Анализ изображений с помощью Ghiro

Дата: 23.07.2020. Автор: Игорь Б. Категории: Главное по информационной безопасности, Статьи по информационной безопасности

В этой статье говорится о том, как можно использовать инструмент анализа изображений Ghiro. Эта утилита полностью автоматизирована и имеет открытый исходный код.

Что такое Ghiro?

Инструмент был разработан Alessandro Tanasi Jekil и Marco Buoncristiano Burlone. Это полностью автоматизированная утилита, предназначенная для проведения анализа огромного количества изображений. Для этого процесса используется удобное и простое веб-приложение.

Чтобы узнать больше об инструменте анализа изображений Ghiro, пользователь может перейти по ссылке.

Особенности Ghiro

Пользователь способен воспользоваться всеми функциями Ghiro с помощью веб-интерфейса. Он может загрузить одно или несколько изображений, чтобы получить быстрый и глубокий анализа этих файлов. Также человек имеет возможность группировать картинки в кейсах и производить поиск любых аналитических данных.

Основные черты:

  • Извлечение метаданных: метаданные делятся на несколько категорий в зависимости от стандарта, из которого они получены. Метаданные изображений извлекаются и классифицируются (EX-EXIF, IPTC, XMP).
  • Локализация GPS: она встроена в метаданные изображения, иногда есть геотег – немного данных GPS, обеспечивающих долготу и широту того места, где была сделана фотография.
  • MIME-информация: MIME-изображение, обнаруженное для определения его типа, с которым пользователь имеет дело.
  • ELA: ELA расшифровывается как анализ уровня ошибок. Он определяет области в изображении, которые находятся на разных уровнях сжатия. Вся части картинки должны быть примерно на одном уровне. Если обнаружена существенная разница, то это, вероятно, указывает на цифровую модификацию изображения.
  • Извлечение миниатюр: миниатюры и связанные с ними данные извлекаются из метаданных изображения и сохраняются для просмотра.
  • Согласованность миниатюр: иногда при редактировании фотографии редактируется исходное изображение, но не обнаруживается разница между миниатюрами и изображениями.
  • Механизм сигнатур: более 120 сигнатур, которые предоставляют собой доказательства в отношении изменения наиболее важных данных для выделения фокусных точек и общих экспозиций.
  • Сопоставление хэшей: стоит предположить, что пользователь ищет изображение, и у него есть только хэш-значение. Программа способна предоставить список хэшей, и все совпадающие изображения будут выведены на экран.

Установка и настройка Ghiro

Теперь нужно настроить Ghiro. Рекомендуется скачать «OVA», который представляет собой более простой и эффективный вариант для работы. После загрузки Ghiro, через несколько минут у пользователя появится возможность начать анализировать свои изображения.

Чтобы загрузить инструмент анализа изображений Ghiro, стоит перейти по ссылке.

После открытия этого файла OVA в VirtualBox или VMWare, следующая информация появится на экране.

Из нее следует:

IP-адрес: 192.168.0.7

Можно использовать эти данные для запуска программного обеспечения.

Учетные данные по умолчанию для входа в систему Ghiro:

Username: ghiro
Password: ghiromanager

Теперь следует открыть этот IP-адрес в своем браузере, чтобы двигаться дальше.

Необходимо сразу же сфокусироваться на экране входа в систему и заполнить строки с учетными данными. После их заполнения надо нажать на кнопку входа в систему.

Теперь пользователь может увидеть, что он успешно настроил Ghiro: приборная панель на главном экране говорит: «Добро пожаловать в Ghiro». Готово, начало положено.

Как видно на картинке, есть пользователь: ghiro, с помощью которого был осуществлен вход в программное обеспечение. В начальной точке показаны нулевые случаи и нулевой анализ, потому что пользователь только что настроил это программное обеспечение.

Функции Ghiro

Чтобы начать работать с Ghiro и произвести анализ изображений, нужно нажать на кейсы. Если пользователь видит, что этот раздел полностью пуст, то стоит обратить свое внимание на [ + ], чтобы добавить любой кейс в этот каталог.

Теперь нужно заполнить детали, касающиеся кейса, такие как имя, описание и пользователь, проводящий расследование.

После сохранения деталей, касающихся этого кейса, программа попросит человека добавить изображения для анализа. Чтобы добавить изображения, нужно нажать на кнопку [ + ].

Это перенаправит человека к окну, с помощью которого он может добавить изображения, нажав на кнопку «Добавить файл». Стоит проверить файл, который нужно проанализировать. После добавления файлов пользователь нажмет на кнопку «Загрузить»,

После загрузки файлов программа покажет их. Во время этого процесса Ghiro требует, чтобы пользователь обновил данные. Следует нажать на кнопку «Обновить», чтобы завершить загрузку.

На экране видно, что процесс загрузки файлов только что завершился, и теперь у человека есть два варианта анализа. Первый вариант – это непосредственно нажать на название изображения, чтобы просмотреть его детали.

Второй вариант – это нажать на вкладку изображения, а затем нажать на саму картинку, которую пользователь хочет найти, чтобы увидеть ее детали. Оба варианта, в некотором роде, похожи и не особо влияют на качество анализа.

Пользователь нажимает на изображение, которое хочет проанализировать: будут показаны основные детали относительно него на приборной панели, которая представляет все результаты, такие как статический анализ, EXIF, IPTC, XMP, проверка подписи.

Теперь человек нажал на второй вариант в меню панели мониторинга, которое показывает результаты проверки подписи. Все подписи соответствуют требованиям. В данном случае – 4 почти соответствуют, 3 достаточно соответствуют необходимым требованиям.

Во второй вкладке пользователь может увидеть статику. Во вкладке статическая информация находится основная информация об изображении.

Далее можно узнать формат файла – это jpeg стандарта EXIF.

Еще показаны все хэш-значения этого файла в рамках различных алгоритмов. Если присмотреться, то можно увидеть, что хэш-значения MD5 – это имя файла при анализе.

После этого идут строки. Программа покажет все строки, связанные с этим файлом, с небольшими деталями метаданных изображения.

Последний параметр – это шестнадцатеричный дамп. Будет показано шестнадцатеричное значение изображения, через которое можно получить некоторые мелкие подробности об этом файле.

Пользователь переключается на третью вкладку EXIF, на которой результаты только одного параметра – метаданных EXIF. Человек узнает важные детали для его расследования.

Он прокручивает вниз, чтобы получить информацию о сегментах метаданных изображения, которые могут пригодиться в криминалистическом расследовании. Это касается GPS, миниатюр и IOP.

Здесь показаны все детали, касающиеся миниатюры изображения. Это относится к Mime, расширению и размеру.

На пятой вкладке анализа изображений Ghiro получен ELA. Анализ уровня ошибок (ELA) позволяет идентифицировать области в изображении, которые находятся на разных уровнях сжатия. С изображениями JPEG вся картинка должна быть сжата одинаково. Если участок картинки находится на отличающемся уровне ошибок, то это, скорее всего, указывает на его цифровую модификацию.

Если сосредоточится и включить высокую яркость экрана, можно увидеть анализ изображения и найденные ошибки.

Последняя вкладка показывает значения сигнатур при анализе изображений.

В целом такой инструмент может быть полезен при проведении любого расследования.

Автор переведенной статьи: Shubham Sharma.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

два × пять =