Tengo una foto JPEG a la que se le han eliminado por completo los datos EXIF. Sé que la foto fue editada. ¿Queda algún dato en el JPEG alterado que apunte a los editores de imágenes o al equipo utilizado? Por ejemplo, ¿Adobe Photoshop tiene un ID de cadena en particular que coloca en el código JPEG que no sea en los metadatos EXIF? Como una huella en la nieve.
JPEGsnoop compara la firma de compresión en un JPEG con su base de datos de combinaciones conocidas de firmas y software/firmware, y brinda una lista de software/cámaras que coinciden con la firma de la imagen de entrada. Aquí hay algunos resultados de muestra:
*** Searching Compression Signatures ***
Signature: 013BA18D5561625796E986FDBC09F846
Signature (Rotated): 01AC57E12793DFA7C46C704625C5AF0F
File Offset: 0 bytes
Chroma subsampling: 2x2
EXIF Make/Model: NONE
EXIF Makernotes: NONE
EXIF Software: NONE
Searching Compression Signatures: (3347 built-in, 0 user(*) )
EXIF.Make / Software EXIF.Model Quality Subsamp Match?
------------------------- ----------------------------------- ---------------- --------------
CAM:[??? ] [Treo 680 ] [ ] Yes
CAM:[Canon ] [Canon PowerShot Pro1 ] [fine ] No
CAM:[NIKON ] [E2500 ] [FINE ] No
CAM:[NIKON ] [E3100 ] [FINE ] No
CAM:[NIKON ] [E4500 ] [FINE ] No
CAM:[NIKON ] [E5000 ] [FINE ] No
CAM:[NIKON ] [E5700 ] [FINE ] No
CAM:[NIKON ] [E775 ] [FINE ] No
CAM:[NIKON ] [E885 ] [FINE ] No
CAM:[OLYMPUS OPTICAL CO.,LTD ] [C3040Z ] [ ] No
CAM:[PENTAX ] [PENTAX Optio 550 ] [ ] No
CAM:[Research In Motion ] [BlackBerry 9530 ] [Superfine ] Yes
CAM:[SEIKO EPSON CORP. ] [PhotoPC 3000Z ] [ ] No
CAM:[SONY ] [DSC-H7 ] [ ] No
CAM:[SONY ] [DSC-H9 ] [ ] No
CAM:[SONY ] [DSC-S90 ] [ ] No
CAM:[SONY ] [DSC-W1 ] [ ] No
CAM:[SONY ] [SONY ] [ ] No
SW :[ACDSee ] [ ]
SW :[FixFoto ] [fine ]
SW :[IJG Library ] [090 ]
SW :[ZoomBrowser EX ] [high ]
The following IJG-based editors also match this signature:
SW :[GIMP ] [090 ]
SW :[IrfanView ] [090 ]
SW :[idImager ] [090 ]
SW :[FastStone Image Viewer ] [090 ]
SW :[NeatImage ] [090 ]
SW :[Paint.NET ] [090 ]
SW :[Photomatix ] [090 ]
SW :[XnView ] [090 ]
Based on the analysis of compression characteristics and EXIF metadata:
ASSESSMENT: Class 1 - Image is processed/edited
This may be a new software editor for the database.
If this file is processed, and editor doesn't appear in list above,
PLEASE ADD TO DATABASE with [Tools->Add Camera to DB]
Hay varias secciones de metadatos en un archivo JPEG, pero todas se pueden eliminar. El software que elimina EXIF puede eliminarlo en varios grados, pero también puede eliminar todas las demás secciones de metadatos. Esto se hace a menudo cuando se publica en Internet para evitar la filtración de información personal, como la geolocalización, o para hacer que los archivos sean más ligeros para cargar.
En cualquier caso, no puede estar seguro de un archivo JPEG de una cámara a menos que haya metadatos que indiquen lo contrario. Imagine a un usuario haciendo Archivo -> Nuevo en Photoshop o cualquier otro software de imágenes. En ese momento, tienen un archivo nuevo sin datos relacionados con la cámara, pero aún pueden cortar y pegar píxeles de una imagen que tiene metadatos. Una imagen creada de esta manera puede indicar qué software se usa, pero nada sobre la cámara.
Además, las cámaras a menudo pueden disparar en RAW, DNG o TIFF. En ese caso, se usa un programa de conversión para crear un JPEG a partir de él y es posible que ese convertidor no deje ningún metadato en la salida, según las opciones utilizadas. En el caso de RAW y DNG, ni siquiera son formatos de imagen, por lo que cuando se convierten en una imagen, los datos deben transformarse y los píxeles se interpolan, por lo que obtendría una imagen, pero no necesariamente una que la gente consideraría editada.
TL; DR - Teóricamente, sí. Siendo realistas, probablemente no.
Versión más larga: en teoría, debería ser posible determinar la aplicación, o al menos la biblioteca utilizada por la aplicación, que creó una imagen en muchos casos. Las aplicaciones y las bibliotecas a menudo escriben datos en un orden específico o de una manera específica, y esto a veces se puede determinar examinando los datos de la imagen. Sin embargo, esta información generalmente no está disponible públicamente y requeriría bastante conocimiento de diferentes bibliotecas y aplicaciones para averiguarlo. Es el tipo de cosa que un analista forense podría hacer, pero probablemente sería difícil para una persona.
Una cosa que puede intentar hacer es abrir la imagen en un editor hexadecimal. Si está en una Mac o Linux, puede ir a la línea de comandos y escribir:
xxd <path/to/file>
Eso mostrará el contenido del archivo en hexadecimal y ASCII y puede revelar cosas como cadenas con el nombre de la aplicación o la biblioteca. Si es un programador, siempre puede obtener la especificación para el formato JPEG y analizar manualmente los datos en el archivo después de hacer un volcado hexadecimal y ver si revela algo útil. No tengo ningún conocimiento específico de la información que podría buscar más allá de las cadenas con la palabra Photoshop en ellas, o tal vez "8BIM", que es el antiguo identificador de tipo de 4 caracteres de macOS para la aplicación.
miguel c
usuario657491
dibujó noakes
usuario657491
nulo