Найти в Дзене
CISOCLUB - информационная безопасность
8378 подписчиков

Анализ изображений с помощью Ghiro

51
6 мин
Оглавление

В этой статье говорится о том, как можно использовать инструмент анализа изображений Ghiro. Эта утилита полностью автоматизирована и имеет открытый исходный код.

Что такое Ghiro?

Инструмент был разработан Alessandro Tanasi Jekil и Marco Buoncristiano Burlone. Это полностью автоматизированная утилита, предназначенная для проведения анализа огромного количества изображений. Для этого процесса используется удобное и простое веб-приложение.

Чтобы узнать больше об инструменте анализа изображений Ghiro, пользователь может перейти по ссылке.

Особенности Ghiro

Пользователь способен воспользоваться всеми функциями Ghiro с помощью веб-интерфейса. Он может загрузить одно или несколько изображений, чтобы получить быстрый и глубокий анализа этих файлов. Также человек имеет возможность группировать картинки в кейсах и производить поиск любых аналитических данных.

Основные черты:

  • Извлечение метаданных: метаданные делятся на несколько категорий в зависимости от стандарта, из которого они получены. Метаданные изображений извлекаются и классифицируются (EX-EXIF, IPTC, XMP).
  • Локализация GPS: она встроена в метаданные изображения, иногда есть геотег – немного данных GPS, обеспечивающих долготу и широту того места, где была сделана фотография.
  • MIME-информация: MIME-изображение, обнаруженное для определения его типа, с которым пользователь имеет дело.
  • ELA: ELA расшифровывается как анализ уровня ошибок. Он определяет области в изображении, которые находятся на разных уровнях сжатия. Вся части картинки должны быть примерно на одном уровне. Если обнаружена существенная разница, то это, вероятно, указывает на цифровую модификацию изображения.
  • Извлечение миниатюр: миниатюры и связанные с ними данные извлекаются из метаданных изображения и сохраняются для просмотра.
  • Согласованность миниатюр: иногда при редактировании фотографии редактируется исходное изображение, но не обнаруживается разница между миниатюрами и изображениями.
  • Механизм сигнатур: более 120 сигнатур, которые предоставляют собой доказательства в отношении изменения наиболее важных данных для выделения фокусных точек и общих экспозиций.
  • Сопоставление хэшей: стоит предположить, что пользователь ищет изображение, и у него есть только хэш-значение. Программа способна предоставить список хэшей, и все совпадающие изображения будут выведены на экран.

Установка и настройка Ghiro

Теперь нужно настроить Ghiro. Рекомендуется скачать «OVA», который представляет собой более простой и эффективный вариант для работы. После загрузки Ghiro, через несколько минут у пользователя появится возможность начать анализировать свои изображения.

Чтобы загрузить инструмент анализа изображений Ghiro, стоит перейти по ссылке.

После открытия этого файла OVA в VirtualBox или VMWare, следующая информация появится на экране.

Из нее следует:

IP-адрес: 192.168.0.7

Можно использовать эти данные для запуска программного обеспечения.

Учетные данные по умолчанию для входа в систему Ghiro:

Username: ghiro
Password: ghiromanager

-2

Теперь следует открыть этот IP-адрес в своем браузере, чтобы двигаться дальше.

-3

Необходимо сразу же сфокусироваться на экране входа в систему и заполнить строки с учетными данными. После их заполнения надо нажать на кнопку входа в систему.

-4

Теперь пользователь может увидеть, что он успешно настроил Ghiro: приборная панель на главном экране говорит: «Добро пожаловать в Ghiro». Готово, начало положено.

Как видно на картинке, есть пользователь: ghiro, с помощью которого был осуществлен вход в программное обеспечение. В начальной точке показаны нулевые случаи и нулевой анализ, потому что пользователь только что настроил это программное обеспечение.

-5

Функции Ghiro

Чтобы начать работать с Ghiro и произвести анализ изображений, нужно нажать на кейсы. Если пользователь видит, что этот раздел полностью пуст, то стоит обратить свое внимание на [ + ], чтобы добавить любой кейс в этот каталог.

-6

Теперь нужно заполнить детали, касающиеся кейса, такие как имя, описание и пользователь, проводящий расследование.

-7

После сохранения деталей, касающихся этого кейса, программа попросит человека добавить изображения для анализа. Чтобы добавить изображения, нужно нажать на кнопку [ + ].

-8

Это перенаправит человека к окну, с помощью которого он может добавить изображения, нажав на кнопку «Добавить файл». Стоит проверить файл, который нужно проанализировать. После добавления файлов пользователь нажмет на кнопку «Загрузить»,

-9

После загрузки файлов программа покажет их. Во время этого процесса Ghiro требует, чтобы пользователь обновил данные. Следует нажать на кнопку «Обновить», чтобы завершить загрузку.

-10

На экране видно, что процесс загрузки файлов только что завершился, и теперь у человека есть два варианта анализа. Первый вариант – это непосредственно нажать на название изображения, чтобы просмотреть его детали.

-11

Второй вариант – это нажать на вкладку изображения, а затем нажать на саму картинку, которую пользователь хочет найти, чтобы увидеть ее детали. Оба варианта, в некотором роде, похожи и не особо влияют на качество анализа.

-12

Пользователь нажимает на изображение, которое хочет проанализировать: будут показаны основные детали относительно него на приборной панели, которая представляет все результаты, такие как статический анализ, EXIF, IPTC, XMP, проверка подписи.

-13

Теперь человек нажал на второй вариант в меню панели мониторинга, которое показывает результаты проверки подписи. Все подписи соответствуют требованиям. В данном случае – 4 почти соответствуют, 3 достаточно соответствуют необходимым требованиям.

-14

Во второй вкладке пользователь может увидеть статику. Во вкладке статическая информация находится основная информация об изображении.

-15

Далее можно узнать формат файла – это jpeg стандарта EXIF.

-16

Еще показаны все хэш-значения этого файла в рамках различных алгоритмов. Если присмотреться, то можно увидеть, что хэш-значения MD5 – это имя файла при анализе.

-17

После этого идут строки. Программа покажет все строки, связанные с этим файлом, с небольшими деталями метаданных изображения.

-18

Последний параметр – это шестнадцатеричный дамп. Будет показано шестнадцатеричное значение изображения, через которое можно получить некоторые мелкие подробности об этом файле.

-19

Пользователь переключается на третью вкладку EXIF, на которой результаты только одного параметра – метаданных EXIF. Человек узнает важные детали для его расследования.

-20

Он прокручивает вниз, чтобы получить информацию о сегментах метаданных изображения, которые могут пригодиться в криминалистическом расследовании. Это касается GPS, миниатюр и IOP.

-21

Здесь показаны все детали, касающиеся миниатюры изображения. Это относится к Mime, расширению и размеру.

-22

На пятой вкладке анализа изображений Ghiro получен ELA. Анализ уровня ошибок (ELA) позволяет идентифицировать области в изображении, которые находятся на разных уровнях сжатия. С изображениями JPEG вся картинка должна быть сжата одинаково. Если участок картинки находится на отличающемся уровне ошибок, то это, скорее всего, указывает на его цифровую модификацию.

Если сосредоточится и включить высокую яркость экрана, можно увидеть анализ изображения и найденные ошибки.

Последняя вкладка показывает значения сигнатур при анализе изображений.

-23

В целом такой инструмент может быть полезен при проведении любого расследования.

Автор переведенной статьи: Shubham Sharma