【情报百科】探秘JPEG

全文共9112字，23图

预计阅读时间：23分钟

在情报调查中，我们知道照片里面包含着很多地理定位的重要细节，然而，除了照片表面上的视觉线索，其实，还有隐藏在图像文件中的其他重要信息，这些信息同样包含着关键线索，其中，最重要的就是 EXIF 数据。

对于，情报调查来说， EXIF 是一座信息金矿，因为它包含有关相机、设置，甚至位置数据的信息。虽然，通常大多数平台会从图像中删除 EXIF 数据，但是 EXIF 数据仍然是我们不能忽视的信息来源。

在这篇文章中，福韵君将带领大家一起去探索 JPEG 图像里深藏的情报密码。

情报分析工具

有一些工具可用于从 JPEG 图像文件中提取数据用以情报分析，在前期的推文中福韵君也向大家介绍过8类工具，可以点击下方链接了解。

【情报工具】P图P到真假难辨，推荐8种图像情报分析工具教你一眼识别

2021-12-15

Forensically – 这是一个非常简单的基于 Web 的图像取证工具，可在浏览器中运行，只需使用“打开文件”加载图像即可开始分析。“元数据”“地理标签”和“字符串提取”选项卡对于访问我们需要的数据很有用。

Exiftool - 这是一个简单但非常强大的工具，用于从许多不同的文件类型中提取元数据，而不仅仅是图像。它可以在 Windows、Mac 和 Linux 上运行。它不像 Forensically 那样易于使用，但它对于查看恢复的元数据更有效。

Bless – Bless 是一个十六进制编辑器，可让以最原始的形式查看文件的结构。HxD也是一个很好的 Windows 基本十六进制查看器，但任何十六进制编辑器都可以用于此目的。使用十六进制阅读器是检查文件结构的最全面的方法，它将使我们能够非常精确地检查元数据。

JPEG 里的秘密

每种类型的文件都有自己的数字签名——这就是计算机如何区分.doc和.exe的方式。在 Windows 中，操作系统会查看文件末尾的扩展名（例如 .pdf、.xls）来决定使用什么程序来运行该文件。

更重要的是文件签名，每个文件都以十六进制文件签名开头，告诉操作系统它是什么类型的文件。.exe 文件以签名4D 5A开头，.docx 文件以签名50 4B 03 04开头，JPEG 图像文件以FF D8 开头，依此类推。

这意味着当计算机读取数据时，它会在文件的开头看到“ FF D8 ”并知道它是 JPEG。文件的结尾用相应的“ FF D9 ”标记。举个简单的例子，让我们看一下下面张图片，以下是计算机向你呈现图像的方式：

这是计算机看到相同图像的方式。通过使用十六进制查看器打开它，我们可以像计算机一样看到文件。请注意，它以文件签名FF D8开头，表明它是 JPEG：

并且文件以FF D9结尾，表示 JPEG 的结尾：

那么这与我们可能感兴趣的 EXIF 和其他文件数据有什么关系呢？

正如有特定的十六进制字符指示 JPEG 文件的开始和结束一样，文件中还有其他十六进制模式指示在何处可以找到特定类型的信息。这些都位于文件头中，这是文件的第一部分，位于与实际图像本身相关的主要数据之前。这里有所有有用的 JPEG 代码的完整列表，但我们感兴趣的只有几个：

FF E1 – 文件中任何 EXIF 数据的开始。

FF E2 – ICC（国际色彩联盟）配置文件信息。ICC 配置文件是一组属性，用于确定特定设备如何显示颜色。这对于 OSINT 来说可能很重要，因为即使大多数网站删除了 EXIF 数据，ICC 配置文件通常也会保持不变。对于某些设备（例如 Apple 产品），有时仍可以根据这些信息确定设备的制造商。

FF ED – Photoshop 和 IPTC 数据。此标记表示 Photoshop 处理生成的元数据的开始。IPTC 数据包含其他数据，例如版权信息、摄影师的详细信息和标题等。即使未经修改，这些数据通常也不存在于照片中，但当它存在时，它非常有用。

