如何利用Exif提取软件从图片中抓取有价值数据

iso60001  2000天前

22.jpg

现如今,各类数码设备基本都具备拍照功能,而这些设备拍出来的电子照片,不仅会直接记录下了人物、景色,还隐藏着大量敏感的个人信息。黑客通过社工手段让目标发送包含GPS坐标和其他敏感信息的照片给自己,再通过某些手段把照片中隐藏的敏感信息提取出来,就可以非法定位到目标详细的居住或工作地点。

对于研究电子取证的研究人员和黑客来说,照片除了本身可见的内容之外,其中的元数据还记录了拍摄时间、地点、拍摄照片的设备、图像的地理位置,以及其他一些可以对人或设备进行独特的“指纹识别”的特征。而如今大量的人都会把自己拍摄的照片上传至社交媒体,虽然许多社交媒体平台都会把隐藏在照片中的元数据给剥离,但万事无绝对,仍然有许多在线图像保留了这些敏感的元数据。

演示视频:https://youtu.be/tFdKJcsBJOw

图片中的Exif数据

Exchangeable image file format data,又称Exif数据,是伴随图像而生的信息,它们看起来就像许多可以填充也可留空的字段。这些信息一般是用来方便程序更好地理解处理图片,例如排序等。总而言之,Exif的数据越多,越方便软件对图像进行处理。Exif数据既可以是拍摄图像的设备生成的,也可以被图片修改程序(如photoshop)所更改。

Exif数据所支持的字段非常广泛。除了数码设备的特定信息外,还有大量可以用来记录第三方图像处理软件的字段,而图像的作者可能完全不知道到底有哪些信息被记载。

你需要做什么

我们先从一个预先安装在kali linux上的程序开始,以及一些可以在任何系统上工作的工具,这些工具都可以从Web浏览器直接运行。

选项1:使用Exif命令行工具

首先,我们将使用kali linux中预装的“exif”工具。这个程序也是是“libexif”的命令行前端,它只能针对JPG这种格式。如果要查看可用的选项,可以运行exif --help命令。

如果你正在使用另一个操作系统,如Debian或Ubuntu,并没有安装exit,那么请打开一个新的终端并输入apt install exif来安装程序及其依赖项。如果是在MacOS设备上,可以输入brew install exif来安装此工具。安装完毕后,再次输入exif --help

你也可以使用man exif来查看关于该工具的更多信息。

33.png

虽然这个程序有很多选项可以选择,但即使不使用任何选项直接exif,你都可以看到大量信息。例子如下,exif提取出一张在photoshop中处理过的照片的大量信息,包括修改了它的软件、修改了它的计算机以及拍摄它的照相机的信息。如果在运行命令时出现“corrupt data”,则可能该图像无元数据,或者不是JPG格式。

44.png

值得注意的是,如果照片是在手机上拍摄的,那么Exif数据中很有可能包含地理信息。

正如上面的输出所示,我们可以知道创建此图像的人使用的是佳能 EOS 60D相机,镜头焦距为17.0毫米,使用了Lightroom处理文件,并且是在Mac电脑上。从一个简单的图像文件中我们就可以勾勒出图像主人的大量信息!

选项2:使用Jeffrey的网页版图片元数据查看器

如果你想在浏览器提取Exif数据,那么我也有两个很好的推荐。首先,让我们从Jeffrey Friedl的图像元数据查看器开始,访问exif.regex.info。但很遗憾的是,该网站没有使用https。从网站中你可以看到它很简洁实用,并且支持多种格式(上一个命令行工具只支持JPG文件)。因此,你可以上传一些原始图像文件,如CR2和DNG、PNG和TIFF格式。

上传文件或直接输入URL,输入验证码,然后点击“View Image Data”。

55.jpg

一旦你扫描了一个来自手机的图像,那么你很可能能看到相当多的隐私信息。如下所示,这张图像包含了一个GPS坐标。

66.jpg

而且这张图片实际包含的数据远远不止这些。

77.png

选项3:使用Ver Exif的Web应用

我所推荐的第二个网站是在verexif.com上的Ver Exif,它除了会在扫描后会输出所有的exif数据,还可帮助你删除图像中的元数据。如果你要确保发送的图像不包含任何敏感信息,这个功能也许能派上用场。

88.jpg

如上个介绍一样上传一个文件或输入URL,单击“View Exif”,你就会看到一个非常简洁的Exif数据。在我的示例中,将相同的照片传递到该网站时,得到的信息较少,但它会直接生成一个照片拍摄位置图,而且这些信息都是很准确的。

99.jpg

有趣的是,在我通过“Remove Exif”选项进行数据删除后,再把它上传到第一个网站,查看元数据是否真的被删除了,结果发现,依然存在Exif数据,表示它是在三星设备上拍摄的,所以我不建议大家使用此功能。

100.jpg

选项4:使用Chrome插件EXIF Viewer

在google chrome中,你可以选择Exif Viewer插件,它可从加载到浏览器中的任何照片中提取exif数据。

使用浏览器插件提取exif数据比使用基于Web的工具更简单。安装并启用插件后,右键单击浏览器中的任何图像,然后选择“Show EXIF data”,就可以看到图像包含的任何信息。

为了进行验证,我在一个照片共享网站上选择了一个随机的图像,并通过EXIF Viewer查看Exif数据。

110.jpg

选项5:使用firefox的插件Exif Viewer

当然,firefox上也有类似插件,这是由AlanRaskin开发的。安装并启用插件后,右键单击浏览器中的图像,然后单击“Exif Viewer”。

然后会出现一个窗口,其中有大量的元数据。而且在GPS的部分,你还可以打开Google地图、Bing地图查看位置。

120.jpg

综合来说,浏览器插件是提取exif数据的最好方法,你还可以在浏览器中打开任意照片,并使用插件来读取其中的Exif数据。

尾声

图像背后隐藏的信息可能比其直接展示的更有价值。虽然许多社交媒体平台和照片托管服务都支持去除Exif数据,但并不绝对。如果你不想泄露这些数据,那么以上这些工具可以帮助你快速确定图像中是否有敏感数据。而最重要的是,如果你不希望GPS坐标被记录到你拍摄的每一张图像中,一定要在手机上进行设置。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@NullByteWht/how-to-obtain-valuable-data-from-images-using-exif-extractors-77feee50531c

最新评论

昵称
邮箱
提交评论