Ich habe ein JPEG-Foto, dessen EXIF-Daten vollständig entfernt wurden. Ich weiß, dass das Foto bearbeitet wurde. Befinden sich im veränderten JPEG irgendwelche Daten, die auf verwendete Bildbearbeitungsprogramme oder Geräte hinweisen? Hat Adobe Photoshop beispielsweise eine bestimmte Zeichenfolgen-ID, die es in einen anderen JPEG-Code als in die EXIF-Metadaten einfügt? Wie ein Fußabdruck im Schnee.
JPEGsnoop vergleicht die Komprimierungssignatur in einem JPEG mit seiner Datenbank bekannter Kombinationen von Signaturen und Software/Firmware und gibt eine Liste von Software/Kameras aus, die mit der Signatur des Eingangsbildes übereinstimmen. Hier ist eine Beispielausgabe:
*** Searching Compression Signatures ***
Signature: 013BA18D5561625796E986FDBC09F846
Signature (Rotated): 01AC57E12793DFA7C46C704625C5AF0F
File Offset: 0 bytes
Chroma subsampling: 2x2
EXIF Make/Model: NONE
EXIF Makernotes: NONE
EXIF Software: NONE
Searching Compression Signatures: (3347 built-in, 0 user(*) )
EXIF.Make / Software EXIF.Model Quality Subsamp Match?
------------------------- ----------------------------------- ---------------- --------------
CAM:[??? ] [Treo 680 ] [ ] Yes
CAM:[Canon ] [Canon PowerShot Pro1 ] [fine ] No
CAM:[NIKON ] [E2500 ] [FINE ] No
CAM:[NIKON ] [E3100 ] [FINE ] No
CAM:[NIKON ] [E4500 ] [FINE ] No
CAM:[NIKON ] [E5000 ] [FINE ] No
CAM:[NIKON ] [E5700 ] [FINE ] No
CAM:[NIKON ] [E775 ] [FINE ] No
CAM:[NIKON ] [E885 ] [FINE ] No
CAM:[OLYMPUS OPTICAL CO.,LTD ] [C3040Z ] [ ] No
CAM:[PENTAX ] [PENTAX Optio 550 ] [ ] No
CAM:[Research In Motion ] [BlackBerry 9530 ] [Superfine ] Yes
CAM:[SEIKO EPSON CORP. ] [PhotoPC 3000Z ] [ ] No
CAM:[SONY ] [DSC-H7 ] [ ] No
CAM:[SONY ] [DSC-H9 ] [ ] No
CAM:[SONY ] [DSC-S90 ] [ ] No
CAM:[SONY ] [DSC-W1 ] [ ] No
CAM:[SONY ] [SONY ] [ ] No
SW :[ACDSee ] [ ]
SW :[FixFoto ] [fine ]
SW :[IJG Library ] [090 ]
SW :[ZoomBrowser EX ] [high ]
The following IJG-based editors also match this signature:
SW :[GIMP ] [090 ]
SW :[IrfanView ] [090 ]
SW :[idImager ] [090 ]
SW :[FastStone Image Viewer ] [090 ]
SW :[NeatImage ] [090 ]
SW :[Paint.NET ] [090 ]
SW :[Photomatix ] [090 ]
SW :[XnView ] [090 ]
Based on the analysis of compression characteristics and EXIF metadata:
ASSESSMENT: Class 1 - Image is processed/edited
This may be a new software editor for the database.
If this file is processed, and editor doesn't appear in list above,
PLEASE ADD TO DATABASE with [Tools->Add Camera to DB]
JPEG-Dateien enthalten mehrere Abschnitte mit Metadaten, die jedoch alle entfernt werden können. Software, die EXIF entfernt, kann es in unterschiedlichem Maße entfernen, kann aber auch alle anderen Metadatenabschnitte entfernen. Dies geschieht häufig beim Posten im Internet, um zu verhindern, dass persönliche Informationen wie Geolokalisierung preisgegeben werden, oder um Dateien für das Hochladen leichter zu machen.
In jedem Fall können Sie nicht sicher sein, ob eine JPEG-Dateikamera überhaupt eine Kamera ist, es sei denn, es gibt Metadaten, die das Gegenteil belegen. Stellen Sie sich einen Benutzer vor, der Datei -> Neu in Photoshop oder einer anderen Bildbearbeitungssoftware ausführt. An diesem Punkt haben sie eine neue Datei ohne Daten, die sich auf die Kamera beziehen, aber sie können immer noch Pixel aus einem Bild mit Metadaten ausschneiden und einfügen. Ein so erstelltes Bild kann Aufschluss darüber geben, welche Software verwendet wird, aber nichts über die Kamera.
Auch Kameras können oft in RAW, DNG oder TIFF aufnehmen. In diesem Fall wird ein Konvertierungsprogramm verwendet, um daraus ein JPEG zu erstellen, und dieser Konverter hinterlässt je nach verwendeten Optionen möglicherweise keine Metadaten in der Ausgabe. Im Fall von RAW und DNG sind dies nicht einmal Bildformate, sodass die Daten bei der Konvertierung in ein Bild transformiert und Pixel interpoliert werden müssen, sodass Sie ein Bild erhalten würden, das jedoch nicht unbedingt bearbeitet werden würde.
TL;DR - Theoretisch ja. Realistisch gesehen wahrscheinlich nicht.
Langversion: Theoretisch sollte es in vielen Fällen möglich sein, die App oder zumindest die von der App verwendete Bibliothek zu ermitteln, die ein Bild erstellt hat. Anwendungen und Bibliotheken schreiben Daten oft in einer bestimmten Reihenfolge oder auf eine bestimmte Weise, und dies kann manchmal durch Untersuchung der Bilddaten festgestellt werden. Diese Informationen sind jedoch im Allgemeinen nicht öffentlich verfügbar und würden einiges an Wissen über verschiedene Bibliotheken und Anwendungen erfordern, um sie herauszufinden. Das ist die Art von Dingen, die ein forensischer Analyst möglicherweise tun könnte, aber für eine Einzelperson wahrscheinlich schwierig wäre.
Sie können versuchen, das Bild in einem Hex-Editor zu öffnen. Wenn Sie einen Mac oder Linux verwenden, können Sie zur Befehlszeile gehen und Folgendes eingeben:
xxd <path/to/file>
Dadurch wird der Inhalt der Datei in Hexadezimal- und ASCII-Format angezeigt und möglicherweise werden Dinge wie Zeichenfolgen mit dem Anwendungs- oder Bibliotheksnamen angezeigt. Wenn Sie ein Programmierer sind, können Sie jederzeit die Spezifikation für das JPEG-Format abrufen und die Daten in der Datei manuell analysieren, nachdem Sie einen Hex-Dump erstellt haben, um zu sehen, ob sich daraus etwas Nützliches ergibt. Ich habe keine spezifischen Kenntnisse über Informationen, nach denen Sie über Zeichenfolgen hinaus suchen könnten, in denen das Wort Photoshop enthalten ist, oder vielleicht "8BIM", das die alte 4-stellige MacOS-Typkennung für die Anwendung ist.
Michael C
Benutzer657491
Zeichnete Noakes
Benutzer657491
Null