这通过一个实际的例子更容易看出，所以接下来让我们用一个仍然保留有 EXIF 数据的网络照片来探索一下 JPEG 照片里的秘密。

带有 EXIF 数据的照片

下面这张未删除 EXIF 数据的照片取自CNN 的一篇文章。

布伦特·斯蒂顿/盖蒂图片社摄

让我们首先保存它并将其上传到 Forensically，以下是元数据选项卡显示的内容：

里面有很多有用的细节。ImageDescription 字段也已填充，因此当我们将这张照片上传到博客时，它会自动填充标题字段。“字符串提取”选项卡中还有其他信息片段：

此 JPEG 标头中的大量数据使其成为使用十六进制编辑器检查文件的良好测试对象。以下是十六进制格式的文件：

请注意 EXIF 数据如何在右侧列中可见。我们知道 JPEG 的 EXIF 部分以FF E1开头，因此我们可以 Ctrl+F 找到文件的这一部分。它就在文件签名之后的开始处：

接下来我们可以通过搜索FF E2来检查 ICC 配置文件，但我们不会在这个特定的图像中找到它。但是FF ED字段（Photoshop 和 IPTC 数据）存在，因此我们知道该文件可能已由 Photoshop 处理：

文件的十六进制视图提供了最高级别的细节，但并不总是最容易阅读。Forensically 在提取和显示大部分数据方面做得很好，但在我看来，ExifTool 做得更好。以下是它如何呈现一些元数据的选择：

由于照片已由 Photoshop 处理，因此 Photoshop 活动的创建和修改时间戳嵌入在图像中。这些 Photoshop 编辑时间戳与你可以在计算机中的所有文件上找到的创建/修改/访问的时间戳不同——这些时间戳来自设备自己的文件系统，本质上不是文件头本身的一部分。

我们可以使用EXIF 查看器轻松地查看与提取 EXIF 信息，但正如大家所知，现在可能没有什么网络图像能包含丰富的原始 EXIF 数据了。

那怎么办呢?虽然含有大量 EXIF 数据的原始图像少有，但通过了解如何深入挖掘照片数据，我们仍然可以找到有用的原始数据碎片，而这些碎片正是 EXIF 删除工具容易忽略的信息。

一些主要社交平台以自己特有的方式删除 EXIF 数据，这实际上可能更容易识别图像的来源。

一些主要平台删除元数据的方式

几乎每个主要平台都会删除元数据，但它们都以不同的方式进行。比如，IPTC 对许多流行的社交媒体和图像托管平台进行了全面测试，以了解每个平台如何处理 EXIF 和 IPTC 数据。每个处理文件的方式不同：

有时我们可以看到平台是如何剥离数据的。例如，如果我们查看在 Ebay 上出售的这辆自行车，我们可以查看文件的十六进制视图，甚至可以告诉他们使用什么软件来执行此操作：

我们在 EXIF FF E1字段开始的地方，看到了“由 eBay 使用 ImageMagick 处理”问候语！ImageMagick是一个常见的 EXIF 删除工具。至少我们现在知道如何判断一张图片是从 Ebay 借来的！

然而，并非所有网站在删除元数据时都会留下如此明显的痕迹，而且每个网站的处理方式都不同。接下来，我们可以了解一些流行的社交网站平台如何处理图像元数据并在此过程中添加自己的显著特征。

Facebook

此图像的文件名为：

88004843_10111606095638101_261759268640784384_o.jpg

这种特殊的文件命名格式源自 Facebook 存储其数十亿张图像的独特方式。

但 Facebook 上每个图像的文件名实际上表示 Facebook 庞大生态系统中特定硬盘驱动器集群上的特定块，而不是与它的来源帐户有任何关系。这样做的结果是 Facebook 图像文件名非常独特。

