Matrix Column : 0.38515 0.71687 0.09708Green Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)Luminance : 0 80 0Measurement Observer : CIE 1931Measurement Backing : 0 0 0Measurement Geometry : UnknownMeasurement Flare : 0%Measurement Illuminant : D65Media Black Point : 0.01205 0.0125 0.01031Red Matrix Column : 0.43607 0.22249 0.01392Red Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)Technology : Cathode Ray Tube DisplayViewing Cond Desc : Reference Viewing Condition in IEC 61966-2-1Media White Point : 0.9642 1 0.82491Profile Copyright : Copyright International Color Consortium, 2009Chromatic Adaptation : 1.04791 0.02293 -0.0502 0.0296 0.99046 -0.01707 -0.00925 0.01506 0.75179JFIF Version : 1.01Resolution Unit : NoneX Resolution : 1Y Resolution : 1Current IPTC Digest : 2aa1d117b0d20226dcefbb16249a023fOriginal Transmission Reference : GggUWrgwZ9hSQFQXeGJaImage Width : 1504Image Height : 1505Encoding Process : Progressive DCT, Huffman codingBits Per Sample : 8Color Components : 3Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)Image Size : 1504x1505Megapixels : 2.3

這些數據的絕大部分與圖像的顏色設置有關。即使是看起來很有趣的「配置文件 ID」欄位也指的是非唯一的顏色配置文件設置，而不是像用戶配置文件這樣的特定內容。然而，這張 Facebook 圖片的獨特之處在於 IPTC Digest 哈希：

Current IPTC Digest ：

2aa1d117b0d20226dcefbb16249a023f

這是從與圖像關聯的 IPTC 數據派生的唯一哈希值。我們無法訪問 IPTC 數據本身，但哈希值仍然有用，因為它是一種唯一性形式。這個數據欄位被廣泛誤報為另一種形式的「Facebook 跟蹤」，甚至是某種隱寫術。

可以肯定的是，Facebook 可以通過多種方式跟蹤你，但這不是其中之一。IPTC 摘要更類似於版權標記的一種形式，但僅此而已。

作為研究人員需要了解的有用信息是，如果我們從 Facebook 獲取圖像並更改文件名，原始 IPTC 摘要在元數據中仍然保持不變。

這是我們將上面的文件名重命名為 someimage.jpg 時發生的情況並再次通過 Exiftool 運行它。結果是一樣的：

Current IPTC Digest :

2aa1d117b0d20226dcefbb16249a023f

但是，如果我們更改圖像中的一個像素並重新保存它，所有原始元數據都會丟失：

File Type : JPEGFile Type Extension : jpgMIME Type : image/jpegJFIF Version : 1.01Resolution Unit : NoneX Resolution : 1Y Resolution : 1Image Width : 1504Image Height : 1505Encoding Process : Baseline DCT, Huffman codingBits Per Sample : 8Color Components : 3Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)Image Size : 1504x1505Megapixels : 2.3

因此，這不是一種非常有效的跟蹤方式。

Twitter

Twitter 也刪除了元數據，但在從 Apple 設備上傳文件時，它確實保留了 ICC 配置文件欄位 ( FF E2 ) 和 Photoshop 元數據欄位 ( FF ED )。這是Julia Bayer發布的一張 Quiztime 舊照片的示例：

在取證中打開圖像並選擇「字符串提取」從FF E2和FF ED欄位中提取信息：

那裡仍然有一些原始元數據尚未刪除。Exiftool 使其更易於閱讀：

ExifTool Version Number : 10.80File Name : EP4i4PqUUA86HSg.jpegDirectory : .File Size : 284 kBFile Modification Date/Time : 2020:02:18 19:34:40 00:00File Access Date/Time : 2020:02:18 19:34:40 00:00File Inode Change Date/Time : 2020:02:18 19:34:40 00:00File Permissions : rw-rw-r--File Type : JPEGFile Type Extension : jpgMIME Type : image/jpegJFIF Version : 1.01Resolution Unit : NoneX Resolution : 72Y Resolution : 72Profile CMM Type : Apple Computer Inc.Profile Version : 4.0.0Profile Class : Display Device ProfileColor Space Data : RGBProfile Connection Space : XYZProfile Date Time : 2017:07:07 13:22:32Profile File Signature : acspPrimary Platform : Apple Computer Inc.CMM Flags : Not Embedded, IndependentDevice Manufacturer : Apple Computer Inc.Device Model :Device Attributes : Reflective, Glossy, Positive, ColorRendering Intent : PerceptualConnection Space Illuminant : 0.9642 1 0.82491Profile Creator : Apple Computer Inc.Profile ID : ca1a9582257f104d389913d5d1ea1582Profile Description : Display P3Profile Copyright : Copyright Apple Inc., 2017Media White Point : 0.95045 1 1.08905Red Matrix Column : 0.51512 0.2412 -0.00105Green Matrix Column : 0.29198 0.69225 0.04189Blue Matrix Column : 0.1571 0.06657 0.78407Red Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)Chromatic Adaptation : 1.04788 0.02292 -0.0502 0.02959 0.99048 -0.01706 -0.00923 0.01508 0.75168Blue Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)Green Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)IPTC Digest : d41d8cd98f00b204e9800998ecf8427eImage Width : 1604Image Height : 2048Encoding Process : Progressive DCT, Huffman codingBits Per Sample : 8Color Components : 3Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)Image Size : 1604x2048Megapixels : 3.3

該圖像仍保留顯示它是使用 Apple 設備創建的元數據：

Profile Creator : Apple Computer Inc.Profile ID : ca1a9582257f104d389913d5d1ea1582Profile Description : Display P3Profile Copyright : Copyright Apple Inc., 2017

儘管 Twitter 刪除了FF E1 (EXIF) 欄位之後的大部分圖像元數據，但它保留了其他元數據欄位。這似乎只適用於 Apple 設備，但它只是一小部分信息，可能有助於證明或反駁圖像歸屬，並且經常被忽視。

Reddit 還為來自 Apple 設備的照片保留了相同的元數據。這是頭版的照片：

儘管所有其他數據都已被刪除，但我們在這張圖片中也看到了相同 Apple 起源的痕跡：

Profile CMM Type : Apple Computer Inc.Profile Version : 4.0.0Profile Class : Display Device ProfileColor Space Data : RGBProfile Connection Space : XYZProfile Date Time : 2017:07:07 13:22:32Profile File Signature : acspPrimary Platform : Apple Computer Inc.CMM Flags : Not Embedded, IndependentDevice Manufacturer : Apple Computer Inc.Device Model :Device Attributes : Reflective, Glossy, Positive, ColorRendering Intent : PerceptualConnection Space Illuminant : 0.9642 1 0.82491Profile Creator : Apple Computer Inc.Profile ID : ca1a9582257f104d389913d5d1ea1582Profile Description : Display P3Profile Copyright : Copyright Apple Inc., 2017