На форуме COMPUTER FORENSICS AND INVESTIGATIONS промелькнула однажды вот такая фотография из практики СЗРЦСЭ:
Мне нравится с её помощью иллюстрировать техническое исследование фотоснимков.
Во первых, методом пристального изучения деталей картинки видно, что около ручки задней двери, несколько ниже неё, отразился, судя по всему, фотограф с другом. Возникает вопрос, почему больше ничего внятного не отразилось? Ответ прост: потому, что двери заретушировали так, что ниже передней дверной ручки закрасили зазор между ними. Какое уж там отражение?
При внимательном рассмотрении видно, что на капоте авто что-то нарисовано. Этого почти не заметно, но оно есть. Там в комплекте было еще несколько снимков, в том числе - вид спереди. Досадно, но на том снимке капот чистый. Это к тому вопросу, что чем больше подделываешь, тем легче накосячить - во-первых, и никакой объём исследуемого материала лишним не бывает - это во-вторых.
Если воспользоваться JPEGsnoop'ом, вот что мы увидим:
1. В файле имеется маркер APP1(xFFE1), в котором есть информация, позволяющая идентифицировать камеру и определить время съёмки:
EXIF MakerIFD @ Absolute 0x000002BB
[Canon.ImageType ] = "Canon EOS 400D DIGITAL"
[Canon.FirmwareVersion ] = "Firmware 1.0.5"
[Canon.SerialNumber ] = 1180613288
[Canon.FirmwareVersion ] = "Firmware 1.0.5"
[Canon.SerialNumber ] = 1180613288
EXIF SubIFD @ Absolute 0x00000101
[DateTimeOriginal ] = "2008:09:12 15:49:06"
[DateTimeDigitized ] = "2008:09:12 15:49:06"
[DateTimeDigitized ] = "2008:09:12 15:49:06"
2. В файле имеется маркер APP0 (xFFE0) OFFSET: 0x00000002. Если вы внимательно читали предыдущие посты, то уже знаете, что этот маркер firmware аппаратов Canon не пишет. Пишет какое-то другое ПО.
3. Видимо, это то ПО, которое вписало в файл маркер APP13 (xFFED):
OFFSET: 0x00003E78
...
Identifier = [Photoshop 3.0]
4. Вот и результаты сравнения матриц ДКП нам такое вот говорят:
EXIF.Make / Software EXIF.Model Quality
SW :[Adobe DNG Converter] [ ]
SW :[Adobe Photoshop ] [Save As 05 ]
5. В EXIF есть еще такая вот ссылочка:
EXIF IFD0 @ Absolute 0x00000026
[Software ] = "ACD Systems Digital Imaging"
[DateTime ] = "2008:09:12 19:18:10"
которая нам как-бы намекает.
Как связаны ACDSee и Photoshop 3.0 в этом конкретном случае, мы не будем разбираться. Может, ACD Systems лицензировали древний код от Adobe, может, рачительный фотохудожник реально работает антиквариатом, не знаю.
6. А вот зато нам JPEGsnoop подсказывает, что есть в файле миниатюра, да еще пожатая жипегом:
*** Embedded JPEG Thumbnail ***
Offset: 0x00001727
Length: 0x00002751 (10065)
Offset: 0x00001727
Length: 0x00002751 (10065)
Осталось сделать Image Search FWD и Export JPEG, и вот, voila:
Оказывается, иконка, созданная фирмварью Канона, осталась в неприкосновенности. ACD Systems и возможно, даже Photoshop не трогают маркеры, не относящиеся напрямую к данным основного изображения.
Что не может не радовать.
Видите, как всё легко? Не радуйтесь, это не даром показательный пример.
Комментариев нет:
Отправить комментарий