让我们使用 ExifTool 查看文件本身：

ExifTool Version Number : 10.80
File Name : 84068253_10111506635776461_6848249074852823040_o.jpg
Directory : .
File Size : 371 kB
File Permissions : rw-rw-r--
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
Profile CMM Type :
Profile Version : 2.0.0
Profile Class : Display Device Profile
Color Space Data : RGB
Profile Connection Space : XYZ
Profile Date Time : 2009:03:27 21:36:31
Profile File Signature : acsp
Primary Platform : Unknown ()
CMM Flags : Not Embedded, Independent
Device Manufacturer :
Device Model :
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator :
Profile ID : 29f83ddeaff255ae7842fae4ca83390d
Profile Description : sRGB IEC61966-2-1 black scaled
Blue Matrix Column : 0.14307 0.06061 0.7141
Blue Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Device Model Desc : IEC 61966-2-1 Default RGB Colour Space - sRGB
Green Matrix Column : 0.38515 0.71687 0.09708
Green Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Luminance : 0 80 0
Measurement Observer : CIE 1931
Measurement Backing : 0 0 0
Measurement Geometry : Unknown
Measurement Flare : 0%
Measurement Illuminant : D65
Media Black Point : 0.01205 0.0125 0.01031
Red Matrix Column : 0.43607 0.22249 0.01392
Red Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Technology : Cathode Ray Tube Display
Viewing Cond Desc : Reference Viewing Condition in IEC 61966-2-1
Media White Point : 0.9642 1 0.82491
Profile Copyright : Copyright International Color Consortium, 2009
Chromatic Adaptation : 1.04791 0.02293 -0.0502 0.0296 0.99046 -0.01707 -0.00925 0.01506 0.75179
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Current IPTC Digest : 2aa1d117b0d20226dcefbb16249a023f
Original Transmission Reference : GggUWrgwZ9hSQFQXeGJa
Image Width : 1504
Image Height : 1505
Encoding Process : Progressive DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 1504x1505
Megapixels : 2.3

这些数据的绝大部分与图像的颜色设置有关。即使是看起来很有趣的“配置文件 ID”字段也指的是非唯一的颜色配置文件设置，而不是像用户配置文件这样的特定内容。然而，这张 Facebook 图片的独特之处在于 IPTC Digest 哈希： 

Current IPTC Digest ：

2aa1d117b0d20226dcefbb16249a023f

这是从与图像关联的 IPTC 数据派生的唯一哈希值。我们无法访问 IPTC 数据本身，但哈希值仍然有用，因为它是一种唯一性形式。这个数据字段被广泛误报为另一种形式的“Facebook 跟踪”，甚至是某种隐写术。

可以肯定的是，Facebook 可以通过多种方式跟踪你，但这不是其中之一。IPTC 摘要更类似于版权标记的一种形式，但仅此而已。

作为研究人员需要了解的有用信息是，如果我们从 Facebook 获取图像并更改文件名，原始 IPTC 摘要在元数据中仍然保持不变。

这是我们将 上面的文件名重命名为 someimage.jpg 时发生的情况并再次通过 Exiftool 运行它。结果是一样的：

Current IPTC Digest : 

2aa1d117b0d20226dcefbb16249a023f

但是，如果我们更改图像中的一个像素并重新保存它，所有原始元数据都会丢失：

File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 1
Y Resolution : 1
Image Width : 1504
Image Height : 1505
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 1504x1505
Megapixels : 2.3

因此，这不是一种非常有效的跟踪方式。

Twitter

Twitter 也删除了元数据，但在从 Apple 设备上传文件时，它确实保留了 ICC 配置文件字段 ( FF E2 ) 和 Photoshop 元数据字段 ( FF ED )。这是Julia Bayer发布的一张 Quiztime 旧照片的示例：

