Ειναι ο πρωτος οδηγος που κανω για την ψηφιακη εγκληματολογια η αλλιως Digital Forensics
Ο παρακατω οδηγος θα ειναι για το πως μπορουμε να βρουμε διαφορα στοιχεια απο μια φωτογραφια και αν εχει τροποποιηθει απο καποιο προγραμμα
Υπαρχουνε πολλα προγραμματα που μπορουν να σας βοηθησουνε να βρειτε στοιχεια για φωτογραφιες αλλα εμεις θα χρησιμοποιησουμε το Ghiro η αλλιως "τυφλοποντικα"
Τι θα χρειαστεις;
1.Windows
2.Virtual box & Ghiro
3.Αν δεν θελετε να κανετε καποια εγκατασταση τοτε κοιταξτε στο τελος του οδηγου
Για το Virtual box πατηστε
εδω
Για το Ghiro πατηστε
εδω
Οταν κατεβουν τοτε κανουμε εγκατασταση του Virtual box (το virtual box ειναι στην ουσια μια εικονικη μηχανη η οποια σας επιτρεπει να κανετε εγκατασταση διαφορων λειτουργικων)
επιλεγουμε συνεχεια next μεχρι να τελειωσει η εγκατασταση
*αν μας εμφανισει να κανουμε εγκατασταση λογισμικο συσκευης τοτε επιλεγουμε να γινει εγκατασταση
στην συνεχεια οταν τελειωσει επιλεγουμε File και Import Appliance
επιλεγουμε open appliance και επιλεγουμε το Ghiro Applieance.ova (οταν κατεβει θα ειναι συμπιεσμενα οποτε πρεπει να το αποσυμπιεσουμε για να το επιλεξουμε)
στη συνεχεια επιλεγουμε next
*αν εχετε λιγοτερο απο 2GB Ram τροποποιηστε το παρακατω η αλλιως πατηστε Import
παταμε δεξι κλικ το Ghiro Appliance και επιλεγουμε Settings, αλλαζουμε τις ρυθμισεις του Network ως εξεις
μετα επιλεγουμε ok στην συνεχεια επιλεγουμε Ghiro Appliance και Start
οταν μας εμφανισει να βαλουμε τον κωδικο βαζουμε ghiro σαν username και κωδικο ghiromanager
*οταν γραφετε τον κωδικο δεν θα σας εμφανιζει οτι γραφετε οποτε γραψτε ghiromanager και πατηστε enter
μετα γραφουμε sudo ifconfig eth0 192.168.1.10 up θα μας ζητησει να βαλουμε τον κωδικο που ειναι giromanager και ειμαστε ετοιμοι
τωρα το αφηνουμε ανοικτο ανοιγουμε στα windows τον περιηγητη (browser) και γραφουμε
στην Url 192.168.1.10
βαζουμε τα στοιχεια συνδεσης ghiro και ghiromanager και επιλεγουμε login
επιλεγουμε Cases και Add
τωρα δινουμε ονομα στην υποθεση μας (Cases) περιγραφη κτλ εδω θα παρω για παραδειγμα μια εικονα που εχετε δει ολοι σας στο διαδικτυο ....το τρισδιαστατο τατουαζ
οποτε ονομαζω την υποθεση μου αναλογος
*δεν υποστηριζει ελληνικους χαρακτηρες το Ghiro οποτε δωστε ονομασιες με λατινικους χαρακτηρες
τωρα προσθετω την εικονα για αναλυση
μωλις μας γραψει completed επιλεγουμε την εικονα
και εδω βλεπουμε τα αποτελεσματα
στις στατικες πληροφοριες μπορειτε να βρειτε πχ συντεταγμενες απο που τραβηχτηκε η φωτογραφια πχ συνηθως οταν τραβαμε απο το κιν φωτογραφιες και εχουμε το GPS ανοικτο τοτε αποθηκευετε στην φωτογραφια θα δουμε παρακατω παραδειγμα
αυτο που μας ενδιαφερει ομως ειναι να μπορουμε να διαβαζουμε το ELA Error Level Analysis η σφαλμα αναλυσης επιπεδου δλδ
Σφαλμα Αναλυσης επιπεδου
