Всем привет!
Есть совсем обычная задача: "доказать, что фото из backup смартфона сделаны на текущую модель смартфона".
У нас есть backup смартфона "Huawei Y6 Pro (TIT-U02)" созданный с помощью стандартного приложения)
Загрузим наши файлы backup для анализа в AXIOM Examine (не думаю, что есть смысл описывать как это делать).
По итогам анализа выберем графический файл (изображение), на котором поставим эксперимент:
В сведениях об файле содержит следующие интересующие нас данные:
- Изготовитель;
- Модель;
- Программное обеспечение;
- Источник (файл backup, который содержит графический файл);
- Расположение (Offset).
Выгрузим выбранный графический файл и посмотрим его свойства:
Свойства "Камера, изготовитель" и "Камера, модель" пустые. В WinHex заголовок файла пустой:
Но, мы то знаем правду. Смею предположить, что в момент выгрузки артефакта из AXIOM создается файл без заголовком. Нам это не подходит, исправим это.
Для того чтобы получить этот файл с заголовком (в котором можно будет увидеть информацию о камере изготовителе и модели) нам потребуется WinHex и статья: Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex
Зная в каком фале backup содержится наш графический файл мы можем его найти открыв в WinHex файл: "userdata_20190806_080941.backup3".
Далее в ищем наш графический файл по Offset который нам сообщил AXIOM ранее: "1295618560"
По этому расположению находим входящую сигнатуру графического файл: "FF D8":
Находим конечную сигнатуру "FF D9" и вырезаем нужный блок, как это показано в статье Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex (так как изображение содержит превью графического файла то нам нужна не следующая сигнатура "FF D9" а через одну - не обязательно):
Создаем новый файл в WinHex копируем в него наш блок и удаляем лишние нули в конце файла.
Далее сохраняем с расширением "jpeg" рядом с нашим артефактом из AXIOM:
Результат:
Вот мы и получили ожидаем результат!
Есть совсем обычная задача: "доказать, что фото из backup смартфона сделаны на текущую модель смартфона".
У нас есть backup смартфона "Huawei Y6 Pro (TIT-U02)" созданный с помощью стандартного приложения)
Загрузим наши файлы backup для анализа в AXIOM Examine (не думаю, что есть смысл описывать как это делать).
- Изготовитель;
- Модель;
- Программное обеспечение;
- Источник (файл backup, который содержит графический файл);
- Расположение (Offset).
Свойства "Камера, изготовитель" и "Камера, модель" пустые. В WinHex заголовок файла пустой:
Для того чтобы получить этот файл с заголовком (в котором можно будет увидеть информацию о камере изготовителе и модели) нам потребуется WinHex и статья: Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex
Зная в каком фале backup содержится наш графический файл мы можем его найти открыв в WinHex файл: "userdata_20190806_080941.backup3".
Далее в ищем наш графический файл по Offset который нам сообщил AXIOM ранее: "1295618560"
Создаем новый файл в WinHex копируем в него наш блок и удаляем лишние нули в конце файла.
Вот мы и получили ожидаем результат!
ВЫВОД:
Способ не самый лучший для больших массивов файлов, но имеет право на существование.
Способ не самый лучший для больших массивов файлов, но имеет право на существование.