在取证中打开图像并选择“字符串提取”从FF E2和FF ED字段中提取信息：

那里仍然有一些原始元数据尚未删除。Exiftool 使其更易于阅读：

ExifTool Version Number : 10.80
File Name : EP4i4PqUUA86HSg.jpeg
Directory : .
File Size : 284 kB
File Modification Date/Time : 2020:02:18 19:34:40+00:00
File Access Date/Time : 2020:02:18 19:34:40+00:00
File Inode Change Date/Time : 2020:02:18 19:34:40+00:00
File Permissions : rw-rw-r--
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : None
X Resolution : 72
Y Resolution : 72
Profile CMM Type : Apple Computer Inc.
Profile Version : 4.0.0
Profile Class : Display Device Profile
Color Space Data : RGB
Profile Connection Space : XYZ
Profile Date Time : 2017:07:07 13:22:32
Profile File Signature : acsp
Primary Platform : Apple Computer Inc.
CMM Flags : Not Embedded, Independent
Device Manufacturer : Apple Computer Inc.
Device Model :
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator : Apple Computer Inc.
Profile ID : ca1a9582257f104d389913d5d1ea1582
Profile Description : Display P3
Profile Copyright : Copyright Apple Inc., 2017
Media White Point : 0.95045 1 1.08905
Red Matrix Column : 0.51512 0.2412 -0.00105
Green Matrix Column : 0.29198 0.69225 0.04189
Blue Matrix Column : 0.1571 0.06657 0.78407
Red Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)
Chromatic Adaptation : 1.04788 0.02292 -0.0502 0.02959 0.99048 -0.01706 -0.00923 0.01508 0.75168
Blue Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)
Green Tone Reproduction Curve : (Binary data 32 bytes, use -b option to extract)
IPTC Digest : d41d8cd98f00b204e9800998ecf8427e
Image Width : 1604
Image Height : 2048
Encoding Process : Progressive DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 1604x2048
Megapixels : 3.3

该图像仍保留显示它是使用 Apple 设备创建的元数据：

Profile Creator : Apple Computer Inc.
Profile ID : ca1a9582257f104d389913d5d1ea1582
Profile Description : Display P3
Profile Copyright : Copyright Apple Inc., 2017

尽管 Twitter 删除了FF E1 (EXIF) 字段之后的大部分图像元数据，但它保留了其他元数据字段。这似乎只适用于 Apple 设备，但它只是一小部分信息，可能有助于证明或反驳图像归属，并且经常被忽视。

Reddit 还为来自 Apple 设备的照片保留了相同的元数据。这是头版的照片：

尽管所有其他数据都已被删除，但我们在这张图片中也看到了相同 Apple 起源的痕迹：

Profile CMM Type : Apple Computer Inc.
Profile Version : 4.0.0
Profile Class : Display Device Profile
Color Space Data : RGB
Profile Connection Space : XYZ
Profile Date Time : 2017:07:07 13:22:32
Profile File Signature : acsp
Primary Platform : Apple Computer Inc.
CMM Flags : Not Embedded, Independent
Device Manufacturer : Apple Computer Inc.
Device Model :
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator : Apple Computer Inc.
Profile ID : ca1a9582257f104d389913d5d1ea1582
Profile Description : Display P3
Profile Copyright : Copyright Apple Inc., 2017

人工智能生成的图像

在往期的推文中，福韵君也跟大家介绍过如何识别人工智能生成的图片，可点击下方链接阅读：

【情报百科】如何识别真假脸？人眼PK人工智能小锦囊

2021-11-26

在这张照片中存在许多标准元数据字段（都以“FF”开头），但它们都是空白的，实际上不包含任何数据。这当然是不寻常的，因为大多数真实的个人资料图像至少包含一些 JPEG 标题信息，而这个几乎完全是空白的。因此，根据此可以判断该照片是人工智能生成的，而非真实存在的照片。

好啦，今天的探秘到这里就结束啦，下次福韵君还会带领大家一起去了解更多有趣有价值的情报知识。

本篇文章为福韵原创内容，未经授权禁止转载

福韵原创IP形象设计，原创勿盗，侵权必究

封面来源：sebweo.com

END

原文始发于微信公众号（福韵 网络情报研究）：【情报百科】探秘JPEG