To (ELA) εντοπιζει τους τομεις μεσα σε μια εικόνα, που βρίσκονται σε διαφορετικα επιπεδα συμπιεσης. πχ στις εικονες JPEG, ολοκληρη η εικονα θα πρεπει να ειναι περιπου στο ιδιο επιπεδο. Εαν ενα τμημα της εικονας είναι σε σημαντικα διαφορετικο επιπεδο σφαλματος, τοτε αυτο δειχνει οτι εχει τροποποιηθει ψηφιακα
δειτε παραδειγμα στην εικονα κατω
οπως βλεπετε φενεται η τροποποιηση τωρα ας δουμε ενα αλλο τατουαζ το οποιο τραβηξα εγω με το κινητο μου
* οπως βλεπετε μας εμφανισε ποιο πολλες πληροφοριες γιατι η εικονα ειναι κατευθειαν απο την συσκευη και οχι απο το διαδικτυο αλλα θα δουμε αναλυτικα τα στοιχεια ποιο κατω
τωρα ας δουμε το ELA
oπως βλεπετε μικρες διαφορες στο ELA οποτε το συμπερασμα για το τρισδιαστατο τατουαζ ειναι οτι εχει τροποποιηθει
για να το καταλαβετε ακομα καλυτερα ας τροποποιησουμε την φωτογραφια που τραβηξα εγω
επιτηδες χρησιμοποιησα το ιδιο ποδι για να δειτε την διαφορα
τωρα οπως βλεπετε με το ELA φενεται καθαρα οτι εχουμε προσθεσει μια εικονα
κοιταξτε εδω ενα αλλο παραδειγμα
οπως βλεπετε καμια διαφορα κοιταξτε ομως με το ELA
εδω βλεπουμε οτι εχει τροποποιηθει η φωτογραφια και συγκεκριμενα εχω κανει smooth και blur τις περιοχες γυρω απο το τατουαζ
τωρα ας παρουμε ενα ακομα παραδειγμα στην εικονα κατω εχει γινει τροποποιησει της φωτογραφιας που ακριβως ομως?
αλλαγες εγινα στο φοντο πισω,στα ματια,στα χειλη,στα φρυδια και στα μαλλια
*πρεπει να εχετε υποψην σας οτι αναλογα με την ποιοτητα της εικονας μπορειτε να εντοπισετε τις αλλαγες
τωρα ας δουμε τι στοιχεια μπορουμε να δουμε απο τις φωτογραφιες
στη πανω εικονα βλεπετε συνολικα τι πληροφοριες μαζεψε το Ghiro
τωρα ας δουμε αναλυτικα μερικες
στη πανω εικονα βλεπουμε το ονομα διαστασεις και ποτε εχει γινει αναλυση της φωτογραφιας
εδω βλεπουμε τον τυπου του αρχειου
εδω βλεπουμε τα hashes του αρχειου(εικονας) με λιγα λογια τα hashes ειναι η ψηφιακη υπογραφη ενος αρχειου για να καταλαβετε συγκρινετε το hashe MD5 με της κατω εικονας
οπως βλεπετε οι εικονες εχουνε την ιδια ονομασια και ειναι ακριβως οι ιδιες στο ανθρωπινο ματι αλλα τα hashes διαφερουνε οποτε δεν ειναι οι ιδιες εικονες δλδ με λιγα λογια αν εστω και την πραμικρη τροποποιηση γινει σε μια εικονα αλλαζουνε τα bit και κατα συνεπεια αλλαζουν και τα hashes
*τα SHA1,SHA224 κτλ ειναι οι τυποι κωδικοποιησεις των hashes
Ας συνεχισουμε
εδω βλεπουμε διαφορες πληροφοριες για την φωτογραφια με τι συσκευη τραβηχτηκε η φωτογραφια ποτε τραβηχτηκε και συντεταγμενες
το Ghiro μας εμφανιζει ακριβως την τοποθεσια σε χαρτη
οι υπογραφες οι οποιες μας λενε οτι υπαρχουν αυτα τα στοιχεια στην φωτογραφια πχ στην εικονα κατω λεει οτι υπαρχουνε συντεταγμενες
εδω ποτε εχει γινει ψηφιακη η φωτογραφια
*στην ουσια αυτη η πληροφορια σας ενδιαφερει να δειτε αν εχει χρησιμοποιηθει καποιο scanner δλδ απο αναλογικη εγινε ψηφιακη
στην κατω εικονα βλεπουμε απο ποια συσκευη τραβηχτηκε
Τωρα αν δεν θελετε να κανετε εγκατασταση το Ghiro απλα πατηστε
εδω και ανεβαστε την φωτογραφια σας
επισεις μπορειτε να δειτε και φωτογραφιες απο αλλους χρηστες και την αναλυση των φωτογραφιων τους